防火牆的大門你到底為誰開？

防火牆就像電腦的一道安全門，決定其安全性能的有兩個關鍵設置:一個是合理的IP規則配置，另外就是應用程序規則配置(也就是控制應用程序的網路訪問)。對於IP規則來說，一套合理的配置方案可以讓所有用戶使用，而不必了解其原理。但IP規則對於主動連出的數據傳輸卻難以控制，現在許多反彈埠型木馬就是採用服務端主動請求連接客戶端的方式進行控制的，使用IP規則就很難對其進行過濾。而通過應用程序規則配置就可以解決這些問題，它可以對應用程序的網路訪問進行底層分析攔截。根據應用程序發送和接收的數據類型以及所打開的埠進行規則匹配，從而實現對特定應用程序的數據傳輸控制，特別是針對一些非法的木馬後門程序特別有效。但當防火牆提示有應用程序要求訪問網路時，是否允許它訪問網路，就需要我們來自行判斷，這個程序是正常程序還是非法程序，這對於大部分的菜鳥朋友來說，是一個很難選擇的問題。下面筆者就以天網防火牆的程序規則為例，介紹如何對應用程序進行分析判斷。

　　小提示

　　天網防火牆默認設置下，任何應用程序只要向網路發送或接收數據，都會被天網防火牆首先截獲分析，並彈出提示窗口，詢問是通過還是禁止該程序訪問網路，如果你的天網防火牆從來沒有出現過這種提示，可以在天網防火牆主界面中單擊「系統設置」按鈕，取消「允許所有的應用程序訪問網路，並在規則中記錄這些程序」選項前的選擇標記。

　　根據程序運行特徵判斷

　　1.運行後有無反應

　　正常應用程序在運行后應該出現程序界面，或會在系統托盤增加圖標，如果某個程序運行后沒有任何反應，或運行後主程序也不見了，卻見到防火牆彈出該程序要訪問網路的提示，那這個程序多半有問題，有90％的可能就是木馬後門類的非法程序，再結合後面的判斷方法就一定可以確定它是不是正常程序。

　　2.程序的「尾巴」要注意

　　正常應用程序對於網路的訪問，應該是我們可知的和可控的，比如說剛運行了QQ進行登錄，防火牆出現了QQ程序要訪問網路的提示，這是正常的程序請求。但如果同時還會彈出另外的提示窗口說某某程序要訪問網路，或者我們一直沒有運行任何程序，卻突然彈出提示說有程序要訪問網路，那就要格外注意了，很可能是你使用的QQ程序被捆綁了其他的後門程序，或你的系統已經被植入了後門程序，並且可能正被別人控制。

　　根據埠判斷

　　在天網提示窗口中的「網路信息」欄提供了應用程序的網路訪問信息，包括協議、埠和地址(見圖1)，如何從這些信息中看出程序是否正常呢？

　　

　　我們可以把網路中的任何一台計算機看作是一個獨立的伺服器，而計算機之間的數據數據傳輸可以看作是相互提供的一種服務，這個服務功能就是通過打開不同的埠來完成的，每個埠對應於該伺服器提供的一種服務，通過不同埠，計算機就可以與外界進行互不干擾的數據傳輸。例如在網路中規定了網頁瀏覽服務的埠為80，那麼一台伺服器要提供WEB瀏覽服務，就需要開放HTTP協議的80埠，而用戶則需要打開本機的80埠來訪問網頁。而非法木馬後門程序在和控制端進行數據傳輸時，也是需要在系統中打開埠的，不同的木馬會打開不同的埠，這裡筆者整理了一些埠定義速查表，其中包含有常見木馬的埠號列表(下載地址:http://www.newhua.com/cfan/200516/dklb.txt)，我們可以根據天網防火牆提示的埠號在該文件中搜索，可判斷出該文件是不是惡意的木馬後門程序。如圖1所示天網防火牆的提示窗口中，顯示的埠號為「23444」，從速查表中可以判斷出它很可能就是網路公牛(netbull)的服務端程序。不過現在大部分木馬都具備修改埠號的功能，速查表中的木馬埠定義也僅供參考，但根據筆者經驗，通常我們遇到的木馬多是使用默認埠的。

　　一台計算機中的埠範圍為0～65535，但在這6萬多個埠中，有一些埠是已經被系統定義為特殊用途的，通常把埠號1024以下的稱為系統保留埠，這些埠所對應的服務程序通常是固定的，這些埠木馬一般不會使用，通常情況下，木馬會使用較大數值的埠，所以在防火牆提示的埠號數值較大時，就更要引起注意，但也有例外。例如天網防火牆中出現了埠號為「HTTP[80]」的提示(見圖2)，你可不要以為它是正常程序就輕易放過了，80埠對應的是網頁瀏覽服務，而這個程序在運行后沒有任何反應，說明它不是一個提供網頁瀏覽服務的正常程序，實際上這是黑洞2004的服務端程序，它之所以會使用這個埠，是因為它要使用這個埠向預先定義的域名轉向中傳送本機IP地址，以供控制端實施控制。

　　

　　小提示

　　對於一些常見木馬，天網防火牆會根據它所使用的埠號自動判斷並提示出該木馬的名稱，例如冰河、NetSPY等，它都會在埠前面顯示出該木馬名稱，這時注意要千萬看清楚了再選擇是允許還是禁止哦(見圖3)。

　　

　　根據文件信息判斷

　　僅憑埠信息判斷程序是否正常雖然簡單方便，但並不完全可靠，我們還應根據天網防火牆提示窗口顯示的「文件信息」進行綜合判斷。

　　1.文件圖標判斷法

　　人們對於圖形的印象是比較深刻的，對於常見應用程序，我們通常很熟悉它的圖標，再結合其文件路徑，很容易識別出它的真假。一般來說，正常的應用程序都有正常圖標，但一些非法後門程序就不一定了，像圖1中的網路公牛使用的就是未定義文件類型圖標，還有一些後門程序則可能會使用文本文件圖標、空白透明圖標或者一些比較奇怪的圖標，這時都要格外注意。當然也有一些後門程序會比較聰明，它們會使用和系統程序一樣的圖標(見圖4)，甚至是和系統程序一樣的文件名，企圖矇混過關，但只要細心觀察，無論是它特殊的埠、還是奇怪的文件日期，都可以證明它是「冒牌」的！

　　

　　2.文件(進程)名判斷法

　　注意這裡的文件(進程)名不是天網防火牆提示窗口中的「名稱」行，而是文件路徑行中的原始文件名，也就是運行后的進程名。非法程序為了避免運行后在進程列表中的名稱被別人識破，都會採用文件名欺騙手段，使用和系統常見程序進程相似的文件名，例如「Falling Star」木馬服務端生成的文件名稱「internet.exe」與輸入法進程「internat.exe」十分相似(見圖5)，稍不注意就可能被騙！諸如此類的還有使用「msgsvc.exe」冒充「msgsrv32.exe」，使用「EXP1ORER.exe」冒充「EXPLORER.exe」的。另外還有修改擴展名冒充的，例如冰河木馬的服務端進程名為「Kernel32.exe」，是不是很眼熟，好像是個正常的系統進程吧，其實系統中根本不存在這樣一個文件，有個文件名稱是「Kernel32.dll」。「Shell32.exe」也很熟悉吧？同樣它也是從「Shell32.dll」演變而來的，實際上在系統中都是不存在的。

　　當然，直接觀察出文件名中的問題是需要一定經驗的，如果你對防火牆提示的文件(進程)名拿不定主意時，筆者這裡有三種方法可以幫助你快速進行分析判斷:

　　

　　方法一:從http://www.newhua.com/cfan/200516/jclb.txt下載進程速查表文件，把你要查詢的文件(進程)名稱複製下來，在文件中搜索核對，對於常見的非法程序進程通常都能直接判斷出來。

　方法二:打開http://www.sysinfo.org/startuplist.php網頁，在文本框中輸入文件(進程)名稱，單擊「Search」按鈕進行搜索，在搜索結果的「Status」列中會有對該文件的認定(見圖6)，「Y」表示該程序是正常程序，「X」表示該程序是典型的病毒、間諜軟體或者廣告程序。另外，在http://www.Windowsstartup.com/wso/search.php網頁中也提供了類似的查詢服務。

　　

　　方法三:可以複製該文件(進程)的全名，在Google或者百度上進行搜索，如果是病毒、木馬等非法程序的話，搜索結果中會有相關的介紹，這種方式對於一些新出現的非法程序特別有效。

　　3.文件路徑判斷法

　　文件路徑指示了該程序所在位置，如果是合法的應用程序，通常會安裝在C:\Program Files目錄中，當然也有你自行定義的文件路徑，但這種情況是你所知道的。有時我們會遇到一些來自於C:\Windows、C:\Windows\system32、C:\Windows\system目錄的文件訪問網路的防火牆提示，可能一些菜鳥朋友會說，這是系統程序，可以允許訪問吧？不！相反，對於這些來自系統重要目錄的應用程序，尤其要注意，很可能就是木馬，因為狡猾的木馬經常會利用我們這種認識矇混過關。事實上，這些系統目錄中的文件需要訪問網路的情況並不多，而且正常的應用程序必須要安裝文件到這些目錄的情況也不多，那麼應如何判斷這些目錄中的文件是不是非法的木馬程序呢？下面的文件屬性判斷法可以進一步確認。

　　4.文件屬性判斷法

　　根據文件路徑中的提示打開目錄並找到要分析的文件，右鍵單擊該程序文件，選擇「屬性」，再單擊「版本」標籤，可以看到該文件的版本、版權以及產品公司等信息，對於正常的應用程序這些信息通常是比較完整的，對於信息不完整的通常都要引起注意。而那些想冒充Windows系統文件的，例如圖5中所示的「Internet.exe」，我們則可以打開一個正常的系統文件屬性進行比對(見圖7)。另外在「常規」選項卡中的文件創建日期也是非常重要的，可以查看是否與系統文件創建日期一樣來進行判斷。

　　

　　最後要提醒朋友們的是，很多時候並不僅僅是靠某一個特性就能準確判斷的，這就需要綜合運行，加以判斷，這不僅僅是技巧，也需要經驗和知識，相信看了本文以後，你會對經常彈出的應用程序網路訪問有個清晰的判斷和選擇。