论文部分内容阅读
传统防火墙的工作模式相信大家已经非常熟悉了。但目前各种恶意程序层出不穷,有些恶意软件又不是传统意义上的病毒,传统防火墙显然管不了这么多。
Ghost Security Suit(以下简称GSS)集成了进程防火墙和注册表防火墙功能,同时将进程和注册表保护起来,任何程序的运行以及修改注册表的非法操作都会被GSS及时拦截,这样不管病毒等恶意程序有多大的“神通”,在GSS的“双料”防火墙面前也无技可施。相反,根据GSS提供的提示信息,可以轻松发现恶意程序的行踪,进而彻底删除。
进程防火墙
在GSS主窗口左侧的“AppDefend”面板的列表中选择“ADSecure”项,就可以激活GSS内置的进程防火墙。
实战进程防火墙
这里以Xploit木马为例,当Xploit木马通过各种途径潜入到系统中后,木马主程序Server.exe试图运行时,当即被GSS发现并进行了拦截,GSS同时立即弹出“ProcessStarting(进程开始)”询问对话框(如图1),在其中的“This process is being started(进程开始)”面板中显示被拦截的程序的名称和路径信息,在“Parent Process(宿主进程)”面板中显示该进程的宿主进程。在“ExtraInformation(附加信息)”面板中显示额外的描述信息,例如该程序试图启动时的时间等。根据运行的程序名称,我们很容易判断它是否正常的程序,并进行相应操作。
详细设置监控权限
GSS不仅可以及时阻止可疑程序运行,对于已经运行的程序,同样可以进一步限制它的“活动范围”。在GSS主窗口中打开“AppDefend”面板(如图2),在左侧的列表中显示当前的所有进程信息。选中一个程序,在“Permissons(许可)”栏中可以设置该程序的运行权限。在其中的所有列表中都包括“Block(阻止)”、“Allow(允许)”、“Ask User/Block(询问/运行)”、“Ask User/Allow(询问/允许运行)”、“Default(默认状态)”等权限项目。
在其中的“Execution”列表中可以设置是否允许该程序正常运行;在“Start Application(启动程序)”列表中可以设置是否允许该进程启动其它程序;在“NetworkAccess(网络接入)”列表中可以设置是否允许该程序访问网络;在“Terminate(终结)”列表中可以设置是否允许该进程程序结束其它进程,在“Keylogging(键盘记录)”列表中设置是否允许该进程记录键盘操作等等。
注册表防火墙
注册表是病毒、黑客软件、木马等恶意程序最常“光顾”的地方。面对“穷凶极恶”的恶意程序,怎样才能全面保护注册表的安全呢?
管理注册表防火墙
GSS基于注册表内核保护,能在其它程序读写注册表之前激活保护功能。GSS采用规则机制保护注册表安全,规则隶属于相应的组。GSS默认内置了“Global RegistryRules”和“Application Rules”两种类型的规则组,可以对注册表进行全面监控。
当有程序试图修改注册表时,GSS内置的注册表防火墙即可对其进行拦截,并且弹出询问对话框(如图3),除了常规选项外,还可以点击“Kill Process(关闭进程)”按钮和“Kill Thread(关闭线程)”按钮,从而直接关闭可疑的进程或对应的线程。
添加新规则
GSS还允许用户添加新的保护规则:在配置面板左侧选中合适的类别,输入新的组名,点击“Add Group”按钮建立新组。在窗口底部的“Registry Key(主键名)”栏中显示选中的主键名。在“Registry Value(主键值)”栏中显示选中的键值名,两者都支持“*、**、?”三种通配符。其中“*”代表任意字符串,遇到“\”符号则中止。“?”代表单个字符, “**”代表任意字符串,遇到“\”不中止。例如在“Registry Key”栏设置为“HKEY_LOCAL_MACHINEISoftware\Microsoft\Windows\Currentversion\Run**”,在“RegistryValue”栏中设置“*”,即可对所有的注册表启动项以及其中包含的键值进行全面监控。
在配置面板的规则列表中选中新建规则,在下面的“1.On these events”栏中显示6种注册表读写操作,包括“Read Keys(读取主键)”、“Create Key(建立主键)”、“Modify Keys(修改主键)”等,并且以上各项可任意组合。接下来可以在“2.Perform these actions”栏中设定当满足此条规则时,是执行触发“Block(阻止)”操作,“Log to Disk(写入日志)”操作,还是“Ask User(询问用户)”操作(如图4)。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
Ghost Security Suit(以下简称GSS)集成了进程防火墙和注册表防火墙功能,同时将进程和注册表保护起来,任何程序的运行以及修改注册表的非法操作都会被GSS及时拦截,这样不管病毒等恶意程序有多大的“神通”,在GSS的“双料”防火墙面前也无技可施。相反,根据GSS提供的提示信息,可以轻松发现恶意程序的行踪,进而彻底删除。
进程防火墙
在GSS主窗口左侧的“AppDefend”面板的列表中选择“ADSecure”项,就可以激活GSS内置的进程防火墙。
实战进程防火墙
这里以Xploit木马为例,当Xploit木马通过各种途径潜入到系统中后,木马主程序Server.exe试图运行时,当即被GSS发现并进行了拦截,GSS同时立即弹出“ProcessStarting(进程开始)”询问对话框(如图1),在其中的“This process is being started(进程开始)”面板中显示被拦截的程序的名称和路径信息,在“Parent Process(宿主进程)”面板中显示该进程的宿主进程。在“ExtraInformation(附加信息)”面板中显示额外的描述信息,例如该程序试图启动时的时间等。根据运行的程序名称,我们很容易判断它是否正常的程序,并进行相应操作。
详细设置监控权限
GSS不仅可以及时阻止可疑程序运行,对于已经运行的程序,同样可以进一步限制它的“活动范围”。在GSS主窗口中打开“AppDefend”面板(如图2),在左侧的列表中显示当前的所有进程信息。选中一个程序,在“Permissons(许可)”栏中可以设置该程序的运行权限。在其中的所有列表中都包括“Block(阻止)”、“Allow(允许)”、“Ask User/Block(询问/运行)”、“Ask User/Allow(询问/允许运行)”、“Default(默认状态)”等权限项目。
在其中的“Execution”列表中可以设置是否允许该程序正常运行;在“Start Application(启动程序)”列表中可以设置是否允许该进程启动其它程序;在“NetworkAccess(网络接入)”列表中可以设置是否允许该程序访问网络;在“Terminate(终结)”列表中可以设置是否允许该进程程序结束其它进程,在“Keylogging(键盘记录)”列表中设置是否允许该进程记录键盘操作等等。
注册表防火墙
注册表是病毒、黑客软件、木马等恶意程序最常“光顾”的地方。面对“穷凶极恶”的恶意程序,怎样才能全面保护注册表的安全呢?
管理注册表防火墙
GSS基于注册表内核保护,能在其它程序读写注册表之前激活保护功能。GSS采用规则机制保护注册表安全,规则隶属于相应的组。GSS默认内置了“Global RegistryRules”和“Application Rules”两种类型的规则组,可以对注册表进行全面监控。
当有程序试图修改注册表时,GSS内置的注册表防火墙即可对其进行拦截,并且弹出询问对话框(如图3),除了常规选项外,还可以点击“Kill Process(关闭进程)”按钮和“Kill Thread(关闭线程)”按钮,从而直接关闭可疑的进程或对应的线程。
添加新规则
GSS还允许用户添加新的保护规则:在配置面板左侧选中合适的类别,输入新的组名,点击“Add Group”按钮建立新组。在窗口底部的“Registry Key(主键名)”栏中显示选中的主键名。在“Registry Value(主键值)”栏中显示选中的键值名,两者都支持“*、**、?”三种通配符。其中“*”代表任意字符串,遇到“\”符号则中止。“?”代表单个字符, “**”代表任意字符串,遇到“\”不中止。例如在“Registry Key”栏设置为“HKEY_LOCAL_MACHINEISoftware\Microsoft\Windows\Currentversion\Run**”,在“RegistryValue”栏中设置“*”,即可对所有的注册表启动项以及其中包含的键值进行全面监控。
在配置面板的规则列表中选中新建规则,在下面的“1.On these events”栏中显示6种注册表读写操作,包括“Read Keys(读取主键)”、“Create Key(建立主键)”、“Modify Keys(修改主键)”等,并且以上各项可任意组合。接下来可以在“2.Perform these actions”栏中设定当满足此条规则时,是执行触发“Block(阻止)”操作,“Log to Disk(写入日志)”操作,还是“Ask User(询问用户)”操作(如图4)。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。