小王最近測(cè)試了一款安全輔助工具，名叫無毒空間（官網(wǎng)：http://www.virusfree.com.cn），主界面如圖1、2所示，該程序設(shè)計(jì)思路有異于目前市場(chǎng)上所有安全類軟件，使用了純白名單的核心技術(shù)，由于她抓住了“是程序總是要執(zhí)行的”這一電腦程序的本質(zhì)特征，巧妙的解決了未知程序非授權(quán)偷偷執(zhí)行的問題。所以，正確使用該軟件，完全可以拒病毒木馬等惡意程序于電腦外，讓用戶的電腦形成真正的無毒空間。由于該系統(tǒng)專門用于攔截未知電腦程序，本身并不是查殺毒軟件，用戶使用該系統(tǒng)之前，應(yīng)該先確認(rèn)自己的電腦是干凈無毒的（簡(jiǎn)單的辦法就是使用現(xiàn)有的查殺毒軟件對(duì)電腦全面查殺一遍），或者在新安裝系統(tǒng)后馬上使用無毒空間。

圖1

圖2

因?yàn)檫@類軟件多是對(duì)系統(tǒng)底層操作的，以前測(cè)試這類軟件時(shí)容易造成系統(tǒng)崩潰，出現(xiàn)藍(lán)屏，所以我先在兩個(gè)新安裝的虛擬機(jī)（xp pro和win2000 ad server）上進(jìn)行了下面的測(cè)試，沒發(fā)現(xiàn)問題后，才在本地機(jī)測(cè)試：

1、在虛擬機(jī)上安裝正版瑞星和360，然后安裝無毒空間，測(cè)試是否存在沖突，結(jié)果一切正常；

2、先后升級(jí)系統(tǒng)補(bǔ)丁、殺軟、360，擔(dān)心的藍(lán)屏和異常情況沒有出現(xiàn)；

3、重啟虛擬機(jī)，分別進(jìn)入安全模式和正常模式，沒發(fā)現(xiàn)問題；

4、開啟無毒空間的實(shí)時(shí)攔截模式（右鍵單擊屏幕右下角的無毒空間圖標(biāo)設(shè)置開啟在線提示模式還是實(shí)時(shí)攔截模式），運(yùn)行IceSword、PEview、RootkitRevealer、SnipeSword等軟件，360和無毒空間都出現(xiàn)一些驅(qū)動(dòng)加載提示，允許后一切正常；

5、安裝powerbuilder6.5、delphi7、sqlserver2000，無毒空間有數(shù)次攔截提示，如圖3，圖4所示，允許通過后，安裝完成；

6、安裝使用各類常用辦公軟件，應(yīng)用軟件，沒發(fā)現(xiàn)問題；

看來無毒空間的穩(wěn)定性還行，放心的在本地機(jī)安裝上了。運(yùn)行了一段時(shí)間，還沒有發(fā)現(xiàn)問題，運(yùn)行一些程序時(shí)會(huì)提示有一些dll文件被調(diào)用了，這是正常的，有些程序會(huì)調(diào)用動(dòng)態(tài)鏈接庫中的一些函數(shù)，如果只是讀取文件內(nèi)容，無毒空間不會(huì)做提示。無毒空間最大的特點(diǎn)是可以非常方便的查找到未知木馬，但需要一定的基礎(chǔ)，所以非常適合計(jì)算機(jī)管理員使用?？赡芪抑v了這么多你還一頭霧水，不明白無毒空間是如何工作的，簡(jiǎn)單的說就是，安裝好無毒空間后，無毒空間會(huì)在后臺(tái)對(duì)程序建立白名單庫，并以此為依據(jù)對(duì)未知程序進(jìn)行有效監(jiān)控，一旦有系統(tǒng)有新的程序執(zhí)行，無毒空間都會(huì)攔截或者提示，用戶可根據(jù)具體情況選擇允許還是禁止，最終實(shí)現(xiàn)將未知病毒木馬拒之門外的目標(biāo)。

經(jīng)過認(rèn)真試用，發(fā)現(xiàn)無毒空間以下幾大特色：

1、 查找未知木馬立竿見影；

查找可疑文件，需要使用無毒空間的分析功能，分析后的程序列表有500個(gè)左右（我的電腦是542個(gè)，根據(jù)用戶電腦安裝的程序多少有不同），先隱藏簽名認(rèn)證程序，再過濾知名廠商程序，過濾關(guān)鍵詞可參照program files目錄后面的路徑名稱，酌情選取，以不容易重復(fù)為要素。

分號(hào)隔開，回車有效。

有幾個(gè)關(guān)鍵詞建議用戶不要使用，windows、system、driver、program、file、Microsoft?？傊?，跟windows系統(tǒng)目錄相關(guān)的關(guān)鍵詞不要使用，以防將這些木馬喜歡的目錄過濾掉了，也就看不到木馬或者可疑程序的蹤跡了。

一般而言，經(jīng)過這樣幾個(gè)簡(jiǎn)單的操作后，剩下的文件就不多了，（用鼠標(biāo)一個(gè)個(gè)雙擊后看文件的屬性）再根據(jù)經(jīng)驗(yàn)就能很快找到可疑目標(biāo)了。

這時(shí)，上傳vt，讓全球知名的40家殺毒軟件廠商掃描一下，主要的木馬就現(xiàn)形了，如果vt不報(bào)毒又非常可疑，使用二進(jìn)制編輯軟件、pe格式分析軟件、反匯編工具、動(dòng)態(tài)跟蹤軟件，經(jīng)驗(yàn)豐富一點(diǎn)的用戶還能直接發(fā)現(xiàn)未知木馬，那就相當(dāng)于用戶自己抓到的新木馬了。

2、 攔截未知木馬效果突出；

小王測(cè)試的幾款安全軟件，其工作原理一直為一些病毒木馬效仿，比如他們的驅(qū)動(dòng)都動(dòng)態(tài)加載、用后刪除，但無毒空間洞若觀火，看得一清二楚。如果使用無毒空間的實(shí)時(shí)攔截狀態(tài)，這些安全軟件不想讓用戶知道的獨(dú)特驅(qū)動(dòng)，都可以被輕松拿下。未知木馬也是類似的特殊程序，而且也是電腦沒有的新程序，所以，其運(yùn)行自然無法逃過無毒空間的監(jiān)測(cè)或者攔截。

3、 刪除頑固程序手段獨(dú)特；

刪除頑固文件只需要知道頑固文件名，在查詢里輸入這個(gè)文件，禁止它后，重啟，應(yīng)該就可以隨便處理這個(gè)文件了。

當(dāng)然，如果這個(gè)程序是別的程序保護(hù)的，需要找到這個(gè)程序的保護(hù)者，禁止那個(gè)程序（一般是驅(qū)動(dòng)），也是隨便處理這些惡意程序。

所以使用無毒空間刪除頑固木馬，絕對(duì)是非常有效的，根本不需要什么專殺工具了。

4、 試用各類程序方便無憂。

我們的電腦都免不了要使用各種新的程序，未知程序帶來的是未知的風(fēng)險(xiǎn)，如果使用無毒空間，試用程序就變成了一種樂趣。

將無毒空間切換至實(shí)時(shí)攔截模式，執(zhí)行新下載的程序，無毒空間即出現(xiàn)攔截窗口，點(diǎn)擊“試用”按鈕，無毒空間會(huì)臨時(shí)許可程序的執(zhí)行，但執(zhí)行的程序并不收錄入庫，計(jì)算機(jī)重啟啟動(dòng)后，剛才試用的程序又變成未知程序了，自然不能隨意運(yùn)行。如果試用的程序包里暗藏木馬，計(jì)算機(jī)啟動(dòng)后木馬會(huì)自啟動(dòng)加載自己，無毒空間還會(huì)給出未知程序加載的告警，只需簡(jiǎn)單上傳鑒別，是木馬的話，選一下禁止，關(guān)閉主界面后重啟電腦，就將未知木馬就地正法了。

5、 監(jiān)測(cè)程序動(dòng)態(tài)一目了然。

有些軟件（國內(nèi)軟件居多）將用戶的電腦當(dāng)成“肉雞”，一旦裝上它，就隨意蹂躪用戶的電腦，但通常用戶并不知情。安上無毒空間，你就看吧，電腦里熱鬧著呢，除了微軟有告知的升級(jí)外，各類安全軟件、娛樂軟件、工具軟件、都在你的電腦里大顯神通，隨意無聲無息的更新升級(jí)，完全沒有起碼的職業(yè)道德。

有個(gè)國內(nèi)非常知名的安全軟件，幾乎每天將它安裝在用戶電腦里的程序倒騰一遍，當(dāng)然，這種倒騰經(jīng)常是不會(huì)告知用戶的。

試想一下，你免費(fèi)請(qǐng)個(gè)保姆，她每天在你家里一會(huì)兒換鎖一會(huì)兒挪家具的，你受得了嗎？！安裝了無毒空間，這些小動(dòng)作就看得很清楚了。

如果你和我一樣因?yàn)檎加锰噘Y源而不使用殺毒軟件，但又擔(dān)心出現(xiàn)新病毒而中毒，那么小王強(qiáng)烈推薦使用無毒空間，無毒空間的運(yùn)行速度明顯優(yōu)于各種國際知名的查殺毒軟件，而且可以有效攔截病毒運(yùn)行，當(dāng)然這個(gè)程序只是一個(gè)工具，自己不認(rèn)識(shí)病毒木馬的，但通過它能快速找到未知病毒木馬的。過段時(shí)間我打算搭建一個(gè)web環(huán)境和數(shù)據(jù)庫環(huán)境，測(cè)試一下無毒空間對(duì)web木馬和多用戶環(huán)境下的攔截。

就無毒空間的工作原理來看，目前病毒木馬的免殺技術(shù)恰恰成了“毒蛇的七寸”，用無毒空間發(fā)現(xiàn)它、抓住它，易如反掌。

當(dāng)然，隨著無毒空間的用戶數(shù)增加，一定會(huì)驚動(dòng)病毒木馬的制造者，也許會(huì)出現(xiàn)專門針對(duì)無毒空間的特制病毒木馬，到時(shí)候就看無毒空間怎么應(yīng)對(duì)了！

圖3

 圖4  

【編輯推薦】

1. 當(dāng)今網(wǎng)絡(luò)戰(zhàn)最常用的安全工具、標(biāo)準(zhǔn)和技巧
2. 10款Linux下常用安全工具詳細(xì)介紹