风云防火墙使用方法详解新系统了解的东西( 三 ) _生活百科

下图为服务启动项界面：

文章插图

红色图示为检查服务启动项目时，找到的一个隐藏服务--灰鸽子服务端程序。【灰鸽子木马分两部分：客户端和服务端。攻击者操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe 。 (上面这个2006最新版本的灰鸽子木马病毒服务端名称为 Windows XP Vista，可谓与时俱进) 。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT 下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。 G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll 。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项)，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。 G_Server.dll文件实现后门功能，与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在 Explorer.exe的进程空间中，有时候则是附在所有进程中。】
一般来讲绝大多数的木马病毒都会寻找隐藏的服务和进程自动运行以达到随时发动而不为人察觉的目的。常规启动项和服务启动项检查可以准确了解随系统自动启动的所有应用程序及服务，令这些隐蔽性危害性极强的木马病毒无所遁形，发现可疑项目可以点击选中后后按删除选定将其删除。仅从优化系统性能的角度考虑，即使是安全的应用程序和服务在跟随系统同时启动之际的数量也是少少益善。此界面的安全优化服务功能，即可用来针对性的安全关闭多项不需要的系统服务。
这是文件关联项界面:

文章插图

多种病毒会在运行时对注册表进行恶意修改，造成默认文联错误，使用户在在打开常规文件项目时系统对其直接调用，达到加载运行的目的，导致系统不能正常运行。发现可疑文件关联，点击自动修复即可恢复正常文件关联，防止该类型文件为病毒利用。请见下图：

文章插图

这里要提到的是，风云防火墙作为一款安全防护软件，目前这个实用功能只是基于系统安全防护角度考虑的，它只监控修改注册表 [HKEY_CLASSES_ROOTtxtfileshellopencommand]@=NOTEPAD.EXE %1这个关键键值，对于非安全性方面的系统文件关联错误非关键键值并未加以考虑。
以下是特洛伊检测shell插件界面：

文章插图

通俗理解，shell插件就是IE浏览器插件，虽然IE的功能越来越强大完备，但并非就是全能，很多时候我们可能还是不得不借助某些第三方软件来完成一些特殊任务。如果你不想为了某一个功能安装其他浏览器的话，可以安装相应的插件，这样就可以为浏览器强身健体，实现功能扩展，从而使其完成一些过去看起来无法完成的任务，例如让IE支持断点续传、快速搜索关键词、多窗口打开新页面、自动填写表单、网页翻译、直接查看EXIF信息等。同时，这也很容易被某些恶意软件或广告程序利用，打开浏览器之后自动加载一些影响用户上网操作和网络性能的Shell，也带来很多安全方面的威胁，称为恶意插件!按照其危险破坏程度的一般分为高中低三类。对于确认的恶意或无用插件，选定后可以立即进行删除。如下图是删除恶意插件后的界面：

文章插图

这里需要提到的是该功能现今对于某些顽固流氓恶意插件，例如百度搜霸，网络实名等尚不能做到彻底成功清除，可以适当考虑进一步改进，增强广谱查杀能力。为用户省却需再另外安装其他恶意流氓软件查杀工具的麻烦岂不功德圆满，皆大欢喜。
下是进程查看界面：

文章插图

此界面可查看系统目前运行的所有进程及其进程路径，进程ID，软件厂商，行为描述，子模块调用等详细信息，可找出隐藏进程，并可对危险进程进行选定后，点击终止选中进程窗口按钮进行强制性终止。