六、Look’n’stop的一些高级功能
目前Look’n’stop2.05p2版部分功能默认没有打开,官方已有Look’n’stop2.05p3版下载,在P3版安装完成后在它的安装目录下会有一些与高级应用有关的文件,大家可以通过看该目录下的说明文件了解其用途。建议大家打开下述高级功能,此时系统才是最安全的。。
1.把Look’n’stop作为服务启动
Look’n’stop2.05P2版的虚拟硬件驱动程序就是系统驱动级的,操作系统启动时该驱动程序会启动(仅次于操作系统内核),所以Look’n’stop可以提前于病毒和木马启动,并及时监控,这点对于防火墙来说是非常有用的,但该驱动只用于发现连接企图,而不采取任何行为。
Look’n’stop2.05p3版中提供了把它的主程序(不是虚拟硬件驱动)作为服务启动的功能,在这种情况就可以及时给用户提示,由用户做决定了。
2.打开Look’n’stop的一些高级功能
P3版提供了一个注册文件,导入这个注册文件就打开了它的一些高级功能,如隐藏进程调用隐藏进程、线程侵加、DLL检测等功能,这些功能全部是防止机器中的恶意程序企图连接外部的,Look’n’stop能有效进行阻止。此后,当重新启动操作系统后,随便运行一、二个需要上网的程序后,打开“选项”标签,点“控制台”,点“驱动日志”,就会发现如图16所示一些信息。
当你看到F02_ok等这五条内容(并不一定同时出现,顺序也可能不同)时,说明Look’n’stop的高级功能全部正常启用了。
驱动日志显示的信息及其对应的设置项或者隐藏参数键值解释如下:
FO2_Ok 监视线程侵加-----打开“高级设置”--“监视线程侵加”
FO2_2_Ok 监视线程侵加的增强(如Copycat这种类型行为的木马)-----"CheckVAEUDTF"=dword:00000001
FO3_Ok 监视利用DNS解析行为的木马。因为DNS请求是由OS内核完成的,故多数防火墙对内核是放行的(如DNStester这种类型)-----"CheckDNSQ"=dword:00000001
FO4_Ok 防止用DLL插入到其它进程,并不是直接去调用某个程序的方式(如Pcaudit等)同时打开DLL检测-----"CheckHSRE"=dword:00000001和"ActivatedSoon"=dword:00000001
FO5_Ok 防止并不生成线程的直接代码插入,亦即内存数据修改(如Copycat、Thermite等)-----"CheckVAEUDTF"= dword:00000001
3. 打开高级功能后打印机共享问题的解决
让Look’n’stop作为系统服务启动后,以简单共享方式建立的共享打印机是不能被其它用户使用的。原因是Look’n’stop阻止了UPnP协议的1900端口的通讯造成的,没办法,因为Look’n’stop监制非常严。
解决办法是在“互联网过滤”规则中加一个规则“以太网类型:IP;协议:UDP;目标区IP地址:239.255.255.250;目标区TCP/UDP端口等于:1900;并允许”就可以了。
安全中国首页 > 文章中心 > 安全防护