网络技术以及应用迅速发展,与此同时网络中的恶意插件、流氓软件的种类与数量也随之快速增加。根据权威机构对一千户个人电脑和企业计算机的调查显示,有百分之九九以上的计算机操作系统中存在着恶意插件或流氓软件程序。这些插件和程序在我们电脑连接到网络后,将自动隐蔽在后台连接网络。
目前企业的发展最重要的是提高效率,而这些而已插件或非法程序却严重降低我们企业的生产效率——它不仅占用了宝贵的系统资源,同时影响了我们企业有限的网络资源;企业的正常网上业务可能无法正常开展;甚至还会造成我们企业内部商业机密或者是使用者个人隐私地泄露。
严格来讲,这些恶意插件和非法程序与一般的病毒并不相同,因此利用对付黑客工具和病毒的方法(通过杀毒软件以及最新的病毒库来完成查杀病毒的作用)来应对恶意插件和非法程序并不一定奏效。这里一个重要原因在于很多流氓软件、恶意插件是与正常程序或文件绑定在一起的,而且很多名义上是帮助我们上网冲浪的小插件,是由使用者在其诱惑之下主动下载安装的。这类程序一经安装,则就控制了相关电脑,一些杀毒软件对其查杀作用十分有限。作为网络管理员的我们就需要学会从多方面封堵这些流氓软件造成的安全隐患。
笔者负责维护公司上百台计算机,在实际使用中发现了几个行之有效的方法,希望能与各位IT168读者分享,希望能够达到抛砖引玉的效果。
网络及软件搭建环境
由于恶意插件和流氓软件都是通过内部的网络访问模块来实现潜移默化占据系统后台资源,从而访问外部网络的方法,所以笔者准备拿一个在应用原理上和这些插件软件类似的程序为例:
alcohol 120%是我们常用的刻录工具之一,在你每次启动alcohol 120%主程序后该软件内置的网络访问与检查模块就会自动连接alcohol 120%官方站点,检查是否有新的版本发布,如果有则会提示用户“发现新版本!您是否现在就要更新?”。(如图1)
 |
| 图1 |
这种自动连接网络访问某个固定站点的原理是和流氓软件、恶意插件一样的,区别是alcohol 120%为使用者提供更好的功能和服务,而后者则是为了达到不可告人的目的。
借助alcohol 120%,笔者将从三个不同角度介绍如何封堵恶意软件的安全隐患,完完全全的阻止恶意软件与流氓插件访问网络,避免系统资源被随意占用。
以错除“恶”——修改HOSTS法
众所周知在windows 2000和XP系统中存在着一个名叫HOSTS的文件,其作用是负责本地系统的DNS解析工作。当我们要访问某个站点输入其域名时,系统首先查看HOSTS文件尝试进行DNS解析工作,如果HOSTS文件中没有明确的对应条目,再通过DNS服务器来完成域名解析程序。
因此对于那些恶意插件与流氓软件,我们就可以通过修改HOSTS文件内容的方法来将其官方网站地址或者通过网络访问的那个地址自动解析,解析到一个错误的地址或者本地IP即可。这样就不会再占用任何网络资源了。我们以alcohol 120%软件为例子,保证它在启动的情况下不出现“发现新版本!您是否现在就要更新?”的提示。
第一步:通过“开始->搜索”,然后查找名叫hosts的文件。(如图3)
 |
| 图3 |
第二步:当然对于已经知道其路径的读者可以直接进入c:\windows\system32\drivers\etc目录中找到HOSTS文件。如果你的系统是windows 2000,那么应该到c:\winnt\system32\drivers\etc目录中寻找。
第三步:双击HOSTS文件,然后选择用“记事本”程序将其打开。(如图4)
 |
| 图4 |
第四步:之后我们就会看到HOSTS文件的所有内容了,默认情况下只有一行内容“127.0.0.1 localhost”。ㄆ渌懊娲?的行都不是真正的内容,只是帮助信息而已)
第五步:由于我们知道了启动alcohol 120%软件后他都会自动连接网络并访问www.alcohol-soft.com这个地址来查看是否有新版本出现,所以我们在hosts文件中添加一行如下内容——“127.0.0.1 www.alcohol-soft.com”,然后保存hosts文件,这样每当系统中任何软件或程序要访问www.alcohol-soft.com地址时都会听从hosts的话将其指向127.0.0.1这个不存在的地址,从而减少了网络资源的占用。(如图5)
 |
| 图5 |
第六步:当然如果你不放心的话,还可以多添加几行信息为自己的封锁安全隐患工作添加几个保险。例如“127.0.0.1 serial.alcohol-soft.com”,“127.0.0.1 images.alcohol-soft.com”。(如图6)
 |
| 图6 |
需要注意是,有的时候软件在访问网络时不是仅仅访问一个地址,他可能会检查多个域名,只要从其中一个地址收到了返回信息,同样是占用我们的网络资源。所以为了彻底的封锁隐患,很多时候需要我们多封锁几个域名。
修改HOSTS文件后我们再启动alcohol 120%就永远不会看到有“发现新版本!您是否现在就要更新?”的提示信息了。
不过可能有的读者会问恶意软件或者流氓插件到底访问哪个地址,这个地址是如何查看出来的呢?
般来说恶意软件都会自动连接他的官方网站。所以在过滤时只需要通过HOSTS文件将其官方网站过滤掉即可。不过对于有的恶意程序可能会访问很多的站点,连接多个镜像地址,这时如果我们有一个地址没有过滤掉,修改HOSTS文件的方法就会前功尽弃,所以说该方法在实际操作上存在一定的问题,遇到棘手的恶意程序和流氓软件很有可能派不上用场。这时我们就需要采取其他方法了。
设置关卡——防火墙过滤法:
如果我们不知道一个恶意程序到底会访问哪个地址,或者说即使将他的官方网站通过修改HOSTS的方法过滤也没有任何效果。这时就可以采取防火墙过滤法来将该程序访问网络的路彻底封锁。基本上任何一款防火墙都可以实现阻止某程序对网络访问的功能,不过笔者还是建议大家使用windows XP系统自带的防火墙来实现此功能,毕竟可以省去我们再安装一个第三方软件的操作。
第一步:通过“开始->控制面板->windows防火墙”来启动XP SP2系统自带的防火墙设置程序。
第二步:在windows 防火墙设置窗口中,我们在“常规”标签中点“启用”,首先把这个防火墙起用。
第三步:接下来我们点上方的“例外”标签,在这个标签中我们可以看到有很多程序,有默认的也有程序自己添加的。我们仍然以阻止alcohol 120%程序弹出那个新版本提示为例,在例外标签中点“添加程序”按钮。
第四步:在添加程序设置窗口中我们选择alcohol 120%程序,系统会自动定位相应的程序路径,然后点“确定”按钮。
第五步:添加完毕后就会看到alcohol 120%的名字出现在了防火墙“例外”列表中。
第六步:我们要确保alcohol 120%名字前的对勾被选中,这样才说明他成功添加到例外列表中。
第七步:接下来回到“常规”标签,一定记得把“不容许例外”前的对勾选中,这样我们才能成功实现为alcohol 120%程序设置防火墙关卡的功能。最后点“确定”按钮使设置生效。
设置完成后我们再启动alcohol 120%就永远不会看到有“发现新版本!您是否现在就要更新?”的提示信息。
通过防火墙过滤法可以从根上彻底阻止恶意程序流氓软件对网络的访问,最大限度的释放网络资源,减少其对系统资源的占用,将安全隐患有效的封堵住。不过由于该方法要借助于windows XP sp2系统中的内置防火墙,一方面可能其他操作系统或者其他补丁版本的XP系统将无法使用,而且很多时候一些软件和程序在开启了防火墙的情况下都无法正常使用,因为默认情况下XP系统的防火墙过滤掉了很多协议与数据包,所以要保证这些软件程序的正常运行就需要我们为他们一条一条的添加“例外”信息,会给操作上带来一定的不方便。 |
