防火墙就像电脑的一道安全门,决定其安全性能的有两个关键设置:一个是合理的IP规则配置,另外就是应用程序规则配置(也就是控制应用程序的网络访问)。对于IP规则来说,一套合理的配置方案可以让所有用户使用,而不必了解其原理。但IP规则对于主动连出的数据传输却难以控制,现在许多反弹端口型木马就是采用服务端主动请求连接客户端的方式进行控制的,使用IP规则就很难对其进行过滤。而通过应用程序规则配置就可以解决这些问题,它可以对应用程序的网络访问进行底层分析拦截。根据应用程序发送和接收的数据类型以及所打开的端口进行规则匹配,从而实现对特定应用程序的数据传输控制,特别是针对一些非法的木马后门程序特别有效。但当防火墙提示有应用程序要求访问网络时,是否允许它访问网络,就需要我们来自行判断,这个程序是正常程序还是非法程序,这对于大部分的菜鸟朋友来说,是一个很难选择的问题。下面笔者就以天网防火墙的程序规则为例,介绍如何对应用程序进行分析判断。
小提示 天网防火墙默认设置下,任何应用程序只要向网络发送或接收数据,都会被天网防火墙首先截获分析,并弹出提示窗口,询问是通过还是禁止该程序访问网络,如果你的天网防火墙从来没有出现过这种提示,可以在天网防火墙主界面中单击“系统设置”按钮,取消“允许所有的应用程序访问网络,并在规则中记录这些程序”选项前的选择标记。
根据程序运行特征判断 1.运行后有无反应 正常应用程序在运行后应该出现程序界面,或会在系统托盘增加图标,如果某个程序运行后没有任何反应,或运行后主程序也不见了,却见到防火墙弹出该程序要访问网络的提示,那这个程序多半有问题,有90%的可能就是木马后门类的非法程序,再结合后面的判断方法就一定可以确定它是不是正常程序。
2.程序的“尾巴”要注意 正常应用程序对于网络的访问,应该是我们可知的和可控的,比如说刚运行了QQ进行登录,防火墙出现了QQ程序要访问网络的提示,这是正常的程序请求。但如果同时还会弹出另外的提示窗口说某某程序要访问网络,或者我们一直没有运行任何程序,却突然弹出提示说有程序要访问网络,那就要格外注意了,很可能是你使用的QQ程序被捆绑了其他的后门程序,或你的系统已经被植入了后门程序,并且可能正被别人控制。
根据端口判断 在天网提示窗口中的“网络信息”栏提供了应用程序的网络访问信息,包括协议、端口和地址(见图1),如何从这些信息中看出程序是否正常呢?
·Netscreen防火墙简单配置实例·防火墙的安全性分析与配置指南·零起点配置PIX防火墙 六大基本命令·零起点配置PIX防火墙 高级配置·DIY自己的防火墙设备 系统配置篇·全面实战Windows XP防火墙·有效防止盗号 三款主流防火墙横评·如何打造一道超级防御的电脑防火墙·世界排名第一?Comodo防火墙体验·轻松穿越防火墙之利器:Tftpd32
我们可以把网络中的任何一台计算机看作是一个独立的服务器,而计算机之间的数据数据传输可以看作是相互提供的一种服务,这个服务功能就是通过打开不同的端口来完成的,每个端口对应于该服务器提供的一种服务,通过不同端口,计算机就可以与外界进行互不干扰的数据传输。例如在网络中规定了网页浏览服务的端口为80,那么一台服务器要提供WEB浏览服务,就需要开放HTTP协议的80端口,而用户则需要打开本机的80端口来访问网页。而非法木马后门程序在和控制端进行数据传输时,也是需要在系统中打开端口的,不同的木马会打开不同的端口,这里笔者整理了一些端口定义速查表,其中包含有常见木马的端口号列表(下载地址:http://www.newhua.com/cfan/200516/dklb.txt),我们可以根据天网防火墙提示的端口号在该文件中搜索,可判断出该文件是不是恶意的木马后门程序。如图1所示天网防火墙的提示窗口中,显示的端口号为“23444”,从速查表中可以判断出它很可能就是网络公牛(netbull)的服务端程序。不过现在大部分木马都具备修改端口号的功能,速查表中的木马端口定义也仅供参考,但根据笔者经验,通常我们遇到的木马多是使用默认端口的。 一台计算机中的端口范围为0~65535,但在这6万多个端口中,有一些端口是已经被系统定义为特殊用途的,通常把端口号1024以下的称为系统保留端口,这些端口所对应的服务程序通常是固定的,这些端口木马一般不会使用,通常情况下,木马会使用较大数值的端口,所以在防火墙提示的端口号数值较大时,就更要引起注意,但也有例外。例如天网防火墙中出现了端口号为“HTTP[80]”的提示(见图2),你可不要以为它是正常程序就轻易放过了,80端口对应的是网页浏览服务,而这个程序在运行后没有任何反应,说明它不是一个提供网页浏览服务的正常程序,实际上这是黑洞2004的服务端程序,它之所以会使用这个端口,是因为它要使用这个端口向预先定义的域名转向中传送本机IP地址,以供控制端实施控制。
小提示 对于一些常见木马,天网防火墙会根据它所使用的端口号自动判断并提示出该木马的名称,例如冰河、NetSPY等,它都会在端口前面显示出该木马名称,这时注意要千万看清楚了再选择是允许还是禁止哦(见图3)。
根据文件信息判断 仅凭端口信息判断程序是否正常虽然简单方便,但并不完全可靠,我们还应根据天网防火墙提示窗口显示的“文件信息”进行综合判断。
1.文件图标判断法 人们对于图形的印象是比较深刻的,对于常见应用程序,我们通常很熟悉它的图标,再结合其文件路径,很容易识别出它的真假。一般来说,正常的应用程序都有正常图标,但一些非法后门程序就不一定了,像图1中的网络公牛使用的就是未定义文件类型图标,还有一些后门程序则可能会使用文本文件图标、空白透明图标或者一些比较奇怪的图标,这时都要格外注意。当然也有一些后门程序会比较聪明,它们会使用和系统程序一样的图标(见图4),甚至是和系统程序一样的文件名,企图蒙混过关,但只要细心观察,无论是它特殊的端口、还是奇怪的文件日期,都可以证明它是“冒牌”的!
2.文件(进程)名判断法 注意这里的文件(进程)名不是天网防火墙提示窗口中的“名称”行,而是文件路径行中的原始文件名,也就是运行后的进程名。非法程序为了避免运行后在进程列表中的名称被别人识破,都会采用文件名欺骗手段,使用和系统常见程序进程相似的文件名,例如“Falling Star”木马服务端生成的文件名称“internet.exe”与输入法进程“internat.exe”十分相似(见图5),稍不注意就可能被骗!诸如此类的还有使用“msgsvc.exe”冒充“msgsrv32.exe”,使用“EXP1ORER.exe”冒充“EXPLORER.exe”的。另外还有修改扩展名冒充的,例如冰河木马的服务端进程名为“Kernel32.exe”,是不是很眼熟,好像是个正常的系统进程吧,其实系统中根本不存在这样一个文件,有个文件名称是“Kernel32.dll”。“Shell32.exe”也很熟悉吧?同样它也是从“Shell32.dll”演变而来的,实际上在系统中都是不存在的。 当然,直接观察出文件名中的问题是需要一定经验的,如果你对防火墙提示的文件(进程)名拿不定主意时,笔者这里有三种方法可以帮助你快速进行分析判断:
方法一:从http://www.newhua.com/cfan/200516/jclb.txt下载进程速查表文件,把你要查询的文件(进程)名称复制下来,在文件中搜索核对,对于常见的非法程序进程通常都能直接判断出来。 方法二:打开http://www.sysinfo.org/startuplist.php网页,在文本框中输入文件(进程)名称,单击“Search”按钮进行搜索,在搜索结果的“Status”列中会有对该文件的认定(见图6),“Y”表示该程序是正常程序,“X”表示该程序是典型的病毒、间谍软件或者广告程序。另外,在http://www.Windowsstartup.com/wso/search.php网页中也提供了类似的查询服务。
方法三:可以复制该文件(进程)的全名,在Google或者百度上进行搜索,如果是病毒、木马等非法程序的话,搜索结果中会有相关的介绍,这种方式对于一些新出现的非法程序特别有效。
3.文件路径判断法 文件路径指示了该程序所在位置,如果是合法的应用程序,通常会安装在C:Program Files目录中,当然也有你自行定义的文件路径,但这种情况是你所知道的。有时我们会遇到一些来自于C:Windows、C:Windowssystem32、C:Windowssystem目录的文件访问网络的防火墙提示,可能一些菜鸟朋友会说,这是系统程序,可以允许访问吧?不!相反,对于这些来自系统重要目录的应用程序,尤其要注意,很可能就是木马,因为狡猾的木马经常会利用我们这种认识蒙混过关。事实上,这些系统目录中的文件需要访问网络的情况并不多,而且正常的应用程序必须要安装文件到这些目录的情况也不多,那么应如何判断这些目录中的文件是不是非法的木马程序呢?下面的文件属性判断法可以进一步确认。
4.文件属性判断法 根据文件路径中的提示打开目录并找到要分析的文件,右键单击该程序文件,选择“属性”,再单击“版本”标签,可以看到该文件的版本、版权以及产品公司等信息,对于正常的应用程序这些信息通常是比较完整的,对于信息不完整的通常都要引起注意。而那些想冒充Windows系统文件的,例如图5中所示的“Internet.exe”,我们则可以打开一个正常的系统文件属性进行比对(见图7)。另外在“常规”选项卡中的文件创建日期也是非常重要的,可以查看是否与系统文件创建日期一样来进行判断。
最后要提醒朋友们的是,很多时候并不仅仅是靠某一个特性就能准确判断的,这就需要综合运行,加以判断,这不仅仅是技巧,也需要经验和知识,相信看了本文以后,你会对经常弹出的应用程序网络访问有个清晰的判断和选择。