殺毒軟件功能全模擬

引言：網(wǎng)絡(luò)中的病毒木馬，即使專業(yè)水平再高的工作人員，有時(shí)也不能幸免攻擊。為上網(wǎng)安全，很多人使用殺毒軟件，現(xiàn)在某些殺毒軟件動(dòng)輒推送一些通知，誘惑用戶收費(fèi)升級(jí)，這雖然可以增加一些新的安全功能，但是它們中的大多數(shù)都能通過系統(tǒng)配置免費(fèi)獲得！本文就對(duì)殺毒軟件一些安全功能進(jìn)行全模擬，愿大家能從中受到啟發(fā)。

Internet網(wǎng)絡(luò)中既有日暖風(fēng)香，也有狂風(fēng)暴雨，網(wǎng)絡(luò)中瘋狂傳播的病毒木馬，讓人們對(duì) Internet“愛之深、責(zé)之切”，即使專業(yè)水平再高的工作人員，有時(shí)也不能幸免病毒木馬的攻擊。為了讓上網(wǎng)安全無憂，很多人使用殺毒軟件作幫手，網(wǎng)絡(luò)安全的確得到了有效保障。然而，現(xiàn)在某些殺毒軟件動(dòng)輒推送一些通知，誘惑用戶收費(fèi)升級(jí)，這雖然可以增加一些新的安全功能，但是仔細(xì)推敲之后不難發(fā)現(xiàn)，它們中的大多數(shù)都能通過系統(tǒng)配置免費(fèi)獲得！本文對(duì)殺毒軟件一些安全功能進(jìn)行全模擬，希望大家能從中受到啟發(fā)。

模擬上網(wǎng)控制功能

某些殺毒軟件的收費(fèi)版本支持上網(wǎng)控制功能，合理利用該功能，可以對(duì)單位內(nèi)網(wǎng)中的特定帳號(hào)用戶上網(wǎng)時(shí)間進(jìn)行按需控制，確保內(nèi)網(wǎng)上網(wǎng)安全穩(wěn)定。其實(shí)，這種上網(wǎng)控制功能，完全可以通過系統(tǒng)自身力量模擬獲得。

圖1 設(shè)置向?qū)?/p>

例如，要想讓本地系統(tǒng)中的標(biāo)準(zhǔn)用戶帳號(hào)每上網(wǎng)一小時(shí)后，自動(dòng)斷開網(wǎng)絡(luò)連接時(shí)，可以進(jìn)行如下設(shè)置操作：首先用鼠標(biāo)右擊桌面上的“計(jì)算機(jī)”圖標(biāo)，從右鍵菜單中選擇“管理”命令，切換到計(jì)算機(jī)管理窗口，依次展開該窗口左側(cè)區(qū)域中的“系統(tǒng)工具”、“事件查看器”、“Windows日志”、“系統(tǒng)”節(jié)點(diǎn)上，在“系統(tǒng)”節(jié)點(diǎn)右側(cè)區(qū)域處，找到系統(tǒng)開機(jī)事件，也就是ID標(biāo)識(shí)為“12”的 事件記錄。用鼠標(biāo)右鍵單擊該記錄選項(xiàng)，從彈出的快捷菜單中，單擊“將任務(wù)附加到此事件”命令，展開任務(wù)計(jì)劃創(chuàng)建對(duì)話框。

在這里將任務(wù)計(jì)劃名稱輸入為“控制上網(wǎng)連接”，當(dāng)出現(xiàn)如圖1所示的向?qū)崾緯r(shí)，勾選“Start a Program” 選項(xiàng)，單擊“Next”按鈕； 下面 單 擊“Browse”按 鈕，從彈出的文件選擇對(duì)話框 中，將“C：WindowsSystem32Netsh.exe”文件選擇并導(dǎo)入進(jìn)來，同時(shí)將該文件參數(shù)設(shè)置為“Interface Set Interface‘本 地 連接’Disabled”，該參數(shù)作用主要是切斷本地系統(tǒng)的網(wǎng)卡連接，以達(dá)到控制上網(wǎng)連接目的，最后單擊“Finish”按鈕完成設(shè)置操作。

將鼠標(biāo)定位到“系統(tǒng)工具”、“任務(wù)計(jì)劃程序”、“事件查看器”節(jié)點(diǎn)上，打開該節(jié)點(diǎn)下對(duì)應(yīng)事件的設(shè)置對(duì)話框。選擇“觸發(fā)器”標(biāo)簽，進(jìn)入對(duì)應(yīng)標(biāo)簽設(shè)置頁面，勾選“發(fā)生事件時(shí)”選項(xiàng)，單擊“編輯”按鈕，選中其后界面中的“延遲任務(wù)時(shí)間”選項(xiàng)，并將延遲時(shí)間設(shè)置為“60分鐘”，“確認(rèn)”后保存設(shè)置操作。如此一來，任何用戶以標(biāo)準(zhǔn)帳號(hào)登錄進(jìn)入本地系統(tǒng)后，上述事件任務(wù)都會(huì)自動(dòng)觸發(fā)運(yùn)行，那么該用戶在上網(wǎng)訪問1小時(shí)后，對(duì)應(yīng)系統(tǒng)的網(wǎng)卡設(shè)備將會(huì)被強(qiáng)行禁用掉，這時(shí)本地系統(tǒng)自然就無法繼續(xù)上網(wǎng)連接了。

模擬訪問攔截功能

支持個(gè)性化的訪問攔截，避免惡意連接偷偷進(jìn)入服務(wù)器或其他重要系統(tǒng)，是許多收費(fèi)版殺毒軟件對(duì)外兜售的一個(gè)重要“賣點(diǎn)”。實(shí)際上，要保護(hù)重要主機(jī)或服務(wù)器中的隱私安全，避免惡意用戶連接并進(jìn)入其中，只要使用好Windows系統(tǒng)內(nèi)置的防火墻就行。比方說，需要禁止任何用戶通過外網(wǎng)連接重要主機(jī)系統(tǒng)時(shí)，我們完全可以在重要主機(jī)系統(tǒng)中通過定義防火墻入站規(guī)則，來達(dá)到這種控制目的。

圖2 高級(jí)防火墻設(shè)置

對(duì)于連接了外網(wǎng)的重要主機(jī)系統(tǒng)來說，要想攔截惡意用戶對(duì)它的連接訪問，可以配置防火墻規(guī)則，讓其切斷所有入站連接。依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)“運(yùn)行”對(duì)話框，輸入字符串命令“secpol.msc”，單擊“確定”按鈕，打開重要主機(jī)系統(tǒng)的本地安全策略控制臺(tái)窗口。

在該窗口左側(cè)顯示區(qū)域，將鼠標(biāo)定位在“安全設(shè)置”、“高級(jí)安全Windows防火墻”節(jié)點(diǎn)上，通過雙擊鼠標(biāo)方法，進(jìn)入如圖2所示的高級(jí)防火墻屬性對(duì)話框。選擇“公用配置文件”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽設(shè)置頁面中，將防火墻狀態(tài)設(shè)置為“啟用”，將入站連接設(shè)置為“阻止所有連接”，將出站連接設(shè)置為“未配置”，單擊“應(yīng)用”按鈕讓設(shè)置正式生效。同樣地，依次切換到“域配置文件”標(biāo)簽頁面、“專用配置文件”標(biāo)簽頁面，將防火墻狀態(tài)啟用起來，同時(shí)將入站連接選擇為“阻止所有連接”。完成上述設(shè)置任務(wù)后，惡意用戶就不能從外網(wǎng)連接訪問重要主機(jī)系統(tǒng)中的任何隱私數(shù)據(jù)了。

當(dāng)然，上述設(shè)置有點(diǎn)極端，容易造成合法的遠(yuǎn)程桌面連接、局域網(wǎng)訪問不能成功。為了保證正常工作不受影響，我們?cè)谶M(jìn)行了上述設(shè)置操作后，將鼠標(biāo)定位到高級(jí)安全防火墻下的“入站規(guī)則”節(jié)點(diǎn)上，打開它的右鍵菜單，單擊“新建規(guī)則”命令，在其后彈出的“新規(guī)則創(chuàng)建”對(duì)話框中，為正常的網(wǎng)絡(luò)連接設(shè)置允許入站規(guī)則，這樣就能達(dá)到安全于工作兩不誤的目的。

模擬假冒識(shí)別功能

伴隨在線支付的興起，針對(duì)在線交易進(jìn)行的網(wǎng)絡(luò)詐騙現(xiàn)象層出不窮，例如許多網(wǎng)站通過虛假購物、虛假中獎(jiǎng)、虛假廣告等方式進(jìn)行網(wǎng)絡(luò)釣魚假冒詐騙。為避免假冒詐騙現(xiàn)象，現(xiàn)在很多殺毒軟件的收費(fèi)版，開始集成假冒偽劣發(fā)現(xiàn)功能，通過識(shí)別釣魚網(wǎng)站的技術(shù)來拒絕訪問存在假冒偽劣現(xiàn)象的惡意站點(diǎn)。其實(shí)，對(duì)付這些假冒詐騙現(xiàn)象，只要使用IE8以上版本瀏覽器內(nèi)置的“SmartScreen篩選器”功能（相關(guān)功能在其他類型瀏覽器中也存在），同樣能模擬出收費(fèi)殺毒軟件的假冒識(shí)別功能。

當(dāng)使用IE8以上版本瀏覽器嘗試訪問某個(gè)疑似釣魚網(wǎng)站時(shí)，如果該網(wǎng)站已經(jīng)被微軟公司的惡意網(wǎng)站數(shù)據(jù)庫記錄，那么“SmartScreen篩選器”功能就會(huì)自動(dòng)打開阻止對(duì)話框，提醒用戶謹(jǐn)防假冒詐騙。當(dāng)然，IE8以上版本瀏覽器的“SmartScreen篩選器”功能還沒有被開啟的話，我們不妨在IE瀏覽器窗口中依次單擊“安全”、“SmartScreen篩選器”，打開“SmartScreen篩選器”選項(xiàng)，就能開啟該功能了。

微軟公司惡意網(wǎng)站數(shù)據(jù)庫收錄的內(nèi)容往往有一定的時(shí)間延遲，也就是說“SmartScreen篩選器”功能有時(shí)不能自動(dòng)識(shí)別出某個(gè)網(wǎng)站究竟是否是釣魚網(wǎng)站，這個(gè)時(shí)候我們可以根據(jù)訪問現(xiàn)象，自己判斷陌生網(wǎng)站是否存在釣魚現(xiàn)象，一旦確認(rèn)該網(wǎng)站也是釣魚網(wǎng)站的時(shí)候，必須及時(shí)向微軟公司在線匯報(bào)，謹(jǐn)防其他用戶再次上當(dāng)受騙。在匯報(bào)不安全站點(diǎn)時(shí)，可以在IE瀏覽窗口中，依次點(diǎn)選“安全”、“SmartScreen篩選器”、“報(bào)告不安全網(wǎng)站”選項(xiàng)，之后在如圖3所示的頁面中設(shè)置好報(bào)告內(nèi)容。

圖3 反饋設(shè)置

當(dāng)然，假冒詐騙有時(shí)還會(huì)用虛假鏈接的方式誘導(dǎo)用戶，一旦用戶隨意點(diǎn)擊了這個(gè)虛假鏈接，不但會(huì)被引誘到其他惡意網(wǎng)站中而造成數(shù)據(jù)隱私的外泄，而且還可能直接遭遇病毒、木馬的襲擊。因此，預(yù)防這類假冒詐騙現(xiàn)象最有效的辦法，就是不主動(dòng)點(diǎn)擊任何陌生的網(wǎng)頁鏈接，要是實(shí)在無法避開必須訪問的頁面時(shí)，可以使用專業(yè)掃描工具進(jìn)行安全測試。

對(duì)于安全要求較高的一些在線交易操作，為了更好地防止誤入假冒詐騙陷阱，不妨在訪問了真實(shí)的在線交易站點(diǎn)后，及時(shí)將其手工添加到瀏覽器收藏夾中，日后再次交易時(shí)直接通過收藏夾進(jìn)入在線交易頁面。安全、可信的在線交易頁面，幾乎都是以“HTTPS”協(xié)議作為前綴的加密頁面，同時(shí)在初次訪問時(shí)都要進(jìn)行安全控件下載安裝操作，在對(duì)應(yīng)頁面的地址框中，應(yīng)該會(huì)出現(xiàn)安全證書標(biāo)識(shí)，點(diǎn)擊之后能訪問到站點(diǎn)的證書內(nèi)容，也能從這些細(xì)節(jié)中識(shí)別出假冒偽劣的在線交易站點(diǎn)。

模擬Ping防護(hù)功能

大家知道，惡意用戶使用Ping命令，反復(fù)地、大量地向局域網(wǎng)中重要主機(jī)或服務(wù)器系統(tǒng)發(fā)送數(shù)據(jù)測試信息，可以急劇消耗對(duì)應(yīng)系統(tǒng)的CPU資源以及內(nèi)存資源，從而導(dǎo)致重要主機(jī)或服務(wù)器系統(tǒng)無法及時(shí)回應(yīng)出現(xiàn)癱瘓現(xiàn)象。為了避免非法Ping命令攻擊，管理員往往只要在局域網(wǎng)重要主機(jī)或服務(wù)器系統(tǒng)中安裝專業(yè)的收費(fèi)安全工具，進(jìn)入到相關(guān)功能界面，勾選“不允許別人用Ping命令探測本機(jī)”之類的功能選項(xiàng)即可。當(dāng)然，如果我們不想使用專業(yè)殺毒軟件的收費(fèi)功能時(shí)，也能通過Windows系統(tǒng)內(nèi)置防火墻程序，來模擬Ping攻擊防護(hù)功能。

如在Windows Server 2008服務(wù)器系統(tǒng)中模擬Ping防護(hù)功能時(shí)，先以超級(jí)用戶身份登錄服務(wù)器系統(tǒng)，在該系統(tǒng)桌面中逐一單擊“開始”、“所有程序”、“管理工具”命令，從彈出的管理工具列表窗口中雙擊“高級(jí)安全Windows防火墻”圖標(biāo)，打開如圖4所示的Windows Server 2008服務(wù)器系統(tǒng)的高級(jí)安全防火墻界面。

接著將鼠標(biāo)定位到該界面左側(cè)顯示區(qū)域中的“入站規(guī)則”節(jié)點(diǎn)上，再單擊操作列表區(qū)域處的“新規(guī)則”選項(xiàng)，屏幕上將會(huì)自動(dòng)彈出新建入站規(guī)則向?qū)?duì)話框。依照向?qū)崾?，將新建防火墻的?guī)則類型設(shè)置為“自定義”選項(xiàng)，當(dāng)屏幕要求我們指定與該防火墻規(guī)則保持匹配的應(yīng)用程序完整路徑時(shí)，選中“所有程序”選項(xiàng)，將該新建防火墻規(guī)則協(xié)議類型設(shè)置為“ICMPv4”，并從低端口下拉列表以及遠(yuǎn)程端口下拉列表選中“所有端口”，再將這個(gè)新創(chuàng)建的防火墻規(guī)則調(diào)整為“匹配所有IP地址”，最后勾選“阻止連接”選項(xiàng)，“確認(rèn)”后執(zhí)行設(shè)置保存操作。這樣，Windows Server 2008服務(wù)器系統(tǒng)就具有了Ping攻擊防護(hù)功能，惡意用戶即使使用“ping -1 65500 -t xx.xx.xx.xx”之類的字符串命令（“xx.xx.xx.xx”為服務(wù)器IP地址），來實(shí)施攻擊操作，服務(wù)器系統(tǒng)運(yùn)行性能一點(diǎn)也不會(huì)受到影響。

圖4 高級(jí)安全防火墻界面設(shè)置

圖5 向?qū)гO(shè)置對(duì)話框

模擬下載限制功能

為防止某些惡意用戶通過FTP程序利用默認(rèn)開放的21端口，對(duì)局域網(wǎng)中的服務(wù)器系統(tǒng)進(jìn)行上傳、下載操作，現(xiàn)在一些殺毒軟件的收費(fèi)功能已將下載限制包含其中。其實(shí)，善于使用Windows系統(tǒng)的高級(jí)防火墻功能，生成一個(gè)限制21端口連接的入站出站規(guī)則，達(dá)到模擬下載限制功能的目的。

例如，要讓W(xué)indows Server 2008服務(wù)器系統(tǒng)禁止使用下載功能時(shí)，只要先進(jìn)入系統(tǒng)高級(jí)防火墻配置界面，選中“入站規(guī)則”選項(xiàng)，右擊打開“新規(guī)則”命令，展開“入站規(guī)則新建向?qū)А睂?duì)話框。勾選“端口”選項(xiàng)，按“下一步”按鈕，切換到如圖5所示的“向?qū)гO(shè)置”對(duì)話框。接著逐一選中“TCP”選項(xiàng)、“特定本地端口”選項(xiàng)，并輸入默認(rèn)下載端口號(hào)碼“21”，點(diǎn)擊“下一步”按鈕；當(dāng)高級(jí)防火墻配置向?qū)г儐栍脩粢獔?zhí)行何種操作時(shí)，選中“阻止連接”選項(xiàng)，之后選中“域”或“公用”、“專用”選項(xiàng)，最后指定好安全規(guī)則名稱，點(diǎn)擊“完成”按鈕退出向?qū)?duì)話框，這樣服務(wù)器系統(tǒng)就會(huì)禁止來自21端口的上傳操作了。按照相同方法再生成一個(gè)出站規(guī)則，禁止來自21端口的下載操作。