惡意代碼防范工具

惡意代碼防范工具劉功申上海交通大學信息安全工程學院本章學習目標掌握殺毒軟件的使用和配置掌握木馬查殺工具的使用掌握個人防火墻使用了解其他防范工具

本章內容瑞星殺毒軟件木馬克星個人防火墻工具其他工具RegmonFilemonProcessExplorer章節(jié)實驗1瑞星殺毒軟件核心功能系統(tǒng)保護查殺病毒主動防御賬號保險柜即時升級瑞星個人防火墻瑞星卡卡上網安全助手其它功能U盤病毒免疫、智能提速、硬盤備份、系統(tǒng)修復、IE保護、安全工具集成與64位操作系統(tǒng)支持等使用菜單欄“操作”“視圖”“設置”“幫助”。

殺毒用戶可以在對象欄中選擇查殺目標和快捷方式，殺毒軟件針對查殺目標進行病毒的掃描和清除功能。

監(jiān)控文件監(jiān)控郵件監(jiān)控網頁監(jiān)控

防御系統(tǒng)加固應用程序訪問控制應用程序保護程序啟動控制惡意行為檢測隱藏進程檢測自我保護工具其它嵌入式殺毒

賬號保險柜

瑞星助手

硬盤數(shù)據(jù)備份

漏洞掃描

病毒隔離系統(tǒng)

專殺工具

安檢對計算機進行較全面的評測，顯示當前計算機的安全等級及系統(tǒng)狀態(tài)，并根據(jù)檢測結果推薦用戶進行相應的操作，提高計算機的安全等級。

配置詳細設置手動查殺

快捷方式查殺

定制任務

嵌入式殺毒

其它設置

計算機監(jiān)控設置文件監(jiān)控設置郵件監(jiān)控設置網頁監(jiān)控設置主動防御設置系統(tǒng)加固：顯示當前系統(tǒng)加固的安全級別。應用程序保護：顯示當前用戶啟用的規(guī)則數(shù)。應用程序訪問控制：顯示當前用戶啟用的規(guī)則數(shù)。程序啟動控制：顯示當前用戶啟用規(guī)則數(shù)。惡意行為檢測：顯示當前惡意行為檢測級別。隱藏進程檢測：顯示當前隱藏進程檢測功能是否運行。自我保護：顯示自我保護的狀態(tài)。

切換皮膚用戶可以選擇不同殺毒軟件外觀的風格，例如懷舊情調、藍色月光、玄之魅影和古典朱紅。切換語言根據(jù)用戶需要，提供軟件支持語言的實時切換，包括中文簡體、中文繁體與English等。上報可疑文件殺毒軟件向用戶提供上報可疑文件功能。文件粉碎對于一些惡意文件而系統(tǒng)又難以刪除的，文件粉碎功能可以將其清除。

2木馬克星木馬克星集查殺木馬、反黑客程序、內置反黑客防火墻、系統(tǒng)檢測工具、瀏覽器修復等多項功能及于一身，能為計算機系統(tǒng)提供全方位的保護。其采用動態(tài)監(jiān)視網絡連接與靜態(tài)特征字掃描技術，可以準確查殺被壓縮過的木馬、注入類的木馬程序。

木馬克星目前可查殺六萬余種木馬，對于密碼偷竊木馬、電子郵件木馬都有很好的查殺效果。特點全新的網絡支付保護技術；加強的主動防御能力；全面的流行網絡游戲安全保護；保護即時通訊軟件賬戶安全；系統(tǒng)資源占用小；內置木馬、黑客防火墻；定期更新病毒庫，交互式操作更簡便

安裝使用掃描內存軟件啟動后會自動進入掃描內存頁面，它直觀地顯示了當前內存中是否隱藏有木馬、是否有可疑程序監(jiān)視鍵盤輸入，并且可以自動殺查內存中的木馬，不需要人工干預。

掃描硬盤在主界面或者“功能”菜單中中點擊“掃描硬盤”，進入掃描硬盤頁面，可以選擇是否清除木馬，在輸入框的右邊可以選擇掃描路徑，并可以進行全硬盤掃描。設置可以選擇軟件是否在系統(tǒng)啟動時自動啟動、主動更新與聲音告警可以設置木馬攔截功能：網絡攔截、監(jiān)視網絡信息、監(jiān)視郵件和密碼保護

更新病毒庫為了應對新出現(xiàn)的木馬，需要定時升級木馬病毒庫。刷新刷新功能點擊后將會掃描內存，重新得到網絡狀態(tài)，系統(tǒng)進程，啟動項目的信息。系統(tǒng)進程進入系統(tǒng)進程頁面可以看到系統(tǒng)中都有那些程序在運行

網絡狀態(tài)

在該頁面可以查看當前網絡情況。

查看共享在該頁面可以查看硬盤是否在網絡中公開。啟動項目可以查看隨Windows系統(tǒng)啟動運行的程序，用鼠標左鍵選擇某程序后，可以按delete鍵刪除進程。監(jiān)視網絡

查看每個程序讀取網絡的情況。隔離區(qū)查看哪些木馬被查殺。用鼠標右鍵選擇后可以恢復。

3個人防火墻工具個人防火墻是對付木馬等網絡惡意代碼、網絡攻擊的必要工具，因此，廠商們推出了凜凜種種的個人防火墻產品。常見的個人防火墻產品包括Windows操作系統(tǒng)自帶的個人防火墻、天網個人防火墻、費爾個人防火墻、360安全衛(wèi)士防火墻、以及瑞星、金山、卡巴斯基等殺毒軟件自帶的個人防火墻等等。

Windows防火墻是基于主機的狀態(tài)防火墻，它丟棄所有未請求的傳入流量，避免那些依賴未請求的傳入流量來攻擊網絡上的計算機的惡意用戶和程序。未請求的傳入流量包括：沒有對應于為響應計算機的某個請求而發(fā)送的請求流量、沒有對應于已指定為允許的未請求的異常流量。啟動Windows防火墻的配置界面可以在“控制面板—〉安全中心”啟動，其啟動界面如圖所示。也可以通過“本地連接”的屬性，選擇“高級”選項，點擊設置進入Windows防火墻的配置界面。常規(guī)功能“啟用(推薦)”。選擇這個選項來對“高級”選項中所有網絡連接啟用Windows防火墻,啟用后將僅允許請求的和例外端口訪問請求。例外端口等可在“例外異?！边x項卡上進行配置?！安辉试S例外”。單擊這個選項來僅允許請求的端口訪問，如果不勾選該選項，則所有連接都將受到保護，而不管“高級”選項卡上是如何設置的?！敖谩?。選擇這個選項來禁用windows防火墻。此操作不推薦。例外功能在“例外”選項卡上，可以啟用或禁用某個現(xiàn)有的程序或服務，或者維護用于定義異常流量的程序或服務的列表。

高級功能網絡連接設置安全日志ICMP默認設置

4其他工具除了大家常見的殺毒軟件、木馬查殺軟件、個人防火墻以外，還有一些工具可以用于惡意代碼的防范。盡管一般用戶很少使用這些軟件，但它們卻深受廣大系統(tǒng)管理員以及專業(yè)信息安全人員的歡迎。這些鮮為人知的軟件包括Regmon、FileMon、ProcessExplorer等。4其他工具-RegmonRegMon是一款出色的跟蹤注冊表變化的綠色免安裝軟件?！氨４妗惫δ苡糜趯⒚恳淮蔚谋O(jiān)視結果以*.log格式的文件保存下來，可以用記事本之類的文本編輯器查看?！按蜷_”功能用于在Remon中打開以前保存監(jiān)視結果的文件?！安东@（監(jiān)視）”的按鈕為啟動捕獲注冊表信息的開關。

當按下“過濾”的按鈕時，會彈出一個對話框，對Regmon的過濾選項進行設置，以便進行有效監(jiān)視。“歷史深度”可以設置主窗口里只保留最新的記錄數(shù)。

“查找”可以在已監(jiān)視到的記錄中查找所需的內容。

4其他工具-FilemonFilemon用于實時監(jiān)視文件系統(tǒng)，它可以監(jiān)視應用程序進行的文件讀寫操作，記錄所有與文件一切相關操作（如讀取、修改、出錯信息等），并允許計算機用戶對記錄的信息進行保存、過濾、查找等處理，便于對系統(tǒng)進行維護。主界面#：進程PID號；Time：時間；Process：進程名稱；Request：動作，該進程在干什么；Path：路徑；Result：動作對應的結果（是否成功）；Other：其他的動作。File菜單open：可以打開以往保存的分析記錄，記錄為LOG格式的文本；Save/saveas：即把分析保存或另存為文本記錄；Patheproperties：查看當前選定項對應文件的目錄以及一些基本信息；Captureproperties：和Patheproperties作用類似；Exit：退出程序。Edit菜單Copy：把當前選定項的信息以文本方式拷貝到剪貼板；Delete：刪除當前選定項；Includeprocess：包含選定的進程項，即把選頂?shù)倪M程放在監(jiān)控范圍內；Excludeprocess：排除選定的進程項，對選定的進程不監(jiān)控；Includepath：包含該進程文件所在目錄，即對該目錄進行監(jiān)控Exclubepath：排除選頂進程所在目錄或者選頂目錄，即對該目錄不監(jiān)控；Find：按進程名在結果中進行查找；Explorerjump：跳到選定進程對應文件所在的目錄；Cleardisplay：清除所有監(jiān)控結果。Options菜單Font：對監(jiān)控結果顯示的字體進行設置；Highlightcolors：對選定項的顏色進行設置；Filter/highlight：過濾窗口設置；Historydepth：彈出監(jiān)控的目錄深度設置對話框，默認不限深度；Autoscroll：監(jiān)視結果自動滾動；Advancedoutput：高級輸出，即把一些系統(tǒng)進程也放到監(jiān)控范圍內輸出；Clocktime：設置時間顯示格式；Showmilliseconde：顯示時間精確到毫秒。4其他工具-ProcessExplorerProcessExplorer是一款進程管理的工具，可用來方便查看各種系統(tǒng)進程，以及后臺執(zhí)行的處理程序，其最大的特點是可以終止任何進程，甚至包括系統(tǒng)的關鍵進程?；驹O置基本設置可以對軟件進行美化。設置字體、背景色等。進程查看進程查看有很多種方式，進程“Process”、進程身份標識“PID”、占用率“CPU”、描述“Description”和公司名“CompanyName”項目。鼠標雙擊要查看的進程，可以顯示它的屬性，并分析其各項指數(shù)和功能，從而避免染上病毒?？梢圆榭雌湫阅埽≒erformance）、性能曲線樣表（PerformanceGraph）、線程（Threads）及安全（Security）等，判斷是否感染了病毒。

查看句柄或DLL

如果需要獲取未知進程的屬性及其調用的系統(tǒng)進程，可以分析該進程的所有句柄。

設置進程優(yōu)先級

為了優(yōu)化資源，可以給一些重要軟件、使用頻繁的軟件進程設置較高的優(yōu)先級，在進程窗口里選中程序進程，右鍵選設置優(yōu)先級“SetPriority”，可以設置成“High”、“Realtime”等

替換任務管理器

可以直接替換掉Windows自帶的任務管理器，可打開“Options”－>“ReplaceTaskManager”（見圖11-59），這樣以后按下“Alt＋Ctrl＋Delete”組合鍵時，會執(zhí)行ProcessExplorer。5章節(jié)實驗【實驗目的】掌握瑞星殺毒軟件的使用掌握木馬克星工具的使用掌握WindowsXP個人防火墻的使用掌握Filemon，Re