无毒空间对付未知木马

对付未知木马，用无毒空间就行了

1、 概述

无毒空间是一个计算机可执行程序的白名单系统；

白名单之外的程序想要执行就会触发我们的提示或者拦截；

基于“传统杀毒软件免杀技术”的病毒木马在无毒空间下完全无效；

程序不大，但功能很强；

没有病毒库，但病毒却无处藏身；

操作使用也非常简单。

 

研发无毒空间的原因有三：

A、  现有杀毒软件庞大、低效而无用。

动辄千万级的恶意程序库，严重影响计算机的运行效率，最糟糕的是还不怎么管用，新病毒新木马都不太认识，而正常的程序却屡遭误判。实在是鸡肋啊！

B、 各种 HIPS 软件有效、管用但难用。

Hips 确实让病毒研发者非常头痛，安上她病毒木马基本就没什么戏了。但专业级的用户都嫌麻烦，一天问你十次八次是不是运行这个程序那个程序，你可能还能容忍，问你 100 次就没有这么好的耐心了。

C、  手动查杀毒软件过于专业而效率低下。

无毒空间团队经常为用户查杀未知病毒木马，使用了国内外各种手动分析软件，深感每个工具都非常高级，但对用户的专业知识要求过高，如果用户学会了那些高级软件，基本也就不怕病毒木马了。但现实是，绝大多数用户都是计算机业余水平，这辈子都难掌握那些专业的计算机术语及知识，所以，基本无缘使用这些高级工具了。

 

于是，我们希望能给朋友们提供一个功能接近 HIPS 的安全防护软件，但用起来比较顺手的工具， ------- 这就是无毒空间。

 

为了表示我们对这些专业工具的敬意，也随便告诉一下刚刚对手工查杀病毒木马感兴趣的新手们，哪些是专业人士手头之必备工具：（排名不分先后）

l         Sreng2

l         Icesword

l         Wsyscheck

l         XueTr

l         Autoruns

l         RootkitRevealer

l         Filemon

l         Regmon

l         Procmon

l         Gmer

l         RKU （ Rootkit Unhooker ）

l         DSE （ Deep System Explorer ）

上述列表就是手动查找病毒木马的专业工具，由于太过有名，病毒木马的制造者也是想方设法躲避的，所以，使用她们即使查不出未知病毒木马也算正常，不要因此怀疑她们的专业性。

一般来说，能玩转这些工具的人士都相当专业了，有些人可能凭肉眼都能识别恶意程序的。

 

2、 安装

无毒空间的安装非常简单，只需要按照安装程序的提示，一步一步的操作，就能正常完成。

无毒空间的网站： http://www.virusfree.com.cn

下载或者拷贝 VFSetup.exe 并执行。

点击“拒绝”，安装终止。

点击“接受”就继续安装；安装程序会检测计算机里是否有严重干扰，如果干扰导致无毒空间无法正常工作时，安装程序也会自行退出。

驱动拦截执行程序正常的话安装程序会提示“请选择需要扫描的驱动器”：

默认的情况是全部勾选，点击“继续”就可以了。

计算机里有多个操作系统的用户需要注意，去掉非本操作系统管理盘符的勾选。

 

一些将执行程序和数据人为分离的高级用户还可以只勾选执行程序所在的盘符，这样无毒空间的初次扫描会比较快一些。

 

注意：

使用无毒空间执行可疑程序的取样工作的用户，安装时可以不扫描任何盘符，或者只扫描 C 盘就可以了。

如想长期使用无毒空间，则最好将含有可执行程序所有盘符都扫描进去，降低使用时的误报。

此时安装程序对计算机系统进行目录及文件进行索引，根据硬盘的大小不同，初始化的时间长短有些差异。

 

计算机重启后，能看见无毒空间的托盘图标有颜色变化，示例如下：

黄色是驱动学习状态；

灰色是没有检测到驱动或者是驱动没有正常工作。

红色蝴蝶结是驱动暂停状态；

无毒空间需要对选中的盘符执行全盘免疫处理，这个扫描工作在后台执行，基本不影响用户的正常工作，可能计算机性能差一点的例外。

在扫描期间对计算机性能的影响如下图，

正常的扫描时间在 10 分钟 ~20 分钟，跟计算机的配置及文件的多少有关。扫描结束后会有提示。

扫描完成后，无毒空间正常工作时，对计算机性能的影响就基本为零了。

至此，无毒空间的安装工作全部结束，可以为用户提供正常的提示或者拦截操作了。

 

3、 正常使用

3.1 、启动文件分析

启动分析的全称是：计算机启动程序的分析，主要用于对计算机里隐藏的木马进行甄别工作。默认的状态下，分析结束时就能马上发现计算机里异常的加载程序。

点击分析按钮，默认状态是勾选“隐藏已签名程序”和“过滤知名厂商（自动）”的。分析过程有些费时，请耐心等一会儿！

分析中的图示如下：

如果分析后的结果如下图，就可以祝贺一下了，电脑居然没有异常程序！！！

很少电脑会如此干净。

去掉勾选“过滤知名厂商（自动）”时的显示如下：

这些程序经过判断，是正常的加载程序。

小经验：非 windows 文件 的含义是标明为 windows 公司的程序，却不能通过微软签名认证的程序，需要用户予以特别注意，因为许可木马都喜欢冒充微软的程序，微软的程序多而杂，比较容易鱼目混珠的。

但 windows\winsxs\ 目录下的这几个程序经常是正常的，木马制作者也嫌这个目录太长，不怎么喜欢藏在此处。所以，这个地方为非重点排查的目录，但如果发现此处加载了陌生的程序（比如大于 4 个程序），还是需要引起注意的。

此处显示的 4 个非 windows 文件 基本是正常的，另外三个程序也都是正常厂商提供的程序。

去掉所有的勾选后，会显示所有的加载程序，能看见签名认证的程序都有特殊标记。

3.2 、上传可疑文件

发现了可疑程序，就可以选中后上传了。（初次使用无毒空间时可能看谁都不顺眼，可以试传几个程序看看，顺便积累点经验）

正在上传中 ……

 

阅读上传后的扫描结果

分析细节

上面是 2010 年 6 月 25 日 的分析结果，如果感觉不踏实，可以选择重新分析。

（我们重新上传的时间是 2010 年 6 月 30 日 ）

queued 的意思是：排队中 ……

重新分析的结果如下：

还是没有病毒木马的结果， Result : 0 /41(0%) 。 显示如下：

这个程序之所以有点可疑，就是号称是微软的程序而没有通过微软的签名认证，但仔细一想，也确实是事出有因，我们用于测试的操作系统是网上下载的非正版的 windows 操作系统，系统的多个程序都被破解者 Patch 过（也就是打过补丁的意思），所以，用户如果使用了未付费的非正版的 windows 操作系统，看见几个系统文件为“非 windows 文件”，不用大惊小怪。我们知道经常被 Patch 的几个程序是：

如果实在不放心可以逐个上传扫描，最后吃个定心丸。

当然，我们出于安全和支持微软的原因，应该经常使用正版的Windows 操作系统。

3.3 、许可或禁止操作

许可、禁止的操作比较简单，可以单选或者复选甚至全选，点按许可、禁止按钮，关闭主界面即行生效。

特别提请注意的是：禁止时要谨慎使用全选操作，请认真确认禁止的是真正的恶意程序，如果随便禁止了系统程序，可能会导致计算机不能重新启动、不能登录、不能正常运行乃至蓝屏死机。

3.4 、监视及历史操作

监视按钮操作：

无毒空间正常工作时，主界面是不开启的状态，此时程序使用气泡来提醒用户，计算机里有新的程序运行时，气泡会自动弹出提示用户。

注意：主界面打开的情况下，气泡就不会弹出了，主界面的状态栏会有相应的提示。

如果新程序是来自用户自己启动的安装动作或知晓的公司的程序升级动作，点击“知道了”，即可马上将新程序收录下来，将来不会再提醒这些程序的执行。

如事后对这些程序有疑问，可在历史栏目里重新确认。

一般情况下，还是比较容易区分是否有恶意程序进入电脑的。

1、  恶意程序执行时，通常是“悄悄的进村，打枪的不要”，是不想惊动用户的小偷似的行为，所以一般都没有界面；这是恶意程序后台执行的最大特点。

2、  在上网之时，浏览网页时，后台悄悄执行的程序；

3、  收读邮件时，打开附件时，后台悄悄执行的程序；

4、  插入 U 盘时，马上悄悄执行的程序；

5、  双击计算机的某个盘符时，随即自动执行的程序。

 

唯一容易跟恶意程序弄混的就是国产软件的后台悄悄升级的动作，这几乎是国产软件的通病，他们升级换代从不按照规矩提示用户，“他们经常把用户的电脑当成他们自己的家，想装修就装修了”。好在他们不是危险软件，在无毒空间的气泡提示里，都能显示出他们公司的名称。这也是算是一种鉴别手段了。

但如果病毒木马制造者也来个鱼目混珠，用户就需要“火眼金睛”了。

 

正常的新程序执行时的效果如下图：

执行的新程序虽然导致了无毒空间的告警，但程序有个工作界面。

图中显示的是启动一个安全程序后出现的情况，因为安全程序有自己需要保护的秘密或者驱动，所以，经常会引起无毒空间的告警提示。

 

正常的新程序触发的告警也是类似的，都有工作界面。

木马入侵就不一样了，他们悄悄的执行，完全没有任何提示界面！

 

 

木马产生了附加程序，还是完全没有任何界面。

如果发生这种可疑情况，就需要点击“查看详情”了。

使用直接判断法，根据程序的来路，存放的目录，文件的名称等等，有经验的用户可以直接断定程序是否有问题，可以直接禁止后重启电脑，即可将可疑程序就地正法！

使用间接判断法，上传可疑程序至 VIRUSTOTAL.COM ，让全球最牛的 40 家查杀毒软件扫描一下，就可以知道该程序是否恶意，然后根据扫描结果决定是否禁止它（们）。

这个扫描结果应该是最权威的结果了，远远超过任何所谓多引擎的查杀毒系统了。

需要注意的是：虽然全球40 家查杀毒公司的查杀结果是最权威的，但未必是绝对正确的，它们也有误杀或者不认识新病毒木马的时候，导致这种情况发生的原因，就是这些杀毒软件天生的缺陷了。

原因如下：

1、  免杀技术非常出众的超级病毒木马，没有任何一家查杀毒公司得到过样本的新病毒木马， 40 家查杀毒公司也可能一家都不报，这属于漏判。

2、  传统的查杀毒软件为了提高劳动效率，也使用了一些自动判断的招数，这样就难免会将一些正常的程序判成病毒木马，这属于误判。

3、  当然，有些功能强悍的安全软件，远程监控软件，也会被判成病毒木马，这是例外中的例外了，这也是误判。

如果想知道杀毒软件的真实水平，请参阅国外著名机构 AVC 对各家杀毒公司的最新评测结果，截图如下：

全球查杀病毒软件里最好的主动防御、智能判断功能对新病毒的识别率居然只有63% ，也就是说，100 个新病毒，他们至少要漏掉38 个。

换个说法，试想一下，全球 40 家最牛的查杀毒软件公司都不认识的病毒，你就是安装了无论哪款查杀毒软件，也同样不会识别并报告这个病毒的。

不管怎么说，无毒空间还是在第一时间告知了计算机里出现了不速之客了，这既是一个提醒也是一个线索，可以让用户产生警觉，有效避免了不知情造成更大的损失。

就算在第一时间直接了禁止未知功能的新程序，判错了也没有多大问题。知道禁止错了还可以改成许可的，误判了可以纠正，但漏判的后果不一样，漏判可能造成潜在的损失。

历史按钮操作：

历史在默认情况下是“仅显示本次”启动后操作的记录，如需查看全部的历史，将“仅显示本次”的勾选去掉。

对历史的操作跟监视栏目的一样，可以变更许可及禁止的选择，关闭主界面后即行生效。

但如果可疑程序是驱动或者内核程序，或者已经启动正在运行，则需要重启计算机后才能杀掉内存中加载的映像，这跟其它的安全软件是一样的。

 

3.5 、查询按钮操作：

查询是给高级用户准备的全盘可执行程序管理功能，使用它可以许可或者禁止任何程序，某些系统核心程序除外（那些程序禁止了计算机就不能正常工作了）；

输入全部或者部分的文件名即可找到想要许可及禁止的程序，执行相应的动作就可以了，关闭主界面后许可及禁止才能生效。我们故意关闭一下 IE 看看，是为演示。

这时执行 IE ，显示不能执行的错误。

许可了， IE 又能重新执行了，如图所示：

双击输入文件名时，就会变成输入校验码，这对比较专业的人士是需要的。

更多技巧可以在论坛里同无毒空间的高手们交流。

3.6 、一键锁定可疑程序

虽然专门为普通用户设定了这个按钮，但目前对恶意程序判断的准确性还比较初级，有望将来升级后会在智能判断方面有所加强，避免普通用户参与判断的麻烦。

对电脑知识特别少的用户，无毒空间提供了一键锁定可疑程序的按钮，这个按钮在计算机确实出现非常可疑的情况时使用，能基本自动帮助用户解决疑难问题，将偷偷潜入计算机的病毒木马找出来。

需要特别注意的是：如果微软升级或者打补丁的时候，使用这个功能，计算机可能会蓝屏死机。

看上图，计算机里执行的程序确有一些异常的地方，无毒空间对这些事件做出统计，就能给出一个合适的建议。

4、 卸载

卸载无毒空间跟安装一样简单，在程序菜单里有专门的卸载条目，点击执行即可。也可以使用下载无毒空间安装程序直接卸载，安装程序在没有安装时会进行安装操作，如果发现计算机里有无毒空间，就会显示下面的选项，选择卸载就可以卸载无毒空间。

5、 修复及升级

修复选项可以将损坏的无毒空间重新覆盖，完成修复功能；

如果是执行了新版本的无毒空间，这个修复选项就等同升级了。

6、 高级用法

无毒空间还有一些高级用法，我们会在论坛提供专题资讯，有兴趣的用户可以注册一个账号后去看看。

下面的目录就是无毒空间能做到的事情，先列在这里，详细内容会逐步放到论坛上的，敬请关注！

l         启动分析手动过滤

l         全盘程序查询功能

l         查找禁止未知木马

l         捕捉自毁程序模块

l         研究高级安全程序

l         禁止广告流氓程序

 

请访问无毒空间论坛的高级技巧：

http://bbs.virusfree.com.cn/forumdisplay.php?fid=3

 

无毒空间的基本用法，快速指南已经相当清楚，并且简洁易记。

http://www.virusfree.com.cn/Quickhlp

如果有特别的问题及建议，请注册并登录无毒空间论坛，欢迎留言！

http://bbs.virusfree.com.cn

 

 

无毒空间项目组

http://www.virusfree.com.cn

2010 年 8 月