[簡介]讓我又愛又恨的視窗"看門狗": Winpooch (無圖)

緣起:
原本只是想找視窗環境下, 可以掃毒的自由軟體, 試了 AVG , AntiVir 等, 突然看到使用 ClamAV 為核心的 ClamWin , 想到 ClamAV 在 Linux 環境下, 可以提供郵件過濾等, 就先下載 ClamWin 來使用.

可惜 ClamWin 是"純"掃檔案用, 沒有即時監控的功能, 於是再搜尋一下, 發現 Winpooch 這條"看門狗", 可以即時監控視窗的許多動作, 例如對網路的監控, 對特定軟體開啟的允許, 當然對檔案也可以呼叫 ClamWin 來掃毒.

試了一個晚上, 只能說 Winpooch 讓我又愛又恨, 因為預設功能太強, 造成系統負擔很重, 但是攔截的動作又很強, 所以還是簡單介紹一下, 給有興趣的人參考.

官方網站:
Winpooch : http://winpooch.free.fr/ (檔案內含正體中文)
ClamWin : http://www.clamwin.com/ (檔案內不含正體中文)

提醒:
由於功能太強, 建議在測試環境先測試一遍, 以免誤認為是當機. XD

安裝及設定步驟:
1. 安裝 Winpooch : 先不要安裝 ClamWin , 而且在安裝 Winpooch 的畫面上, 有一個"安裝內建的掃毒核心", 建議不要安裝.
2. 執行 Winpooch : 沒什麼特別的.
3. 第一次設定 Winpooch : 這是 Winpooch 讓人又愛又恨的地方, 因為預設攔截了所有檔案的讀取, 如果先裝了 ClamWin 或內建的掃毒功能, 馬上就會啟動, 而且接下來電腦會變得很慢, 因為所有的檔案都會逐一掃毒. 所以建議:
a. 先到設定畫面(參考圖, 引用自其他網站), 點選左邊的"過濾條件", 再點選右上方的程式"*"(表示所有程式都會經過這個過濾器), 再點選右下的 File::Read (讀取檔案時執行的動作), 然後選最右邊的設定功能, 把"病毒掃描"關掉.
這個步驟是許多人剛裝好 Winpooch 會以為當機的原因, 因為讀取任何檔案時, Winpooch 都會開啟掃毒軟體來檢查一次, 所以先把預設功能關掉.
b. 再到左邊的"組態", 選右邊接近中間的"在背景掃描這些檔案", 把游標移到"C:\Windows\", 按滑鼠右鍵, 選"移除資料夾".
4. 安裝 ClamWin : 沒什麼特別的.
5. 詳細設定 WinPooch : 當 ClamWin 安裝完成之後, 可以看到 Winpooch 左邊的"組態", 右上方可以選擇"防毒軟體", 應該會自動換成 ClamWin , 這時候才開始詳細設定 Winpooch 的各種功能.
其中 Winpooch 分為幾個項目來設定:
a. 程式: 對於哪些程式執行時進行監控.
b. 原因: 包括檔案的讀寫, 修改機碼, 網路連線, 執行其他程式等動作進行監控
c. 參數: 設定檔案名稱, 或者網路連接埠(port)的參數
d. 反應動作: 分為接受, 假裝接受, 拒絕
e. 詳細程度: 不提示, 只記錄, 提出警示
f. 選項(只對讀取檔案有作用): 病毒掃描.

例如 Windows 自己留下某些後門, 所以每次連上網之後, 就會自動開啟 WindowsUpdate (無論有沒有設定), 跟 135~139 , 445 等.
就可以透過 Winpooch 的設定, 例如:
a. 程式: c:\windows\system32\svchost.exe
b. 原因: Sys::Execute
c.. 參數: 字串: C:\windows\system32\wuauclt.exe
d: 反應動作: 拒絕
e: 詳細程度: 只記錄
(避免連上網就執行 WindowsUpdate , 手動的 WindowsUpdate 不是由 svchosts 執行, 所以手動 WindowsUpdate 不受影響)

同樣的, 對於沒有網路芳鄰的電腦, 可以設定:
a. 程式: *
b. 原因: Net::Listen
c.. 參數: *:135
d: 反應動作: 拒絕
e: 詳細程度: 只記錄
這樣避免疾風等透過網芳攻擊的行動.

而對於檔案的部份, 也是相同的原理, 例如一般人容易中毒的情況, 是因為 IE 瀏覽器, 隨身碟隱藏 Autorun.inf 檔案, 就可以設定
a. 程式: C:\Windows\explorer.exe
b. 原因: File::Read
c.. 參數: Autorun.inf
d: 反應動作: 拒絕
e: 詳細程度: 只記錄
(拒絕開啟隨身碟隱藏的 Autorun.inf )

a. 程式: C:\Program Files\Internet Explorer\iexplorer.exe
b. 原因: File::Read
c.. 參數: *
d: 反應動作: 接受
e: 詳細程度: 不提示
f: 選項: 病毒掃描
(當 IE 瀏覽器開啟檔案前先掃毒.)

還有很多變化的方式, 但是跟這隻看門狗相處一晚後, 覺得功能太多, 反而設定繁瑣, 要花很多時間去了解各種可能的情況, 再一一調教, 所以整體的感覺, 只能說是又愛又恨.

以上提供給各位參考, 請注意: 使用前最好另外架測試環境....