HIPS：安全好搭档

很多HIPS安全软件使用了复杂的规则，让没有经验的用户难以熟练掌控，而且其频繁的弹出警告窗口，会让人感到有些繁琐。

巧设暗哨 化解危机于无形之中

使用DefenseWall这款人性化的安全软件，就可以避免上述弊端，无需升级其特征库，不需要高超的使用技巧，无需频繁的面对拦截窗口，就可以最大限度地抗击病毒、木马等恶意程序的攻击。简单易用堪称DefenseWall最大特点，安装之后无需任何配置就可以保护系统安全了。

图1 Defense Wall主界面

例如，当某款木马试图侵入系统时，对系统进行的所有破坏均被DefenseWall化解，用户几乎无需参与，该木马就已经束手就擒了。在系统托盘中双击DefenseWall图标，在其主界面（如图1所示）中点击“Event Log”按钮，可以查看监控信息，对其进行简单的分析，可以看到，该木马试图在各磁盘根目录下创建名为“Autorun.inf”和“wmidx.exe”的文件，其中的“wmidx.exe”就是木马文件，“Autorun.inf”则指向该文件，如果用户双击了磁盘就会激活木马，同时该木马会对注册表进行恶意修改，包括添加启动项允许木马自动运行、禁用任务管理器、破坏安全模式让用户无法对其清除、禁用系统自动更新、锁定IE主页、禁止显示隐藏文件等。

为了逃避杀毒软件追捕，该木马还在注册表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支下针对常用的杀毒软件，创建了映像劫持项目，让这些杀毒软件无法顺利运行，同时在系统路径释放了一些可疑文件等。不过这些伎俩没有逃过DefenseWall的眼睛，不仅逐一破解了木马的所有破坏行为，而且将其行踪彻底暴露在用户面前。用户只需点击“Stop attack”按钮，之后点击“File and registry tracks”按钮，在弹出窗口中选择病毒创建的文件或者注册表项目，点击“Rollback to”按钮将其逐一删除，就可以让其彻底消失。

一般基于沙盘技术的安全软件，都会创建一个虚拟环境，让指定的程序在其中活动，使其无法接触到真实的系统，从而避免危险的发生。DefenseWall的运 模式与之不同，在其眼中程序分为信任和非信任两大类，非信任程序运行在一个虚拟的空间，但是程序之间并没有隔离，只是和系统中的信任空间隔离开，其权限会受到一定的控制。DefenseWall不会监控信任程序，而只对非信任程序进行监控。DefenseWall并没有大量使用虚拟技术，放行的文件操作都是在真实的文件系统中进行。在默认状态下，DefenseWall运行在常规模式下。在其菜单上点击“Expert Mode”项可以进入专家模式。在DefenseWall主界面中点击“Untrusted Applications”按钮，在非信任列表（如图2所示）中可以看到其预设了一些常用的程序，例如IE、tftp.exe等，对于非信任程序来说，其调用的程序或者常见的文件都被DefenseWall视为非信任对象，利用其中的按钮，可以执行添加（包括进程、文件等）、删除、标记为信任、激活/禁用、移动、排除等操作。

图2 管理非信任程序

对于可疑程序来说，可以在其右键菜单上点击“DefenseWall HIPS”→“Change status to untrusted”项，将其添加到非信任列表中，也可以点击其中的“Run as untrusted”项，让其以非信任身份运行，全程受到DefenseWall的监控。如果发现其有不轨行为，DefenseWall会自动对其进行拦截。当然，在安装某些合法的软件时，如果因为DefenseWall的保护作用而出错的话，可以点击上述菜单中的“Run as trusted”项，让其自由运行。对于文件夹和磁盘来说，也可以在其右键菜单点击上述“Run as untrusted”项，来安全将其打开，防止遭到“Autorun.inf”之类文件的攻击。对于非信任的程序来说，DefenseWall可以防止其修改可执行文件、进程间通讯、修改系统重要文件、增加或者修改启动项、驱动文件和系统服务、修改桌面和浏览器设定、插件和扩展、全局钩子、注入信任进程、截屏等具有威胁性的操作。为了发挥非信任区的威力，应该将所有可能被病毒利用的途径全部添加进来。

当然，为了避免DefenseWall对常见的操作造成影响，可以根据需要在其菜单中点击“Disable Protection”项，暂时禁用其保护功能，之后及时将其激活即可。对于高级用户来说，需要开启DefenseWall的警报功能，在其主界面中点击“Advanced” 和“Options”按钮，在弹出窗口中勾选“Alarm notification via tray icon”项即可。点击“File and Registry Protection Excludes”项，可以将选定的文件或者注册表项目排除在保护范围外；点击“Secured Files”按钮，可以将文件放在安全区中，非信任程序将无法访问这些文件；点击“Download Areas”按钮，可以设置保存下载文件的目录，让各种下载工具顺利保存文件。对于下载区中的文件来说，非信任程序可以对其进行访问或者修改操作；点击“Password Protection”按钮，可以为DefenseWall设置保护密码；点击“Resource Protection”按钮，可以针对不同的非信任程序，额外地添加需要保护的文件、文件夹或者注册表路径，例如将密码文件、注册信息等敏感数据保护起来，让非信任程序无法对其进行访问。当然，如果DefenseWall拦截到高级键盘记录动作，会自动弹出拦截窗口，让用户进行决断。除了抗击一般的病毒外，DefenseWall还可以对付狡猾的NTFS数据流病毒、RootKit病毒等。

保护系统安全的“小尖兵”

现在的安全软件虽然功能强大，可是操作起来并不简单，不断弹出的各种警告拦截窗口不免让用户产生抱怨。其实，使用小狐狸防护系统这款小巧的绿色软件，就可以有效保护系统安全，而且其运作模式更加智能和安静。将该软件解压后，运行其中的“Yasbox.exe”程序，就可以让其为您服务了。在其主界面中显示进程列表信息，进程其实是具有不同的运行权限的，针对不同的进程设置不同的权限，对于系统安全关系重大。

在列表中选择目标进程，在其右键菜单中点击“查看进程权限”项，在弹出的窗口（如图3所示）中可以按照窗口、进程/线程、内存、注册表、文件系统、其他等类别，进行不同权限的设定操作。

图3 管理进程权限

注意：其中的某些权限不要选用，以免对系统构成威胁，例如在“窗口”栏中不要选择“键盘钩子”项，防止其盗取输入的敏感信息（账户密码等）；在“进程/线程”栏中不要选择“远程线程”项，避免其非法注入其他合法进程；在“文件系统”栏中不要选择“创建文件”和“IO控制码”项，避免执行其非法修改其他文件或者创建不法文件等操作。

不管病毒、木马等恶意程序多么狡诈，要想对系统造成破坏，其必须获得运行权，只要对其活动进行监控和拦截，病毒就会无计可施。在窗口左侧点击“系统设置”按钮，在弹出窗口中的“其他设置”栏中建议勾选所有的项目，例如运行进程时询问、加载驱动时询问、运行非数字签名进程时询问、可以感染文件运行时询问等项目，来最大限度地降低病毒的危害。在“信任进程”列表的右键菜单中点击“添加”按钮，可以将信任的程序添加进来。在其下列表中按照同样的方法，可以将不受信任的程序添加进来。这样，可以构建信任和非信任文件列表。对于非信任列表中的文件来说，其活动将会受到严密监控。在“全集规则设置”栏中点击“设置”链接，可以针对新建进程配置管控规则，其操作界面和上面提到的进程权限管理窗口完全一致，可以对新建进程的所有动作进行管控。

为了保护文件安全，避免对其进行非法操作，可以在窗口左侧点击“文件设置”按钮，在弹出窗口中的“路径/文件”栏中输入文件路径，例如输入“C:*.doc”，表示保护C盘根目录的所有DOC文件。如果勾选“继承子目录”项，则可以表示保护C盘中的所有DOC文件。在窗口底部选择针对特定文件可以执行的权限，包括允许写入、删除文件、移动文件、创建文件等。如果不选择对应的项目，表示无法对文件执行该操作。例如不能选择“删除文件”项，那么将无法删除目标文件等。点击“添加”按钮，完成该文件访问规则的创建。同理，可以创建多个文件访问规则，实现对文件的全面保护。注册表可谓系统的关键部位，自然是该软件重点保护对象，点击窗口左侧的“注册表设置”按钮，在弹出窗口中显示受到保护的注册表项目。点击“开启整个注册表保护”链接，那么整个注册表都将处在保护范围内。

在互联网时代，上网冲浪是每个用户几乎每天的必修课，在网络环境中，可谓充满了危机，稍不注意，就可能遭到来自网络的攻击，因此，对网络访问进行全面保护，就显得极为重要了。在窗口左侧点击“网络设置”按钮，在弹出窗口（如图4所示）中点击“启动网络保护”链接，激活网络防护模块。在“全部设置”栏中可以自由开启或者禁止收发不同类型的网络包，包括TCP、UDP、ICMP、IGMP、ARP 等 数 据包。对于内网用户，最好点击“ARP防护”链接，将ARP攻击拒之门外。勾选“禁止下列服务”项，就可以毫不费力的关闭 137、138、139、445 等具有潜在隐患的网络端口。在“网络设置”面板中的“开始IP”和“结束IP”栏中分别输入对应的IP，点击“添加”按钮，就可以该地址范围添加到禁用列表中，之后该范围的IP将无法和本机通讯。

防杀一体 为系统筑起安全墙

图4 网络安全设置界面

同以上软件相比，火绒安全软件是一款功能强悍的安全工具，可以对系统的方方面面进行防护，让病毒木马无隙可钻，当其运行后，会隐藏在系统托盘中，对系统进行全面监控。无需进行任何设置，该软件就可以对系统的各个关键部分进行保护。例如，可以对病毒进行实时防御、对未知病毒进行拦截、对下载文件和聊天内容进行监控、防御优盘病毒、对各种可疑动作进行拦截和防御等。在默认情况下，无需用户过多干预，该软件就可以抗击各种安全威胁，当然，如果其发现有可疑文件试图对系统进行破坏，就会弹出警告窗口引起用户的注意。

在系统托盘中双击火绒安全图标，在其主界面中点击“实时防护”按钮，可以在病毒防御、系统防护、网络管理等面板中调整各个安全模块的开启或者关闭状态。除了上面谈到的保护项目外，还可以激活始针对浏览器主页、ARP防护、通讯防护等模块的保护功能。其实，火绒安全本身就是一款功能强悍的杀毒软件，利用其内置的小巧高效的杀毒引擎，可以对病毒执行快速有效的清除操作。点击“病毒查杀”按钮，可以执行全盘查杀、快速查杀、自定义查杀等清扫模式。同别的杀毒软件相比，火绒安全具有扫描速度快等优点。

点击“网络管理”按钮，在打开窗口中可以对网络活动进行全面监控。在流量监控界面中可以对处于活动状态的各种网络程序进行管理，设置其上传或者下载的带宽。在网络连接界面中可以查看所有的网络连接信息，不仅可以查看远程主机的地理位置信息，而且可以执行关闭连接、定位文件、结束进程等操作。在历史流量界面中可以查看不同网络程序使用的总流量信息，找出消耗带宽的“大户”，对其进行合理限速。对于来历不明的网络程序，还可以为其配置安全规则，将其加入到阻止联网程序列表中，切断其连接通道。

在联网控制界面中可以列出当前所有的联网程序。也可以点击“添加规则”按钮，选中其他程序，将其添加到控制列表中来。在“规则范围外程序联网时”列表中如果选择“阻止联网”项，则禁止控制列表之外的程序访问网络。选择“询问我”项，则可以由您决定是否允许列表之外的程序访问网络。在“控制方式”列表中可以针对不同的程序，将其加入信任程序或者阻止联网列表。如果选择“自定义”项，在弹出窗口可以灵活控制其联网行为。点击“添加端口”按钮，在端口规则编辑窗口中选择合适的协议（TCP或者UDP），端口（单个端口或者某个端口范围）、动作（外联或者监听）以及操作类型（允许联网，阻止联网），点击确定按钮，可以为该程序配置合适的端口规则。同理，可以添加多个端口规则，对该程序的联网行为进行精确控制。

除了基本的防护功能外，火绒安全还自带了一些实用的小工具。在其主界面中点击“工具大全”按钮，利用常用工具栏中提供的小工具，可以执行清扫垃圾、管理右键菜单、修改Host文件等操作。在“高级工具”栏中提供了一些实用性很强的安全工具，例如点击“火绒剑”项，启动系统安全高级分析工具，在其主界面中的“进程”面板中显示所有的活动进程信息，选中对应的进程，可以查看其模块列表、句柄列表、内存列表信息。在“系统”面板中点击“开启监控”按钮，在监控范围内的程序活动情况尽收眼底，包括执行监控、文件监控、注册表监控、进程监控、网络监控、行为监控等。

在“启动项”面板中列出了所有的启动项信息，可以让隐藏其中的病毒木马彻底现出原形。在窗口左侧可以分门别类选择启动项类型，所有的可疑项目全部以红色进行标记。对于病毒木马启动项，直接将其删除或者禁用即可。在“服务”、“内核”、“钩子”、“驱动”等面板中，可以让您管理和查看所有的系统核心项目，对于标记为红色或者黄色的项目，表示其非常可疑需要小心提防。在“网络”面板中显示所有的网络连接项目，对于没有数字签名的对象，要仔细对其进行安全性检测。如果病毒封锁了注册表编辑器，隐藏了相关文件，可以在“注册表”或者“文件”面板中对注册表进行编辑，对文件进行查看或者访问。在“高级工具”栏中点击“通讯防护”项，可以管理通信防护项目，可以对ICMP规则、端口规则、IP规则、IP黑名单等对象进行修改、添加、激活等管控操作，这对于提高网络安全意义非凡。

火绒安全的一大特点是具有主动防御功能，可以对未知病毒的活动进行监控。点击“防护规则”项，在规则管理界面左侧点击“系统防护项目”项，在右侧可以管控针对文件系统保护，不同的模块其中包含了数量不等的规则项目，在默认情况下，火绒安全已经开启了一些最关键的保护项目，有些次要一些的安全项目并未开启，您可以根据需要来激活所需的项目，例如，针对越来越多的病毒采用驱动文件的行为进行加载的情况，可以在“敏感动作拦截”栏中选择“驱动加载”项，让这些高级病毒无法隐藏自己的踪迹。当然，您也可以自定义规则，进一步提高防御能力。在窗口左侧点击“自定义防护项目”项，在右侧窗口点击“添加规则”项，输入规则名称，选择规则类型（包括文件保护和注册表保护），添加所需的规则。对于文件保护规则来说，可以为选定的文件配置保护动作，包括创建、读取、写入、删除、执行等。对于注册表保护动作来说，可以对选中的注册表路径配置保护动作、。对于受到保护的项目来说，对其访问必须安装规则进行。例如，对与注册表中的某个启动项来说，如果为其设置禁止创建、删除、写入等规则，那么别的程序就无法对其执行修改动作了。当然，您也可以使用现成的安全规则。点击“导入”按钮，选择后缀为“.json”的规则文件，就可以将其中的规则项目全部添加进来。打开网址“http://bbs.huorong.cn/forum-45-1.html”，可以在线搜索所需的规则文件。