所谓的S3,实际上是System Security and Safety的简称。它不仅防外,保证用户的个人电脑安全以免受来自互联网上别人的攻击外,也可以管内,控制用户由于自身原因导致的不安全。下面我们将对S3进行全面评测,慢慢感受这只反病毒界奇葩带来的阵阵暗香。
一、初识S3
进入中网页面下载程序(点击下载)。整个安装程序只有6MB左右,体积相对于目前一些商业杀毒软件来说更加纤细,安装过程很简单,在此不再赘述。
重新启动系统后就能看到S3已经在状态栏中了,启动速度非常快,并且自动提示启动状态。
启动提示
随便运行一个程序,S3立即弹出一个提示窗口,询问用户对于该程序的处理意见。用户可以选择“允许”、“阻止”或者“终止进程”,这对于一些后门和反弹式木马的防御起到了至关重要的作用。因为目前的大多数流行病毒在启动时的防御,对于采用病毒库的杀毒软件来说都是个难题。细心的朋友会发现,S3除了给出提示外,还提供了对应程序的状态以及描述,并且标新立异的提出了安全评分概念。其中0分最为安全,5分则最为危险。
安全级别
细心的用户可能已经发现,如果每次运行程序S3都跳出提示,会严重影响我们的工作效率。其实在S3提示的窗口中,只要勾选“将本次询问结果加入应用程序控制规则库”,以后再次调用该程序时会自动运行。不过奉劝大家允许的程序最好是经常用到的,因为很多病毒的关联方式都会注入到其它程序,造成病毒的多次感染,让防护查杀工作无法顺利完成。
特别提示:S3针对非商业用户完全免费,进入主界面的“关于”界面,了解S3的授权方式,选择“个人Thanks授权”即可注册软件。
免费个人授权
二、设置S3
上面简单的体会了S3的应用规则,感觉很新鲜。事实上规则的合理运用将极大辅助用户主动防御病毒,我们先在使用前设置一下内部功能,方便以后的工作。
右键点击状态栏的S3图标选择“设置”。软件本身设置非常简单,包括“常规”、“网络控制”、“应用控制”三个模块。这里重点讲一下“网络控制”中的其它功能,由于S3的重点在于防御,所以包含了抗DOS攻击、主机隐形、IP/MAC地址绑定和ARP认证等功能。至于后两项IP/MAC地址绑定和ARP认证多用于防范ARP攻击以及局域网的管理,普通用户可以不选。而在“应用控制”中一定要选择“IE保护功能”,要知道大名鼎鼎的熊猫烧香之所以大面积传播就是依靠浏览器漏洞执行程序。
强大的控制功能
特别提示:为了能够让S3彻底成为我们控制程序的指挥中心,建议用户为其添加密码。在“常规”的安全选项中设置后,一般用户就无法随意修改S3的规则了。
安全密码
三、控制管理
在S3主界面的左侧,我们可以看到控制管理功能组,一共4项,在S3系统中有4D的概念。所谓4D,就是“网络防护(Network Defense,简称ND)”、“应用防护(Application Defense,简称AD)”、“文件防护(File Defense,简称FD)”、“注册表防护(Registry Defense,简称RD)”。
网络防护:基于miniport的Windows的状态检测包过滤防火墙;基于TDI的应用访问网络控制防火墙;基于MAC的链路层ARP防火墙;Anti-DDOS防火墙。
应用防护:在Windows上增加系统自主访问控制和基于规则的强制访问控制;应用作为主体的权限控制;应用作为客体的完整性保护。
文件防护:文件作为客体的完整性保护。
注册表防护:注册表作为客体的完整性保护。
在“安全模式”中,S3为用户在网络控制和应用控制两个层面提供了共8档模式,类似于IE的安全级别,对于初级用户很实用。当然真正发挥S3强大防御功能就必须进行手动配置,点击“配置网络控制规则”链接,可以看到当前状态下网络协议的开放程度和加载规则。
[img]http://img2.zol.com.cn/product/13_450x337/632/ceX7zFzCFgM.jpg
[/img]
控制模式
下面以屏蔽某个网站为例讲解网络规则配置的具体操作方法。
假设我们现在由于病毒的侵害,不断的弹出某个站点,从而进一步的遭受重复攻击,此时可以屏蔽该站点。首先我们需要知道该站点的IP地址,进入CMD,输入ping www.xxx.com后回车即可看到IP返回结果。
获取IP地址
进入网络控制规则界面,点“新增”打开规则编辑窗口,其中名称和描述参数可以随意填写,点击默认的“放行”链接,选择“阻止”方式,协议选择默认的TCP,再次点击默认的“外出访问”,选择“所有方向”。最后注意要将该规则放到Http规则的上方。
屏蔽恶意站点
S3另外一项重要功能即应用程序控制规则,假设现在我们不希望QQ程序访问网络,可以进入应用控制规则界面,在“应用控制规则”页面中点“程序控制规则”,点“新增”链接,指定QQ主程序。 阻止其一切网络活动,确定后QQ就不能连接到网络了。同样对于一些可能存在危险的反弹型木马,可以先用S3将其屏蔽在网络外,再运行就不会发送隐私信息了。
程序规则控制
四、系统监控
系统监控中的功能更多的是针对用户操作习惯。在“自动启动程序”中不但集成了类似于msconfig功能,而且可以检测IE插件、驱动程序、打印机监控等内容。
[img]
http://img2.zol.com.cn/product/13_450x337/636/ceqk1uxFBGDmE.jpg[/img]
启动监视功能
“进程”和“网络状态”则具有相似的功能属性,可以对当前系统运行的程序和与网络连接的对象属性进行监视,对于目前嵌入式木马来说,具有直接的杀伤力。
进程监视
S3所提出的4M监控特点正是这个模块的最好体现。
自动启动监控(Autoruns Monitor,简称AM):监控对象包括:登录时运行的程序,资源管理器插件,IE浏览器插件,系统服务,驱动程序,计划任务,打印机监控,Winsock Providers ,LSA Providers ,Winlogon Notify,App Inits ,Known Dlls 等。
运行进程实时监控(ProCESs Monitor,简称PM)。
网络状态实时监控(Netstat Monitor,简称NM)。
日志实时审计监控(Log Monitor,简称LM)。
五、总结
当笔者想模仿病毒动作对S3进行强行结束时,发现系统无法完成结束进程的指令,这样对很多启动式病毒的防御优势就不言自明了。而且当S3在最小化状态时,占用的资源也很少,可谓真正的“绿色软件”。
无法强制结束程序
在选择退出S3监控时,软件会提供几种退出模式,包括“直接退出”(配置的阻止规则依然有效)、“停用保护退出”(保护消失,但保留服务)、“停止服务退出”(全部释放S3资源)。用户可以获得不同规模得保护,操作非常人性化。
丰富的退出模式
毫无疑问,主动防御将成为未来安全产品的方向,产品整合也将是未来的趋势。而中网S3恰恰具备了这两方面的的特点,在网络安全方面占到先机。简单的设置,强大的功能,再配以特殊的技术优势和免费的授权,相信中网S3会“笼络”不少用户。
转自中关村在线:http://security.zol.com.cn/64/644324.html