小王最近测试了一款安全辅助工具,名叫无毒空间(官网:http://www.virusfree.com.cn),主界面如图1、2所示,该程序设计思路有异于目前市场上所有安全类软件,使用了纯白名单的核心技术,由于她抓住了“是程序总是要执行的”这一电脑程序的本质特征,巧妙的解决了未知程序非授权偷偷执行的问题。所以,正确使用该软件,完全可以拒病毒木马等恶意程序于电脑外,让用户的电脑形成真正的无毒空间。由于该系统专门用于拦截未知电脑程序,本身并不是查杀毒软件,用户使用该系统之前,应该先确认自己的电脑是干净无毒的(简单的办法就是使用现有的查杀毒软件对电脑全面查杀一遍),或者在新安装系统后马上使用无毒空间。
图1
图2
因为这类软件多是对系统底层操作的,以前测试这类软件时容易造成系统崩溃,出现蓝屏,所以我先在两个新安装的虚拟机(xp pro和win2000 ad server)上进行了下面的测试,没发现问题后,才在本地机测试:
1、在虚拟机上安装正版瑞星和360,然后安装无毒空间,测试是否存在冲突,结果一切正常;
2、先后升级系统补丁、杀软、360,担心的蓝屏和异常情况没有出现;
3、重启虚拟机,分别进入安全模式和正常模式,没发现问题;
4、开启无毒空间的实时拦截模式(右键单击屏幕右下角的无毒空间图标设置开启在线提示模式还是实时拦截模式),运行IceSword、PEview、RootkitRevealer、SnipeSword等软件,360和无毒空间都出现一些驱动加载提示,允许后一切正常;
5、安装powerbuilder6.5、delphi7、sqlserver2000,无毒空间有数次拦截提示,如图3,图4所示,允许通过后,安装完成;
6、安装使用各类常用办公软件,应用软件,没发现问题;
看来无毒空间的稳定性还行,放心的在本地机安装上了。运行了一段时间,还没有发现问题,运行一些程序时会提示有一些dll文件被调用了,这是正常的,有些程序会调用动态链接库中的一些函数,如果只是读取文件内容,无毒空间不会做提示。无毒空间最大的特点是可以非常方便的查找到未知木马,但需要一定的基础,所以非常适合计算机管理员使用。可能我讲了这么多你还一头雾水,不明白无毒空间是如何工作的,简单的说就是,安装好无毒空间后,无毒空间会在后台对程序建立白名单库,并以此为依据对未知程序进行有效监控,一旦有系统有新的程序执行,无毒空间都会拦截或者提示,用户可根据具体情况选择允许还是禁止,最终实现将未知病毒木马拒之门外的目标。
经过认真试用,发现无毒空间以下几大特色:
1、 查找未知木马立竿见影;
查找可疑文件,需要使用无毒空间的分析功能,分析后的程序列表有500个左右(我的电脑是542个,根据用户电脑安装的程序多少有不同),先隐藏签名认证程序,再过滤知名厂商程序,过滤关键词可参照program files目录后面的路径名称,酌情选取,以不容易重复为要素。
分号隔开,回车有效。
有几个关键词建议用户不要使用,windows、system、driver、program、file、Microsoft。总之,跟windows系统目录相关的关键词不要使用,以防将这些木马喜欢的目录过滤掉了,也就看不到木马或者可疑程序的踪迹了。
一般而言,经过这样几个简单的操作后,剩下的文件就不多了,(用鼠标一个个双击后看文件的属性)再根据经验就能很快找到可疑目标了。
这时,上传vt,让全球知名的40家杀毒软件厂商扫描一下,主要的木马就现形了,如果vt不报毒又非常可疑,使用二进制编辑软件、pe格式分析软件、反汇编工具、动态跟踪软件,经验丰富一点的用户还能直接发现未知木马,那就相当于用户自己抓到的新木马了。
2、 拦截未知木马效果突出;
小王测试的几款安全软件,其工作原理一直为一些病毒木马效仿,比如他们的驱动都动态加载、用后删除,但无毒空间洞若观火,看得一清二楚。如果使用无毒空间的实时拦截状态,这些安全软件不想让用户知道的独特驱动,都可以被轻松拿下。未知木马也是类似的特殊程序,而且也是电脑没有的新程序,所以,其运行自然无法逃过无毒空间的监测或者拦截。
3、 删除顽固程序手段独特;
删除顽固文件只需要知道顽固文件名,在查询里输入这个文件,禁止它后,重启,应该就可以随便处理这个文件了。
当然,如果这个程序是别的程序保护的,需要找到这个程序的保护者,禁止那个程序(一般是驱动),也是随便处理这些恶意程序。
所以使用无毒空间删除顽固木马,绝对是非常有效的,根本不需要什么专杀工具了。
4、 试用各类程序方便无忧。
我们的电脑都免不了要使用各种新的程序,未知程序带来的是未知的风险,如果使用无毒空间,试用程序就变成了一种乐趣。
将无毒空间切换至实时拦截模式,执行新下载的程序,无毒空间即出现拦截窗口,点击“试用”按钮,无毒空间会临时许可程序的执行,但执行的程序并不收录入库,计算机重启启动后,刚才试用的程序又变成未知程序了,自然不能随意运行。如果试用的程序包里暗藏木马,计算机启动后木马会自启动加载自己,无毒空间还会给出未知程序加载的告警,只需简单上传鉴别,是木马的话,选一下禁止,关闭主界面后重启电脑,就将未知木马就地正法了。
5、 监测程序动态一目了然。
有些软件(国内软件居多)将用户的电脑当成“肉鸡”,一旦装上它,就随意蹂躏用户的电脑,但通常用户并不知情。安上无毒空间,你就看吧,电脑里热闹着呢,除了微软有告知的升级外,各类安全软件、娱乐软件、工具软件、都在你的电脑里大显神通,随意无声无息的更新升级,完全没有起码的职业道德。
有个国内非常知名的安全软件,几乎每天将它安装在用户电脑里的程序倒腾一遍,当然,这种倒腾经常是不会告知用户的。
试想一下,你免费请个保姆,她每天在你家里一会儿换锁一会儿挪家具的,你受得了吗?!安装了无毒空间,这些小动作就看得很清楚了。
如果你和我一样因为占用太多资源而不使用杀毒软件,但又担心出现新病毒而中毒,那么小王强烈推荐使用无毒空间,无毒空间的运行速度明显优于各种国际知名的查杀毒软件,而且可以有效拦截病毒运行,当然这个程序只是一个工具,自己不认识病毒木马的,但通过它能快速找到未知病毒木马的。过段时间我打算搭建一个web环境和数据库环境,测试一下无毒空间对web木马和多用户环境下的拦截。
就无毒空间的工作原理来看,目前病毒木马的免杀技术恰恰成了“毒蛇的七寸”,用无毒空间发现它、抓住它,易如反掌。
当然,随着无毒空间的用户数增加,一定会惊动病毒木马的制造者,也许会出现专门针对无毒空间的特制病毒木马,到时候就看无毒空间怎么应对了!
图3
图4
【编辑推荐】