對一款安全軟件——無毒空間的測試
小王最近測試了一款安全輔助工具,名叫無毒空間(官網(wǎng):http://www.virusfree.com.cn),主界面如圖1、2所示,該程序設(shè)計思路有異于目前市場上所有安全類軟件,使用了純白名單的核心技術(shù),由于她抓住了“是程序總是要執(zhí)行的”這一電腦程序的本質(zhì)特征,巧妙的解決了未知程序非授權(quán)偷偷執(zhí)行的問題。所以,正確使用該軟件,完全可以拒病毒木馬等惡意程序于電腦外,讓用戶的電腦形成真正的無毒空間。由于該系統(tǒng)專門用于攔截未知電腦程序,本身并不是查殺毒軟件,用戶使用該系統(tǒng)之前,應(yīng)該先確認(rèn)自己的電腦是干凈無毒的(簡單的辦法就是使用現(xiàn)有的查殺毒軟件對電腦全面查殺一遍),或者在新安裝系統(tǒng)后馬上使用無毒空間。
圖1
圖2
因?yàn)檫@類軟件多是對系統(tǒng)底層操作的,以前測試這類軟件時容易造成系統(tǒng)崩潰,出現(xiàn)藍(lán)屏,所以我先在兩個新安裝的虛擬機(jī)(xp pro和win2000 ad server)上進(jìn)行了下面的測試,沒發(fā)現(xiàn)問題后,才在本地機(jī)測試:
1、在虛擬機(jī)上安裝正版瑞星和360,然后安裝無毒空間,測試是否存在沖突,結(jié)果一切正常;
2、先后升級系統(tǒng)補(bǔ)丁、殺軟、360,擔(dān)心的藍(lán)屏和異常情況沒有出現(xiàn);
3、重啟虛擬機(jī),分別進(jìn)入安全模式和正常模式,沒發(fā)現(xiàn)問題;
4、開啟無毒空間的實(shí)時攔截模式(右鍵單擊屏幕右下角的無毒空間圖標(biāo)設(shè)置開啟在線提示模式還是實(shí)時攔截模式),運(yùn)行IceSword、PEview、RootkitRevealer、SnipeSword等軟件,360和無毒空間都出現(xiàn)一些驅(qū)動加載提示,允許后一切正常;
5、安裝powerbuilder6.5、delphi7、sqlserver2000,無毒空間有數(shù)次攔截提示,如圖3,圖4所示,允許通過后,安裝完成;
6、安裝使用各類常用辦公軟件,應(yīng)用軟件,沒發(fā)現(xiàn)問題;
看來無毒空間的穩(wěn)定性還行,放心的在本地機(jī)安裝上了。運(yùn)行了一段時間,還沒有發(fā)現(xiàn)問題,運(yùn)行一些程序時會提示有一些dll文件被調(diào)用了,這是正常的,有些程序會調(diào)用動態(tài)鏈接庫中的一些函數(shù),如果只是讀取文件內(nèi)容,無毒空間不會做提示。無毒空間最大的特點(diǎn)是可以非常方便的查找到未知木馬,但需要一定的基礎(chǔ),所以非常適合計算機(jī)管理員使用。可能我講了這么多你還一頭霧水,不明白無毒空間是如何工作的,簡單的說就是,安裝好無毒空間后,無毒空間會在后臺對程序建立白名單庫,并以此為依據(jù)對未知程序進(jìn)行有效監(jiān)控,一旦有系統(tǒng)有新的程序執(zhí)行,無毒空間都會攔截或者提示,用戶可根據(jù)具體情況選擇允許還是禁止,最終實(shí)現(xiàn)將未知病毒木馬拒之門外的目標(biāo)。
經(jīng)過認(rèn)真試用,發(fā)現(xiàn)無毒空間以下幾大特色:
1、 查找未知木馬立竿見影;
查找可疑文件,需要使用無毒空間的分析功能,分析后的程序列表有500個左右(我的電腦是542個,根據(jù)用戶電腦安裝的程序多少有不同),先隱藏簽名認(rèn)證程序,再過濾知名廠商程序,過濾關(guān)鍵詞可參照program files目錄后面的路徑名稱,酌情選取,以不容易重復(fù)為要素。
分號隔開,回車有效。
有幾個關(guān)鍵詞建議用戶不要使用,windows、system、driver、program、file、Microsoft。總之,跟windows系統(tǒng)目錄相關(guān)的關(guān)鍵詞不要使用,以防將這些木馬喜歡的目錄過濾掉了,也就看不到木馬或者可疑程序的蹤跡了。
一般而言,經(jīng)過這樣幾個簡單的操作后,剩下的文件就不多了,(用鼠標(biāo)一個個雙擊后看文件的屬性)再根據(jù)經(jīng)驗(yàn)就能很快找到可疑目標(biāo)了。
這時,上傳vt,讓全球知名的40家殺毒軟件廠商掃描一下,主要的木馬就現(xiàn)形了,如果vt不報毒又非常可疑,使用二進(jìn)制編輯軟件、pe格式分析軟件、反匯編工具、動態(tài)跟蹤軟件,經(jīng)驗(yàn)豐富一點(diǎn)的用戶還能直接發(fā)現(xiàn)未知木馬,那就相當(dāng)于用戶自己抓到的新木馬了。
2、 攔截未知木馬效果突出;
小王測試的幾款安全軟件,其工作原理一直為一些病毒木馬效仿,比如他們的驅(qū)動都動態(tài)加載、用后刪除,但無毒空間洞若觀火,看得一清二楚。如果使用無毒空間的實(shí)時攔截狀態(tài),這些安全軟件不想讓用戶知道的獨(dú)特驅(qū)動,都可以被輕松拿下。未知木馬也是類似的特殊程序,而且也是電腦沒有的新程序,所以,其運(yùn)行自然無法逃過無毒空間的監(jiān)測或者攔截。
3、 刪除頑固程序手段獨(dú)特;
刪除頑固文件只需要知道頑固文件名,在查詢里輸入這個文件,禁止它后,重啟,應(yīng)該就可以隨便處理這個文件了。
當(dāng)然,如果這個程序是別的程序保護(hù)的,需要找到這個程序的保護(hù)者,禁止那個程序(一般是驅(qū)動),也是隨便處理這些惡意程序。
所以使用無毒空間刪除頑固木馬,絕對是非常有效的,根本不需要什么專殺工具了。
4、 試用各類程序方便無憂。
我們的電腦都免不了要使用各種新的程序,未知程序帶來的是未知的風(fēng)險,如果使用無毒空間,試用程序就變成了一種樂趣。
將無毒空間切換至實(shí)時攔截模式,執(zhí)行新下載的程序,無毒空間即出現(xiàn)攔截窗口,點(diǎn)擊“試用”按鈕,無毒空間會臨時許可程序的執(zhí)行,但執(zhí)行的程序并不收錄入庫,計算機(jī)重啟啟動后,剛才試用的程序又變成未知程序了,自然不能隨意運(yùn)行。如果試用的程序包里暗藏木馬,計算機(jī)啟動后木馬會自啟動加載自己,無毒空間還會給出未知程序加載的告警,只需簡單上傳鑒別,是木馬的話,選一下禁止,關(guān)閉主界面后重啟電腦,就將未知木馬就地正法了。
5、 監(jiān)測程序動態(tài)一目了然。
有些軟件(國內(nèi)軟件居多)將用戶的電腦當(dāng)成“肉雞”,一旦裝上它,就隨意蹂躪用戶的電腦,但通常用戶并不知情。安上無毒空間,你就看吧,電腦里熱鬧著呢,除了微軟有告知的升級外,各類安全軟件、娛樂軟件、工具軟件、都在你的電腦里大顯神通,隨意無聲無息的更新升級,完全沒有起碼的職業(yè)道德。
有個國內(nèi)非常知名的安全軟件,幾乎每天將它安裝在用戶電腦里的程序倒騰一遍,當(dāng)然,這種倒騰經(jīng)常是不會告知用戶的。
試想一下,你免費(fèi)請個保姆,她每天在你家里一會兒換鎖一會兒挪家具的,你受得了嗎?!安裝了無毒空間,這些小動作就看得很清楚了。
如果你和我一樣因?yàn)檎加锰噘Y源而不使用殺毒軟件,但又擔(dān)心出現(xiàn)新病毒而中毒,那么小王強(qiáng)烈推薦使用無毒空間,無毒空間的運(yùn)行速度明顯優(yōu)于各種國際知名的查殺毒軟件,而且可以有效攔截病毒運(yùn)行,當(dāng)然這個程序只是一個工具,自己不認(rèn)識病毒木馬的,但通過它能快速找到未知病毒木馬的。過段時間我打算搭建一個web環(huán)境和數(shù)據(jù)庫環(huán)境,測試一下無毒空間對web木馬和多用戶環(huán)境下的攔截。
就無毒空間的工作原理來看,目前病毒木馬的免殺技術(shù)恰恰成了“毒蛇的七寸”,用無毒空間發(fā)現(xiàn)它、抓住它,易如反掌。
當(dāng)然,隨著無毒空間的用戶數(shù)增加,一定會驚動病毒木馬的制造者,也許會出現(xiàn)專門針對無毒空間的特制病毒木馬,到時候就看無毒空間怎么應(yīng)對了!
圖3
圖4
【編輯推薦】
