■ 江蘇 周勇生

編者按：我們即使用了各式專業(yè)的安全工具，往往還是不能避免網(wǎng)絡(luò)攻擊。也許有人想到了使用專業(yè)的虛擬技術(shù)來營造網(wǎng)絡(luò)工作環(huán)境，不過專業(yè)虛擬技術(shù)需要高性能的計算機(jī)支撐才行。事實上，在計算機(jī)硬件檔次、性能配置不高的情況下，利用虛擬沙盤功能為網(wǎng)絡(luò)訪問營造一種虛擬環(huán)境，就可以保證網(wǎng)絡(luò)訪問避免遭遇非法攻擊了，甚至也不用安裝專業(yè)安全工具了。

認(rèn)識虛擬沙盤

所謂虛擬沙盤，可以看成一個運(yùn)行在系統(tǒng)中的虛擬容器，在該容器中運(yùn)行一些不是很安全的應(yīng)用程序，運(yùn)行過程中的一些非法操作被容器強(qiáng)行隔離，不會影響計算機(jī)系統(tǒng)的工作狀態(tài)。

伴隨著虛擬技術(shù)的逐步成熟，虛擬沙盤得到越來越廣泛的應(yīng)用，將重要測試操作放到虛擬沙盒中進(jìn)行寫入保護(hù)，是一種很安全的防護(hù)手段。因此現(xiàn)在不少用戶會運(yùn)用虛擬沙盤技術(shù)來主動測試病毒程序的破壞力。

借助數(shù)據(jù)重定向技術(shù)，將應(yīng)用程序生成或調(diào)用的數(shù)據(jù)文件，定向到自身文件夾中。只是這些數(shù)據(jù)的調(diào)整變化，包括注冊表和一些系統(tǒng)的核心數(shù)據(jù)，常常會借助加載自身的軟件驅(qū)動來保護(hù)底層數(shù)據(jù)，這種安全保護(hù)屬于驅(qū)動級別的保護(hù)。

虛擬沙盤屬于被動防御技術(shù)，其一旦發(fā)現(xiàn)可疑程序時，不會立即攔截并終止其運(yùn)行，只要當(dāng)確定是惡意程序時，才會真的終止其運(yùn)行。虛擬沙盤技術(shù)的主要工作流程是，先讓疑似惡意程序的非法行為在虛擬沙盤中充分表演，虛擬沙盤會自動記下其每一個動作。當(dāng)疑似惡意程序充分暴露其惡意屬性后，該技術(shù)就會強(qiáng)制執(zhí)行系統(tǒng)回滾操作，將惡意程序的操作痕跡和動作抹干凈，恢復(fù)計算機(jī)系統(tǒng)到原始狀態(tài)。

借助外力用沙盤

巧妙通過虛擬系統(tǒng)能夠高效快捷地保護(hù)各種操作安全，但在平時工作中，用戶或許更多的是對某些網(wǎng)頁內(nèi)容訪問不放心，若是單純?yōu)榱诉_(dá)到這種安全防范目的，就要小題大作地去安裝使用虛擬系統(tǒng)，明顯有點(diǎn)浪費(fèi)。

這時不妨嘗試使用“Sandboxie”程序的虛擬隔離技術(shù)，在計算機(jī)系統(tǒng)與IE瀏覽器之間創(chuàng)建一個安全隔離層，當(dāng)啟動運(yùn)行IE瀏覽器程序時，瀏覽器程序會被智能工作于虛擬隔離環(huán)境，這樣惡意程序通過瀏覽器對計算機(jī)系統(tǒng)所進(jìn)行的各種調(diào)整、篡改，只適合隔離環(huán)境，而不適用于真實的計算機(jī)系統(tǒng)。

這樣，即使不小心感染病毒木馬，計算機(jī)系統(tǒng)的安全也不會受到任何的影響。

首次安裝好“Sandboxie”程序后，它就會自動提醒及時生成有關(guān)配置文件，以便能按用戶真實需求進(jìn)行上網(wǎng)訪問。

在該程序主操作窗口中，逐一點(diǎn)選“沙盤”→“創(chuàng)建”命令，來生成一個新的沙盤，接著將需要訪問使用的瀏覽器程序用鼠標(biāo)直接拖放到沙盤中運(yùn)行，此時借助該瀏覽器程序訪問的網(wǎng)頁內(nèi)容，都不會影響到系統(tǒng)的安全，即使被瀏覽的網(wǎng)頁背后暗藏有病毒木馬，也不能破壞真實操作系統(tǒng)中的關(guān)聯(lián)文件。

當(dāng)然，用戶也可以在新沙盤右鍵菜單中逐一選擇“在沙盤中運(yùn)行”→“運(yùn)行網(wǎng)頁瀏覽器”選項，來將IE瀏覽器程序放置到隔離環(huán)境中運(yùn)行。

為了避免用戶操作失誤，在非隔離環(huán)境下不小心開啟了瀏覽器程序的運(yùn)行狀態(tài)，用戶可以通過適當(dāng)?shù)呐渲茫瑥?qiáng)制瀏覽器程序必須在虛擬隔離環(huán)境下才能正常工作。在“Sandboxie”程序主操作窗口中，逐一點(diǎn)選“沙盤”→“沙盤名稱”→“沙盤設(shè)置”→“強(qiáng)制運(yùn)行程序”命令，在其后彈出的窗口中，導(dǎo)入需要在虛擬隔離環(huán)境下工作的網(wǎng)絡(luò)連接程序，例如IE瀏覽器程序，確認(rèn)后退出設(shè)置對話框。這樣，日后無論在什么情形下開啟瀏覽器，“Sandboxie”程序都會強(qiáng)制將其工作在虛擬隔離環(huán)境中。

Bufferzone也是一種常用虛擬沙盤軟件，它不僅可以營造虛擬系統(tǒng)環(huán)境，讓系統(tǒng)中的重要程序不被劫持，防止重要數(shù)據(jù)被盜竊，而且還能隔離瀏覽器，讓網(wǎng)頁背后的病毒木馬無法破壞真實的計算機(jī)系統(tǒng)。任何已知的或未知的惡意程序，都無法逃脫Bufferzone工具編織的法網(wǎng)，因為該工具運(yùn)行于系統(tǒng)內(nèi)核，能對所有未知類型的攻擊進(jìn)行連接，讓操作系統(tǒng)毫發(fā)未損。

該工具支持Security through Virtualization這種特殊方式，動態(tài)隔離可能存在安全威脅的應(yīng)用程序，被隔離后的上網(wǎng)程序會時刻受到其監(jiān)控，一切潛藏有非法攻擊的操作都會被嚴(yán)格拒絕。用戶不需要使用它掃描系統(tǒng)，也不需對它執(zhí)行升級操作，只要簡單通過其“未審核程序虛擬化”技術(shù)，重定向IE瀏覽器程序?qū)indows系統(tǒng)所做的操作到一個虛擬隔離環(huán)境中，這樣病毒木馬通過瀏覽器程序所做的各種非法操作都不會被應(yīng)用到真實的系統(tǒng)中去。

而且，Bufferzone工具還支持“私密文件”功能，可以使通過瀏覽器運(yùn)行的惡意程序既無法看見也不知道本地系統(tǒng)的私密文件，所有間諜程序、鍵盤記錄程序和木馬都無法盜竊本地計算機(jī)系統(tǒng)中的私密數(shù)據(jù)。

下載安裝好Bufferzone工具后（安裝前必須確保擁有10G大小的剩余空間用來創(chuàng)建虛擬環(huán)境，也就是Virtual文件夾），打開系統(tǒng)資源管理器窗口，會發(fā)現(xiàn)Virtual文件夾默認(rèn)位于系統(tǒng)分區(qū)中。如果擔(dān)心系統(tǒng)分區(qū)空間不夠時，可以在安裝過程中，修改目標(biāo)工具的安裝路徑，讓其指向非系統(tǒng)分區(qū)，同時預(yù)留更大的磁盤空間，讓虛擬隔離環(huán)境支持更多程序的運(yùn)行。

當(dāng)BufferZone運(yùn) 行后，常用軟件如IE、QQ等快捷菜單中，都會出現(xiàn)“Move to bufferzone”、“Open in bufferzome”等功能命令，使用它們可以讓IE瀏覽器等程序在虛擬環(huán)境中運(yùn)行，上網(wǎng)訪問時我們會發(fā)現(xiàn)瀏覽器窗口被紅色框包圍，這就意味著，現(xiàn)在我們所進(jìn)行的一切操作在關(guān)閉BufferZone工具后就會消失，現(xiàn)在的各種操作行為都是安全的，不怕任何病毒木馬的攻擊。

其中前面一個命令表示將目標(biāo)程序移入虛擬隔離環(huán)境，以后運(yùn)行就會直接在虛擬隔離環(huán)境中打開。移入虛擬隔離環(huán)境的程序都會被BufferZone工具打上特有的標(biāo)志，表示它們都是BufferZone工具監(jiān)視的對象，哪個程序進(jìn)行了非法操作，都逃不過BufferZone的法眼。

后一個命令就是暫時讓目標(biāo)程序在虛擬隔離環(huán)境中運(yùn)行，當(dāng)操作退出后，下次目標(biāo)程序的運(yùn)行就不會自動處于隔離狀態(tài)了。

對于重要的文件夾，如果我們不希望來自網(wǎng)絡(luò)的程序偷偷訪問時，也可以使用BufferZone工具將其隔離保護(hù)起來。

只要用鼠標(biāo)右鍵單擊目標(biāo)文件夾，從彈出的右鍵菜單中，依次點(diǎn)選“BufferZone” →“Confidential：hide from bufferzone”命令，這時目標(biāo)文件夾中就會出現(xiàn)一把小鎖標(biāo)志，這代表該文件夾中的數(shù)據(jù)內(nèi)容正受到安全保護(hù)，處于虛擬隔離環(huán)境中的瀏覽器程序或其他程序都不能訪問它。

例如，在經(jīng)過上述設(shè)置操作后，當(dāng)我們嘗試通過虛擬隔離環(huán)境下的IE瀏覽器程序，打開重要文件夾中的某個圖像文件時，系統(tǒng)會出現(xiàn)“無效的圖片文件”提示對話框，這代表隱私內(nèi)容得到了安全保護(hù)。如果希望虛擬隔離環(huán)境內(nèi)外的所有程序，都無法訪問特定的重要文件夾內(nèi)容時，只要從該文件夾的右鍵菜單中，依次選擇執(zhí)行“BufferZone”→“Forbidden：deny all access”命令即可。

擁有了BufferZone工具，網(wǎng)絡(luò)上的任何病毒木馬攻擊都得靠邊站，因為它用一個虛擬的“安全緩沖區(qū)”隔離非信任程序，病毒木馬無法接觸到真實系統(tǒng)，自然談不上威脅系統(tǒng)安全了。

借助內(nèi)力用沙盤

在手頭沒有外力利用的情況下，我們也可以將目光瞄向Windows系統(tǒng)的自身功能。

例如，在Windows 10系統(tǒng)環(huán)境下，大家可以巧妙利用內(nèi)置的Windows Defender Application Guard功能組件來實現(xiàn)虛擬沙盤技術(shù)，安全隔離用戶的一些不安全操作，確保他們的網(wǎng)絡(luò)訪問正常。

在默認(rèn)狀態(tài)下，Windows 10系統(tǒng)沒有啟用Windows Defender Application Guard功能，此時可以打開計算機(jī)系統(tǒng)的控制面板窗口，雙擊其中的“Windows功能”圖標(biāo)，進(jìn)入對應(yīng)功能的列表界面，選中“Windows Defender應(yīng)用程序防護(hù)”功能選項，確認(rèn)后按照提示啟用對應(yīng)系統(tǒng)組件，重新啟動計算機(jī)，這樣，上述功能就正式生效了。

日后想借助該功能保護(hù)網(wǎng)頁瀏覽操作時，可以在運(yùn)行Edge瀏覽器后，依次選擇“菜單”→“新建應(yīng)用程序防護(hù)窗口”命令，就會彈出一個受到安全保護(hù)的新操作窗口。這時，Windows Defender Application Guard功能就會自動進(jìn)行隔離環(huán)境初始化操作，在初始化任務(wù)完成后，系統(tǒng)會彈出一個全新的微軟Edge瀏覽器，該窗口左上側(cè)有明顯的“應(yīng)用程序保護(hù)”提示，窗口邊緣的顏色也是與之前不同，用戶能很直觀地看出當(dāng)前的工作窗口正處于安全保護(hù)狀態(tài)。

在這個受保護(hù)的工作窗口中所進(jìn)行的任何網(wǎng)頁訪問操作都會被強(qiáng)制隔離在一個安全獨(dú)立的虛擬沙盤環(huán)境中，而且它的安全防護(hù)效果幾乎就是在真正的虛擬機(jī)中使用Edge瀏覽器上網(wǎng)訪問一樣。

例如，在這個受保護(hù)的工作窗口中訪問到掛馬網(wǎng)頁或者是無意中下載了惡意程序時，這些操作都會被虛擬沙盤自動隔離，不會影響到操作系統(tǒng)的運(yùn)行安全。當(dāng)關(guān)閉了Edge瀏覽窗口時，各種操作產(chǎn)生的痕跡都會被自動抹除，那么惡意程序產(chǎn)生的威脅操作自然也會被清零，最終主機(jī)系統(tǒng)也不會受到任何影響。

默認(rèn)狀態(tài)下啟用Windows Defender Application Guard功能的虛擬沙盤后，在保護(hù)模式下下載獲得的數(shù)據(jù)，是無法存儲到主機(jī)系統(tǒng)的。如果既希望使用虛擬沙盤來保護(hù)上網(wǎng)安全，又希望能夠依照實際情況有針對性地提取隔離系統(tǒng)的相關(guān)數(shù)據(jù)時，在這里大家可以合理地配置Windows系統(tǒng)的組策略參數(shù)。

比方說，要進(jìn)行一些危險性測試操作時，考慮到安全方面的因素，或許需要在虛擬沙盤環(huán)境下訪問一些惡意站點(diǎn)，同時需要將一些病毒代碼拷貝到主機(jī)系統(tǒng)中存儲。這個時候不妨在系統(tǒng)組策略中，啟用從隔離系統(tǒng)中復(fù)制或粘貼的功能。下面就是詳細(xì)的操作步驟：

首先打開系統(tǒng)的運(yùn)行對話框，輸入“gpedit.msc”命令并確認(rèn)后，彈出系統(tǒng)組策略編輯界面，在該編輯界面的左側(cè)列表中，將鼠標(biāo)定位到“本地計算機(jī)策略”→“計算機(jī)配置”→“管理模板”→“Windows組件”→“Windows Defender應(yīng)用程序防護(hù)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下面的“配置Windows Defender應(yīng)用程序防護(hù)剪貼板設(shè)置”選項，用鼠標(biāo)雙擊該組策略選項，打開對應(yīng)選項的“設(shè)置”對話框。

其次，在這里大家可以按需配置，比如說想從虛擬沙盤中拷貝特定的文本內(nèi)容時，只要將“剪貼板的行為設(shè)置”調(diào)整為“應(yīng)用從隔離會話到主機(jī)的剪貼板操作”，內(nèi)容選項調(diào)整為“1”，確認(rèn)后保存設(shè)置操作。

如此一來，當(dāng)用戶在虛擬沙盤環(huán)境中查看到非法代碼內(nèi)容時，就能夠通過復(fù)制粘貼的方式，將代碼內(nèi)容復(fù)制粘貼到當(dāng)前主機(jī)系統(tǒng)。其他類似共享、打印、存儲虛擬沙盤下載的數(shù)據(jù)等操作，也能在相關(guān)功能配置中進(jìn)行合適的配置。