软件开始工作后让我们来看看效果如何吧
一、系统测试
1、启动未知的进程
如果这个时候,运行一个未知的程序,就会弹出一个窗口,可以显示程序的各种参数,然后让用户确认,比如现在我们打开IE浏览器(假定刚才上面第2步的时候没有为IE设置规则,当然你可以任意选择一个刚才没有运行的程序):
图7
解释一下几个含义:
父进程:是谁启动了这个进程,这里是EXPloere.exe,也就是资源管理器。有时我们看到突然弹出一个广告窗口,就可以通过这个办法来观察是哪个进程弹的广告,然后再想办法清除。
子级进程:当前要启动的程序,即要执行的程序。
允许:只允许这一次运行,下一次还会继续提示。
阻止:只阻止这一次运行,下一次还会继续提示。
创建此规则的永久性规则:针对上面的这个允许或者阻止操作,比如这个IE,我们不可能每次都去点允许,那个太烦了。选择之个之后,就会自动增加一个规则,以后就照这个规则来处理,不会每次提问。
技术信息:执行进程ID,以及进程的路径,参数等。这样你可以知道哪个程序要运行,然后决定它是否是合法的,有用的。
2、拦截移动硬盘U盘的Autorun病毒
现在用移动硬盘或者U盘的越来越多,也很普遍,但是经常我们不知不觉就在传染着病毒,它主要利用了Windows提供的根目录下的autorun.inf这个文件的特性,它就是指定了一个可执行的命令,因为是自动运行,隐蔽性很强。一般因为是熟人拿过来或者是同事同学之类的,根本防不胜防(天知道这个时候,那些杀毒软件在干嘛,大部分时候都查不到的)。下面就做这一个测试,把有毒的U盘挺入,马上跳出来一个提示:
图8
父进程rundll32.exe是一个Windows的合法程序,但是每多病毒都是通过它加载的,强烈建议不要为它设定永久性允许规则!它要运行一个H:setup.pif这个进程,一看就是一个可疑的,点“阻止”,中止它的运行。再打开U盘,显示一下隐藏文件,果然有一个autorun.inf文件和setup.pif文件,经检查,就是一个隐藏的病毒。
(出处:http://www.sheup.com)