小鬼当差，黑客莫进_王者荣耀黑客小鬼炸服

　　大家一定看过电影《小鬼当家》，剧中的“小鬼”同一伙盗贼斗智斗勇，最终将他们抓获，保护了自己的家园。今天，我们也请位“小鬼”来看家。 　　今天笔者要为大家介绍的“小鬼”的来头可不小，这款网路防火墙就是灰鸽子工作室开发的《小鬼当差》，没被吓着吧，有胆量尝试下吗？
　　《小鬼当差》不但小巧精悍，而且是完全免费的绿色软件，下载解压后直接运行Xiaogdc.exe就可以启动防火墙了。启动后，“小鬼”缩小到系统栏里立即开始工作。在该图标上点击鼠标右键，在弹出的菜单中选择“系统设置”命令来配置防火墙（图1），下面就来看看“小鬼”的厉害之处。
　　
　　别把我的账号偷偷带走
　　
　　很多恶意程序，为了盗取用户的账号密码，都编写了专门记录键盘操作的钩子插件。“拦截探测密码等操作”和“启用键盘钩子防火墙”这两项功能都是为了保护系统中的账号密码设置的。“拦截探测密码等操作”可以保护当前系统中所有密码框中的密码不被第三方软件探测取走，默认是选择了的。
　　恶意程序在盗取了用户的账号密码后，通常会通过电子邮件将获取的内容发送到指定的信箱。通过“启用邮件发送防火墙”功能就不怕了，当有程序发送邮件时，防火墙就会弹出提示框（图2 ），让用户选择是否允许发送邮件，这样就可以很好地防范那些专门盗窃密码并发送到远程用户信箱的击键程序，使正常的邮件发送不受影响。
　　
　　键盘钩子要明辨忠奸
　　
　　“启用键盘钩子防火墙”可以在有程序启动键盘钩子时弹出提示框，让用户判断是否允许安装键盘钩子（图3），《小鬼当差》支持对WH_KEYBOARD，WH_JOURNALRECORD类型的键盘钩子的拦截。但是，有的程序在使用快捷键、老板键的时候，也会调用键盘钩子函数(图3)。
　　由于“HyperSnap-DX 5”是一个截图软件，笔者要使用快捷键进行截图，所以就要防火墙通过“键盘记录”功能。点击一次“添加规则”按钮，同样在“程序进程”中设置该程序的路径，然后在“操作类型”中选择键盘记录，最后点击“允许”选项后增加即可。
　　还可以通过“过滤规则”对每个进程进行编辑和配置，例如，我不想让“HyperSnap-DX5”这个程序访问网路，就在“程序进程”中设置该程序的路径，并在“操作类型”中选择连接网路，然后点击“禁止”选项，再点击“增加”按钮（图4）。
　　
　　大义灭亲
　　
　　很多人对“灰鸽子”闻名心惊，那么“小鬼”能防住这个师出同门的师兄吗？很多木马都采用了线程插入技术，灰鸽子也使用这个技术，最常见的就是将木马服务端程序插入到IE浏览器或资源管理器的进程中。
　　这两个进程是系统进程，而《小鬼当差》默认允许系统进程访问网络，为了避免他们被木马程序所利用，可以在“过滤规则”中禁用IE浏览器的规则删除或者，这样即使IE浏览器被木马利用，也无法连接到互联网被黑客利用。所以，只要将这个规则打开，“灰鸽子”也会被拦截。
　　另外，《小鬼当差》现在还不能自定义数据包过滤规则，但程序本身已经内置了一些规则，比如我们可以对QQ发送信息进行过滤（图5）。
　　《小鬼当差》毕竟还小，存在一些不足，现在它暂时还不能作为一款真正的防火墙，而只能作为一款辅助性的个人防火墙，说它对一些木马的针对性比较强，是一个很好的补充。如果作者能不断改进，假以时日，“小鬼”定能成材。
　　小知识
　　钩子
　　钩子是Windows中消息处理机制的一个要点，通过安装各种钩子，应用程序能够设置相应的子例程来监视系统里的消息传递以及在这些消息到达目标窗口程序之前处理它们。钩子的种类很多，每种钩子可以截获并处理相应的消息，如键盘钩子可以截获键盘消息，鼠标钩子可以截获鼠标消息，外壳钩子可以截获启动和关闭应用程序的消息，日志钩子可以监视和记录输入事件。
　　本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。 本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文