现在的网络防火墙都有一项功能，就是对要求访问互联网的程序进程进行提示，询问用户是否允许该进程访问网络，风云防火墙自然也不缺这项功能。它不但可以连接进程的文件名称、文件版本、文件路径等，还可以显示出该进行使用的网络协议，以及显示出连接的远程IP地址和相对应的物理地址，让用户清楚地了解该连接情况，从而进行判断。

　　一天当笔者和一位网友聊天时，突然屏幕弹出一个提示窗口（如图1）。从图中我们可以清楚地看到，一个IE浏览器的进程请求访问网络。IE浏览器访问网络并没有什么奇怪的，但是它连接的地址“四川省德阳市”，以及端口“8000”引起了我的注意。我们知道，浏览器最常见的连接端口是80端口，8000端口最常见的是QQ服务端使用的端口，更加奇怪的是我并没有使用IE浏览器。毋庸置疑，我的IE浏览器被恶意程序“绑架”了。
 

　　当我正在琢磨IE浏览器被什么所挟持的时候，风云防火墙在任务栏的图标不停闪烁，并弹出一个气球提示（如图2），提示用户发现“远程控制－灰鸽子 VIP 2005”，以及它的进程、对方IP和端口，并且自动对这些发送的数据进行拦截。

　　通过对比发现这些信息和前面的信息完全相同，这样我就可以肯定IE浏览器是被灰鸽子木马所劫持了，因为灰鸽子木马使用了线程插入技术，正好将服务端程序的进程插入到了IE浏览器的进程之中。风云防火墙之所以能够进行如此准确的判断，是因为使用了独特的木马数据包特征码拦截技术，木马程序一旦被列入病毒库，无论如何加壳伪装都能加以拦截，因为这些都是该木马程序的基本特性。

　　确认是灰鸽子木马作祟后，马上运行金山毒霸的升级程序，准备将软件的病毒库更新到最新版本。可是当升级程序启动后，防火墙马上又弹出了一个提示窗口（如图3），由于很多木马程序都进行了加壳处理，而风云防火墙全新智能的侦测、拦截、询问已知加壳的程序的运行功能，能够让用户安全确定加壳程序的运行是否安全，避免木马程序的运行。由于该升级程序通过UPX加壳程序进行了加壳处理，所以防火墙同样弹出了一个提示窗口。

　　使用最新版本的金山毒霸对系统进行扫描，但是并没有检测出一个病毒文件，看来这个灰鸽子木马是刚刚发布的最新版本，只有通过手工方式进行检测了。双击任务栏中的风云防火墙图标，弹出程序的操作主界面。
点击“特洛伊检测”选项中的“进程查壳”命令，防火墙程序会自动对系统中当前使用的进程进行检测，同时还能检测出隐藏的进程，并且可以对进程进行定位、查看属性、终止进程等一系列操作。经过检测，发现系统中一共有26个进程，并且发现1个隐藏的进程。这个隐藏的进程会被防火墙红色高亮加以显示，而这个隐藏的进程正好就是被灰鸽子木马利用的IE浏览器进程（如图4）。选择这个被利用的进程，点击“终止选中进程”按钮即可结束它。

　　下面我们来检测木马的启动项，点击“系统启动项”中的“服务启动项”命令，因为在Windows XP系统中，灰鸽子木马是利用系统服务进行启动的。同样，防火墙可以对隐藏的系统服务进行检测，使隐藏服务的木马无处隐藏、瞬时显现，并通过红色高亮进行显示。最终检测到一个隐藏的服务，正好就是灰鸽子木马的启动项，并且通过该服务所指的“路径”找到了木马的路径。可以看出，黑客将灰鸽子木马伪装成系统进程svchost.exe。选择这个木马的启动项服务，点击“删除选定”按钮将这个启动服务删除。然后按照路径所指，找到木马的服务端程序并删除，最终通过手工的方式清除掉灰鸽子木马。

　　除了上面检测木马时所使用的功能外，风云防火墙还包括其他很多优秀的功能，密码保护功能就是其中的一项。防火墙通过对WH_KEYBOARD、WH_JOUR

　　NALRECORD、WH_GETMESSAGE、 SendMessage等常用的钩子函数进行彻底地拦截，防止木马程序通过键盘记录功能对用户的网银、网游等账户信息进行记录，进而被黑客所窃取，造成用户经济、精神上的多重损失。

 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: