360度解析木马防线2005+

　　对于广大国内网民来说，网络安全的最大问题莫过于防御各类木马、后门。因为无论是我们的密码被盗还是帐号失窃，罪魁祸首往往都是它们。

　　近日由“搜狐”主办的中消协3·15网上系列大型调查（网络安全部分）结果显示，木马类病毒占据了用户网络威胁的半数以上，而在诸多类型的恶意软件中，又以间谍软件为最甚。如图。

　　那么，作为大家抵御网络威胁的主要武器，用户对于目前使用的诸多安全软件反馈如何呢？在如上同一份调查中，我们可以看到大家普遍还是更加信任国内厂家产品，但是另一方面却似乎更加认同国外厂商的技术实力。

　　于是，对于国内网民来说，围绕着如何解决木马、后门这个老大难问题，对安全产品的选择也往往是举棋不定。我们当然既希望所使用的安全产品不但有着低廉的价格，同时更希望她们能有优异的技术表现，以达用户之需。

　　作为一名网络安全爱好者，笔者素来对各种安全软件偏爱有加，电脑上安装最多的也许就是她们了。日前有幸受邀试用了安天实验室针对桌面用户的主打产品“木马防线2005+”（下文简称AGB），以下是一些择其精要的使用点滴感受，同时还有一些鸡蛋里挑骨头的建议，仅供大家参考审评。

1、界面美观，操作方式人性化

　　对于一个安全软件来说，我们考察它的最根本指标当然是其查、杀毒效果。但是毕竟这些特性也都是要通过使用才能表现出来，所以诸如产品界面、操作难易度等因素也理所应当的列为用户需求。

　　如图，相信任何人在看到AGB的产品主界面后，即便说用美术作品来形容稍显夸张的话，至少称之为赏心悦目是没有问题的。不过在强调工作效率的今天，从用户的使用角度来考量，如果能把一些软件的当前状态信息如病毒库信息等第一时间让用户看到也许会更有利于使用者。（注：这些信息也可以在“关于”中查看到）

　　大家在运行软件后看到的第一界面（此界面）直接是一些查杀的简洁目标，大大方便的用户的查杀。用户可以直接选择诸如“敏感区域”等查杀，省去了具体选择的麻烦。这一点对于不熟悉安全知识的用户是有利的，典型的体现了软件的人性化特色。软件把日志显示放到了“扫描木马”功能模块中，则是这一思路的强化，这样可以方便用户查看查杀记录。

2、围绕歼杀木马的诸多实用工具

　　不同于一般病毒，木马、后门的破坏行为往往呈现出一定特点，比如开放端口，插入进程等。因此，不论是发现木马还是查杀木马都需要一些辅助工具的配合。

　　这里的“任务管理”即相当于操作系统任务管理器的“进程功能”，而“进程管理”则可以查看每个进程的详细情况，在处理线程插入式木马时特别有用。并且大家发现，不论是任务管理还是进程管理，都有一个查找和导出的功能，这样可以方便用户查找特定（病毒）进程以及保存进程文件（默然保存为TXT文件）。保存进程信息文件的好处是可以把该日志文件发给其他朋友以便帮助分析。

　　不过这里笔者建议，由于是实现类似的功能，因此如果能把这两个功能强化整合为一似乎更好。

　　说到查杀木马，这里不能不提的就是“灰鸽子”。“灰鸽子”之名相信对于大家来说可能是如雷贯耳，所谓的无进程、无启动项类的木马就是像这样的木马。的确，这类木马不论是隐藏程度还是查杀难度都是比较高的，解决这类木马的关键在于删除其注册在系统中的“服务”项。但是我们知道如果不借助于第三方工具的话，要删除“服务”必须要操作注册表才行。这样对于一般用户来说显然难度过大。如图，不愧是为查杀木马量身定做的AGB，我们可以方便直观的管理服务项，在对应的病毒服务项上删除即可（这个过程最好在安全模式下完成）。

　　启动项目管理工具也是颇为全面，从注册表（Regedit）到Win.ini等可能加载木马的位置这里都很直观的罗列出来，用户可以很容易的管理。

　　值得一说的“端口进程管理”功能。对于开放端口的木马，其开放的端口必然对应着相应的木马文件。因此当发现可疑的开放端口时，我们可以通过端口“反查”进程，从而找到木马病毒文件。不过类似上述，“网络状态”和“端口进程管理”也有一定的相似之处，这里还是建议把两个功能整合为一。大家可能已经注意到，不论是进程管理功能还是这里的端口管理，都有一个“样本上传”功能，作为AGB的特色之一，这个功能体现了“全民皆兵”的思路，大家每当发可疑的进程，就可以选择样本上传，这样可以使可疑文件在第一时间交给相关公司，让（新）木马陷入人民战争的汪洋大海。

3、选项设置简单实用

　　对于多数一般用户来说，设置选项提复杂太专业了可不行。我们对于安全软件的设置项要求既能全面控制，又要做到尽量简洁。

　　如图，我们只要钩选上“后台升级”和“启用自动更新”两个功能就可以实现某些安全厂家所极力鼓吹的“主动升级”功能，同时，针对查杀广告软件、间谍软件等，我们只要复选全部查杀范围即可。

4、内置可疑文件上传功能，新病毒无处遁形

　　如前所述，为了应对新木马的威胁，我们可以直接很方便的在软件中上传相关可疑文件给厂家。如图，我们只要很简单的填上自己的相关信息（以便核实奖励）后就可以发送文件给厂家了，如果是新的木马，则会很快发布升级。

5、实时监控木马的安天盾防火墙

　　安天盾防火墙能够对系统和网络进行监控和防护，随时发现各类可疑程序，查封指定IP地址和端口，有效拦截网络蠕虫的扫描攻击等行为。 选择“开始/程序/木马防线2005+/安天盾防火墙”就可以启动该防火墙。特别有意思的一点是，程序将对网络情况做出不同标志的警报，体现为任务栏通知区域的图标闪烁：

红色：系统监控发现病毒或可疑程序。

黑色：网络监控发现了扫描或攻击等行为。

蓝色：防火墙处于正在保护您的系统，无事件发生。

　　类似的功能，据笔者所知，只有极少数产品中才有，比如传说中将推出的微软反病毒软件WindowsOneCare。如图，我们可以对安天盾进行若干设置。