杀毒软件功能全模拟

引言：网络中的病毒木马，即使专业水平再高的工作人员，有时也不能幸免攻击。为上网安全，很多人使用杀毒软件，现在某些杀毒软件动辄推送一些通知，诱惑用户收费升级，这虽然可以增加一些新的安全功能，但是它们中的大多数都能通过系统配置免费获得！本文就对杀毒软件一些安全功能进行全模拟，愿大家能从中受到启发。

Internet网络中既有日暖风香，也有狂风暴雨，网络中疯狂传播的病毒木马，让人们对 Internet“爱之深、责之切”，即使专业水平再高的工作人员，有时也不能幸免病毒木马的攻击。为了让上网安全无忧，很多人使用杀毒软件作帮手，网络安全的确得到了有效保障。然而，现在某些杀毒软件动辄推送一些通知，诱惑用户收费升级，这虽然可以增加一些新的安全功能，但是仔细推敲之后不难发现，它们中的大多数都能通过系统配置免费获得！本文对杀毒软件一些安全功能进行全模拟，希望大家能从中受到启发。

模拟上网控制功能

某些杀毒软件的收费版本支持上网控制功能，合理利用该功能，可以对单位内网中的特定帐号用户上网时间进行按需控制，确保内网上网安全稳定。其实，这种上网控制功能，完全可以通过系统自身力量模拟获得。

图1 设置向导

例如，要想让本地系统中的标准用户帐号每上网一小时后，自动断开网络连接时，可以进行如下设置操作：首先用鼠标右击桌面上的“计算机”图标，从右键菜单中选择“管理”命令，切换到计算机管理窗口，依次展开该窗口左侧区域中的“系统工具”、“事件查看器”、“Windows日志”、“系统”节点上，在“系统”节点右侧区域处，找到系统开机事件，也就是ID标识为“12”的 事件记录。用鼠标右键单击该记录选项，从弹出的快捷菜单中，单击“将任务附加到此事件”命令，展开任务计划创建对话框。

在这里将任务计划名称输入为“控制上网连接”，当出现如图1所示的向导提示时，勾选“Start a Program” 选项，单击“Next”按钮； 下面 单 击“Browse”按 钮，从弹出的文件选择对话框 中，将“C：WindowsSystem32Netsh.exe”文件选择并导入进来，同时将该文件参数设置为“Interface Set Interface‘本 地 连接’Disabled”，该参数作用主要是切断本地系统的网卡连接，以达到控制上网连接目的，最后单击“Finish”按钮完成设置操作。

将鼠标定位到“系统工具”、“任务计划程序”、“事件查看器”节点上，打开该节点下对应事件的设置对话框。选择“触发器”标签，进入对应标签设置页面，勾选“发生事件时”选项，单击“编辑”按钮，选中其后界面中的“延迟任务时间”选项，并将延迟时间设置为“60分钟”，“确认”后保存设置操作。如此一来，任何用户以标准帐号登录进入本地系统后，上述事件任务都会自动触发运行，那么该用户在上网访问1小时后，对应系统的网卡设备将会被强行禁用掉，这时本地系统自然就无法继续上网连接了。

模拟访问拦截功能

支持个性化的访问拦截，避免恶意连接偷偷进入服务器或其他重要系统，是许多收费版杀毒软件对外兜售的一个重要“卖点”。实际上，要保护重要主机或服务器中的隐私安全，避免恶意用户连接并进入其中，只要使用好Windows系统内置的防火墙就行。比方说，需要禁止任何用户通过外网连接重要主机系统时，我们完全可以在重要主机系统中通过定义防火墙入站规则，来达到这种控制目的。

图2 高级防火墙设置

对于连接了外网的重要主机系统来说，要想拦截恶意用户对它的连接访问，可以配置防火墙规则，让其切断所有入站连接。依次单击“开始”、“运行”命令，弹出系统“运行”对话框，输入字符串命令“secpol.msc”，单击“确定”按钮，打开重要主机系统的本地安全策略控制台窗口。

在该窗口左侧显示区域，将鼠标定位在“安全设置”、“高级安全Windows防火墙”节点上，通过双击鼠标方法，进入如图2所示的高级防火墙属性对话框。选择“公用配置文件”标签，在对应标签设置页面中，将防火墙状态设置为“启用”，将入站连接设置为“阻止所有连接”，将出站连接设置为“未配置”，单击“应用”按钮让设置正式生效。同样地，依次切换到“域配置文件”标签页面、“专用配置文件”标签页面，将防火墙状态启用起来，同时将入站连接选择为“阻止所有连接”。完成上述设置任务后，恶意用户就不能从外网连接访问重要主机系统中的任何隐私数据了。

当然，上述设置有点极端，容易造成合法的远程桌面连接、局域网访问不能成功。为了保证正常工作不受影响，我们在进行了上述设置操作后，将鼠标定位到高级安全防火墙下的“入站规则”节点上，打开它的右键菜单，单击“新建规则”命令，在其后弹出的“新规则创建”对话框中，为正常的网络连接设置允许入站规则，这样就能达到安全于工作两不误的目的。

模拟假冒识别功能

伴随在线支付的兴起，针对在线交易进行的网络诈骗现象层出不穷，例如许多网站通过虚假购物、虚假中奖、虚假广告等方式进行网络钓鱼假冒诈骗。为避免假冒诈骗现象，现在很多杀毒软件的收费版，开始集成假冒伪劣发现功能，通过识别钓鱼网站的技术来拒绝访问存在假冒伪劣现象的恶意站点。其实，对付这些假冒诈骗现象，只要使用IE8以上版本浏览器内置的“SmartScreen筛选器”功能（相关功能在其他类型浏览器中也存在），同样能模拟出收费杀毒软件的假冒识别功能。

当使用IE8以上版本浏览器尝试访问某个疑似钓鱼网站时，如果该网站已经被微软公司的恶意网站数据库记录，那么“SmartScreen筛选器”功能就会自动打开阻止对话框，提醒用户谨防假冒诈骗。当然，IE8以上版本浏览器的“SmartScreen筛选器”功能还没有被开启的话，我们不妨在IE浏览器窗口中依次单击“安全”、“SmartScreen筛选器”，打开“SmartScreen筛选器”选项，就能开启该功能了。

微软公司恶意网站数据库收录的内容往往有一定的时间延迟，也就是说“SmartScreen筛选器”功能有时不能自动识别出某个网站究竟是否是钓鱼网站，这个时候我们可以根据访问现象，自己判断陌生网站是否存在钓鱼现象，一旦确认该网站也是钓鱼网站的时候，必须及时向微软公司在线汇报，谨防其他用户再次上当受骗。在汇报不安全站点时，可以在IE浏览窗口中，依次点选“安全”、“SmartScreen筛选器”、“报告不安全网站”选项，之后在如图3所示的页面中设置好报告内容。

图3 反馈设置

当然，假冒诈骗有时还会用虚假链接的方式诱导用户，一旦用户随意点击了这个虚假链接，不但会被引诱到其他恶意网站中而造成数据隐私的外泄，而且还可能直接遭遇病毒、木马的袭击。因此，预防这类假冒诈骗现象最有效的办法，就是不主动点击任何陌生的网页链接，要是实在无法避开必须访问的页面时，可以使用专业扫描工具进行安全测试。

对于安全要求较高的一些在线交易操作，为了更好地防止误入假冒诈骗陷阱，不妨在访问了真实的在线交易站点后，及时将其手工添加到浏览器收藏夹中，日后再次交易时直接通过收藏夹进入在线交易页面。安全、可信的在线交易页面，几乎都是以“HTTPS”协议作为前缀的加密页面，同时在初次访问时都要进行安全控件下载安装操作，在对应页面的地址框中，应该会出现安全证书标识，点击之后能访问到站点的证书内容，也能从这些细节中识别出假冒伪劣的在线交易站点。

模拟Ping防护功能

大家知道，恶意用户使用Ping命令，反复地、大量地向局域网中重要主机或服务器系统发送数据测试信息，可以急剧消耗对应系统的CPU资源以及内存资源，从而导致重要主机或服务器系统无法及时回应出现瘫痪现象。为了避免非法Ping命令攻击，管理员往往只要在局域网重要主机或服务器系统中安装专业的收费安全工具，进入到相关功能界面，勾选“不允许别人用Ping命令探测本机”之类的功能选项即可。当然，如果我们不想使用专业杀毒软件的收费功能时，也能通过Windows系统内置防火墙程序，来模拟Ping攻击防护功能。

如在Windows Server 2008服务器系统中模拟Ping防护功能时，先以超级用户身份登录服务器系统，在该系统桌面中逐一单击“开始”、“所有程序”、“管理工具”命令，从弹出的管理工具列表窗口中双击“高级安全Windows防火墙”图标，打开如图4所示的Windows Server 2008服务器系统的高级安全防火墙界面。

接着将鼠标定位到该界面左侧显示区域中的“入站规则”节点上，再单击操作列表区域处的“新规则”选项，屏幕上将会自动弹出新建入站规则向导对话框。依照向导提示，将新建防火墙的规则类型设置为“自定义”选项，当屏幕要求我们指定与该防火墙规则保持匹配的应用程序完整路径时，选中“所有程序”选项，将该新建防火墙规则协议类型设置为“ICMPv4”，并从低端口下拉列表以及远程端口下拉列表选中“所有端口”，再将这个新创建的防火墙规则调整为“匹配所有IP地址”，最后勾选“阻止连接”选项，“确认”后执行设置保存操作。这样，Windows Server 2008服务器系统就具有了Ping攻击防护功能，恶意用户即使使用“ping -1 65500 -t xx.xx.xx.xx”之类的字符串命令（“xx.xx.xx.xx”为服务器IP地址），来实施攻击操作，服务器系统运行性能一点也不会受到影响。

图4 高级安全防火墙界面设置

图5 向导设置对话框

模拟下载限制功能

为防止某些恶意用户通过FTP程序利用默认开放的21端口，对局域网中的服务器系统进行上传、下载操作，现在一些杀毒软件的收费功能已将下载限制包含其中。其实，善于使用Windows系统的高级防火墙功能，生成一个限制21端口连接的入站出站规则，达到模拟下载限制功能的目的。

例如，要让Windows Server 2008服务器系统禁止使用下载功能时，只要先进入系统高级防火墙配置界面，选中“入站规则”选项，右击打开“新规则”命令，展开“入站规则新建向导”对话框。勾选“端口”选项，按“下一步”按钮，切换到如图5所示的“向导设置”对话框。接着逐一选中“TCP”选项、“特定本地端口”选项，并输入默认下载端口号码“21”，点击“下一步”按钮；当高级防火墙配置向导询问用户要执行何种操作时，选中“阻止连接”选项，之后选中“域”或“公用”、“专用”选项，最后指定好安全规则名称，点击“完成”按钮退出向导对话框，这样服务器系统就会禁止来自21端口的上传操作了。按照相同方法再生成一个出站规则，禁止来自21端口的下载操作。