傳統(tǒng)防火墻的工作模式相信大家已經(jīng)非常熟悉了。但目前各種惡意程序?qū)映霾桓F，有些惡意軟件又不是傳統(tǒng)意義上的病毒，傳統(tǒng)防火墻顯然管不了這么多。

Ghost Security Suit(以下簡稱GSS)集成了進程防火墻和注冊表防火墻功能，同時將進程和注冊表保護起來，任何程序的運行以及修改注冊表的非法操作都會被GSS及時攔截，這樣不管病毒等惡意程序有多大的“神通”，在GSS的“雙料”防火墻面前也無技可施。相反，根據(jù)GSS提供的提示信息，可以輕松發(fā)現(xiàn)惡意程序的行蹤，進而徹底刪除。

進程防火墻

在GSS主窗口左側(cè)的“AppDefend”面板的列表中選擇“ADSecure”項，就可以激活GSS內(nèi)置的進程防火墻。

實戰(zhàn)進程防火墻

這里以Xploit木馬為例，當(dāng)Xploit木馬通過各種途徑潛入到系統(tǒng)中后，木馬主程序Server．exe試圖運行時，當(dāng)即被GSS發(fā)現(xiàn)并進行了攔截，GSS同時立即彈出“ProcessStarting(進程開始)”詢問對話框(如圖1)，在其中的“This process is being started(進程開始)”面板中顯示被攔截的程序的名稱和路徑信息，在“Parent Process(宿主進程)”面板中顯示該進程的宿主進程。在“ExtraInformation(附加信息)”面板中顯示額外的描述信息，例如該程序試圖啟動時的時間等。根據(jù)運行的程序名稱，我們很容易判斷它是否正常的程序，并進行相應(yīng)操作。

詳細設(shè)置監(jiān)控權(quán)限

GSS不僅可以及時阻止可疑程序運行，對于已經(jīng)運行的程序，同樣可以進一步限制它的“活動范圍”。在GSS主窗口中打開“AppDefend”面板(如圖2)，在左側(cè)的列表中顯示當(dāng)前的所有進程信息。選中一個程序，在“Permissons(許可)”欄中可以設(shè)置該程序的運行權(quán)限。在其中的所有列表中都包括“Block(阻止)”、“Allow(允許)”、“Ask User／Block(詢問／運行)”、“Ask User／Allow(詢問／允許運行)”、“Default(默認狀態(tài))”等權(quán)限項目。

在其中的“Execution”列表中可以設(shè)置是否允許該程序正常運行；在“Start Application(啟動程序)”列表中可以設(shè)置是否允許該進程啟動其它程序；在“NetworkAccess(網(wǎng)絡(luò)接入)”列表中可以設(shè)置是否允許該程序訪問網(wǎng)絡(luò)；在“Terminate(終結(jié))”列表中可以設(shè)置是否允許該進程程序結(jié)束其它進程，在“Keylogging(鍵盤記錄)”列表中設(shè)置是否允許該進程記錄鍵盤操作等等。

注冊表防火墻

注冊表是病毒、黑客軟件、木馬等惡意程序最常“光顧”的地方。面對“窮兇極惡”的惡意程序，怎樣才能全面保護注冊表的安全呢?

管理注冊表防火墻

GSS基于注冊表內(nèi)核保護，能在其它程序讀寫注冊表之前激活保護功能。GSS采用規(guī)則機制保護注冊表安全，規(guī)則隸屬于相應(yīng)的組。GSS默認內(nèi)置了“Global RegistryRules”和“Application Rules”兩種類型的規(guī)則組，可以對注冊表進行全面監(jiān)控。

當(dāng)有程序試圖修改注冊表時，GSS內(nèi)置的注冊表防火墻即可對其進行攔截，并且彈出詢問對話框(如圖3)，除了常規(guī)選項外，還可以點擊“Kill Process(關(guān)閉進程)”按鈕和“Kill Thread(關(guān)閉線程)”按鈕，從而直接關(guān)閉可疑的進程或?qū)?yīng)的線程。

添加新規(guī)則

GSS還允許用戶添加新的保護規(guī)則：在配置面板左側(cè)選中合適的類別，輸入新的組名，點擊“Add Group”按鈕建立新組。在窗口底部的“Registry Key(主鍵名)”欄中顯示選中的主鍵名。在“Registry Value(主鍵值)”欄中顯示選中的鍵值名，兩者都支持“*、**、?”三種通配符。其中“*”代表任意字符串，遇到“＼”符號則中止?！?”代表單個字符， “**”代表任意字符串，遇到“＼”不中止。例如在“Registry Key”欄設(shè)置為“HKEY_LOCAL_MACHINEISoftware＼Microsoft＼Windows＼Currentversion＼Run**”，在“RegistryValue”欄中設(shè)置“*”，即可對所有的注冊表啟動項以及其中包含的鍵值進行全面監(jiān)控。

在配置面板的規(guī)則列表中選中新建規(guī)則，在下面的“1．On these events”欄中顯示6種注冊表讀寫操作，包括“Read Keys(讀取主鍵)”、“Create Key(建立主鍵)”、“Modify Keys(修改主鍵)”等，并且以上各項可任意組合。接下來可以在“2．Perform these actions”欄中設(shè)定當(dāng)滿足此條規(guī)則時，是執(zhí)行觸發(fā)“Block(阻止)”操作，“Log to Disk(寫入日志)”操作，還是“Ask User(詢問用戶)”操作(如圖4)。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。