BBSxp/LeadBBS后臺上傳Webshell的防范
[ 2007-03-25 02:57:28 | 作者: sun ]
關于BBSxp/LeadBBS的后臺上傳Webshell的防范
作者:kEvin1986 更新日期:2005-04-01 類別:網絡安全->安全防御 總瀏覽/今日:650/1
最近弄了兩個BBS系統,發現后臺傳/改Webshell的時候都做了一定限度的防范,使得很多新手不知道如何去傳Webshell控制主機.其實這個問題很簡單......幾分鐘就能解決
1.BBSXP
昨天朋友弄進去一個BBSXP的論壇,這個論壇以前問題多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且對腳本安全基本知識缺乏了解,導致了很多漏洞,而現在已經不是是很流行了.但是新版的還是新版的,也要看看...
后臺大致瀏覽了一下發現可以和Dvbbs的后臺一樣通過備份數據庫來獲取Webshell,可是問題是如果備份成ASP的話,后臺有一個驗證,提示不能備份成.ASP文件.其實這個東西是個名副其實的雞肋防范策略,因為我們還知道有CdxCerAsaHtr等格式也可以執行ASP腳本.而BBSXP并沒有想到.......所以,我們把備份的改為.asa等就可以傳了.........BBSXP還是那么菜啊.....
2.LeadBBS.
LeadBBS總體來說還是個強悍的論壇,但是最近還是被Lin給發現了Cookie欺騙漏洞.呵呵.那么在很多人利用的時候,都發現沒辦法傳WebShell.其中包括Sniper .哈哈/
其實我們可以編輯后臺的一個ASP文件,而這個文件是檢測server和<%這兩個字符的.看起來是做了不錯的防范,可是還是有問題的.
我們可以通過include來寫一個ASP木馬.
首先從論壇上傳一個JPG后綴的ASP木馬,這個木馬最好是直接使用FSO或ADODB.STREAM在當前目錄生成一個Newmm.ASP這樣的代碼.因為Include是無法接收數據的.
然后在后臺的編輯文件那里寫上
然后訪問這個文件,最后訪問生成的ASP木馬地址就可以了.......
作者:kEvin1986 更新日期:2005-04-01 類別:網絡安全->安全防御 總瀏覽/今日:650/1
最近弄了兩個BBS系統,發現后臺傳/改Webshell的時候都做了一定限度的防范,使得很多新手不知道如何去傳Webshell控制主機.其實這個問題很簡單......幾分鐘就能解決
1.BBSXP
昨天朋友弄進去一個BBSXP的論壇,這個論壇以前問題多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且對腳本安全基本知識缺乏了解,導致了很多漏洞,而現在已經不是是很流行了.但是新版的還是新版的,也要看看...
后臺大致瀏覽了一下發現可以和Dvbbs的后臺一樣通過備份數據庫來獲取Webshell,可是問題是如果備份成ASP的話,后臺有一個驗證,提示不能備份成.ASP文件.其實這個東西是個名副其實的雞肋防范策略,因為我們還知道有CdxCerAsaHtr等格式也可以執行ASP腳本.而BBSXP并沒有想到.......所以,我們把備份的改為.asa等就可以傳了.........BBSXP還是那么菜啊.....
2.LeadBBS.
LeadBBS總體來說還是個強悍的論壇,但是最近還是被Lin給發現了Cookie欺騙漏洞.呵呵.那么在很多人利用的時候,都發現沒辦法傳WebShell.其中包括Sniper .哈哈/
其實我們可以編輯后臺的一個ASP文件,而這個文件是檢測server和<%這兩個字符的.看起來是做了不錯的防范,可是還是有問題的.
我們可以通過include來寫一個ASP木馬.
首先從論壇上傳一個JPG后綴的ASP木馬,這個木馬最好是直接使用FSO或ADODB.STREAM在當前目錄生成一個Newmm.ASP這樣的代碼.因為Include是無法接收數據的.
然后在后臺的編輯文件那里寫上
然后訪問這個文件,最后訪問生成的ASP木馬地址就可以了.......
針對ASP類網站的Win 2003硬盤安全設置
[ 2007-03-25 02:57:15 | 作者: sun ]
C:分區部分:
c:
administrators 全部
iis_wpg 只有該文件夾
列出文件夾/讀數據
讀屬性
讀擴展屬性
讀取權限
c:inetpubmailroot
administrators 全部
system 全部
service 全部
c:inetpubftproot
everyone 只讀和運行
c:windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出文件夾目錄,讀取
c:Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數據
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數據
讀屬性
讀擴展屬性
讀取權限
c:Program FilesCommon Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
如果安裝了我們的軟件:
c:Program FilesLIWEIWENSOFT
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
IIS_WPG 讀取和運行,列出文件夾目錄,讀取
c:Program FilesDimac(如果有這個目錄)
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
c:Program FilesComPlus Applications (如果有)
administrators 全部
c:Program FilesGflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
Everyone 讀取和運行,列出文件夾目錄,讀取
c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部
c:Program FilesWindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
D:分區部分:
d: (如果用戶網站內容放置在這個分區中)
administrators 全部權限
d:FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部權限
SERVICE 全部權限
E:分區部分:
從安全角度,我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中,例如E:
E:(如果webeasymail安裝在這個盤中)
administrators 全部權限
system 全部權限
IUSR_*,默認的Internet來賓帳戶(如果這個網站用這個用戶來運行)
不是繼承的
只有子文件夾
讀取權限
E:WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部權限
SERVICE 全部
IUSR_*,默認的Internet來賓帳戶 全部權限(如果這個網站用這個用戶來運行)
關于IUSR_*,我們不建議用這個用戶來運行Webeasymail,應該用平臺開一個虛擬主機來運行Webeasymail。
----------------不知道2000是不是一樣設置
針對PHP木馬攻擊的防御之道操作系統常遇木馬的預防技巧
[ 2007-03-25 02:56:58 | 作者: sun ]
木馬程序是目前比較流行的一類病毒文件,它與一般的病毒不同,它不會自我繁殖,也并不刻意地去感染其他文件。它通過將自身偽裝吸引用戶下載執行,或以捆綁在網頁中的形式,當用戶瀏覽網頁時受害。
木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控制軟件相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL.所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控制軟件相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控制端進入運行了服務端的電腦,甚至可以控制被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作系統從Win9X過渡到WinNT系統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,只需要將進程注冊為系統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作系統下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什么是動態嵌入式DLL木馬,我們必須要先了解Windows系統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它并不能獨立運行,DLL文件一般都是由進程加載并調用的。
因為DLL文件不能獨立運行,所以在進程列表中并不會出現DLL.所以木馬的開發者就通過編寫動態嵌入式DLL木馬,并且通過別的進程來運行它,那么無論是入侵檢測軟件還是進程列表中,都只會出現那個進程而并不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT系統,DLL木馬一般都藏在System32目錄下(因為System32是系統文件存放的目錄,里面的文件很多,在里面隱藏當然很方便了),針對這一點我們可以在安裝好系統和必要的應用程序后,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd\回車,再輸入cd C:\Windows\System32回車,這就轉換目錄到了System32目錄(要還是不知道怎么進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發現系統異常而用傳統的方法又查不出問題時,則要考慮是不是系統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然后運行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件,并將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然后通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站里,若系統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最后,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火墻,并及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作系統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家只要做好安全防護工作,防治木馬并不是那么可怕的。
針對PHP木馬攻擊的防御之道
[ 2007-03-25 02:56:44 | 作者: sun ]
本文通過介紹一些技巧介紹了針對PHP木馬攻擊的防御之道,通過這些方面你可以更好的防范木馬程序。 1、防止跳出web目錄 首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,還可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那么在httpd.conf里加上這么幾行: php_admin_value open_basedir /usr/local/apache/htdocs 這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木馬執行webshell 打開safe_mode, 在,php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
2、防止php木馬執行webshell 打開safe_mode, 在,php.ini中設置 disable_functions= passthru,exec,shell_exec,system 二者選一即可,也可都選
教你如何用手工迅速剿滅QQ廣告彈出木馬
[ 2007-03-25 02:56:32 | 作者: sun ]
將殺毒軟件升級到最新也不能查殺,打開瀏覽器,上網搜索,發現也有朋友中了這種木馬,但該網友提供的方法并不能刪除木馬,無奈之下只好自己“動手”了,以下就是我的整個手工清除木馬的過程,寫出來與大家分享。
具體的不知道從哪天起,我的Maxthon瀏覽器好像不能攔截一些網站的廣告了,屏幕的右下角也不時的出現如QQ廣告一樣的東西,一開始以為是網站和QQ的廣告。但越用越不對勁,仔細一看,右下角的根本就不是QQ的廣告,出來的整個廣告就是一個鏈接,不像QQ廣告外面還有一個框,鼠標放在上面是不會變成手形的,而這個廣告,無論鼠標放在什么地方都是手形的。我開始懷疑我中招了,將殺毒軟件升級到最新也不能查殺,打開瀏覽器,上網搜索,發現也有朋友中了這種木馬,但該網友提供的方法并不能刪除木馬,無奈之下只好自己“動手”了,以下就是我的整個手工清除木馬的過程,寫出來與大家分享。
1、常規操作
打開任務管理器,查看進程,并沒有發現什么不良進程。
2、深入挖掘
運行Regedit,依次展開
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一看,果然多了個新家伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位于C:\WINDOWS\Downloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:\WINDOWS\Downloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之后啟動項又出現了,很顯然,這個木馬監視注冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式后進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。
在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之后木馬并沒有消失,因此初步判斷該木馬存在備份文件。
3、清除木馬備份文件
打開“我的電腦”進入C:\Windows目錄,發現一個可疑目錄Backup,進去一看,果然啟動項加載的Dll文件也在里面,但啟動項加載的卻不是這個目錄中的文件,很顯然這個目錄就是木馬的備份,先刪除這個備份目錄再說,但剛剛刪除,大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾,竟然在安全模式還能自動加載且監視備份文件,一旦備份文件被刪除,馬上又會建立。正所謂“以彼之道還施彼身”,它能監視且能自動建立備份目錄,我如果能先將目錄刪除,然后搶在它的前面建立目錄不就行了嗎?因為Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了,手工肯定是不行的,那么就用Dos時代的批處理吧!先建立如下的批處理文件,命名為Kill.bat,雙斜杠之后是注釋,實際操作時無需輸入。Move c:\windows\backup c:\windows\bak //將Backup目錄重命名為BakMd c:\windows\backup //在C:\windows下建立Backup目錄這時再打開“我的電腦”,依次進入C:\windows目錄,將Bak目錄刪除,即完成了木馬備份文件的刪除。
4、清除木馬文件
重新建立一個批處理文件,命名為Kill2.bat,內容如下。cd c:\ //將當前路徑改為C:盤的根目錄cd C:\WINDOWS\Downloaded Program Files //將當前路徑改為C:\WINDOWS\Downloaded Program Filesmove _IS_0518 c:\bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下并重命名為bak打開“我的電腦”,進入C:\,刪除Bak目錄,再進入C:\windows目錄,刪除Backup目錄,即完成了木馬文件的清除。
5、清理注冊表
運行Regedit,分別將下面所列的鍵刪除。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32
HKEY_CURRENT_USER/Software/advapi32
至此,Advapi32木馬(因為在網上也沒查到此木馬的名字,所以就用它的自啟動項鍵名來代替了)手工清理完畢。注:
1.第三步和第四步順序千萬不能對調,因為只有先刪除備份文件,再刪除木馬文件,這時因為木馬文件沒有了,備份文件也沒有了,所以木馬也就沒辦法重新建立文件了。
2.以前也在報刊上看到過手工清除木馬的例子,但大部分都是一些利用進程查看工具結束進程來實現的,由于此木馬進程偽裝隱蔽,筆者曾用IceSword查看,雖能初步判斷木馬隱藏在Svchost.exe進程中,但由于Windows XP中Svchost.exe進程比較多,所以不好判斷其具體的隱藏位置,結束進程的方法也就不好實現了,反而用本文所提的方法就能輕松將木馬剿滅。
3.本方法在Windows XP Pro + SP2下測試通過。
做自己的救世主--系統安全保衛戰
[ 2007-03-25 02:56:21 | 作者: sun ]
一. 誰是救世主
相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生,這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色,保護了城市居民,其形象早已深入人心。
而離開電影后,我們廣大的計算機用戶要面對的又是另一種亦真亦假的數字虛擬世界——網絡,這里同樣潛伏著許多危險,同樣存在“黑客帝國”,但這里卻沒有尼奧這個人的存在,我們能看到的,只有形形色色的安全廠商和他們所提供的安全工具,除此之外,似乎已經沒有別的選擇。
于是乎,許多用戶把各種安全工具看成了這個世界中的“救世主”,我們看到許多關于安全工具的廣告,我們購買市面上流行的防病毒軟件,我們在聽聞每周一次的“新病毒預警”時趕緊升級病毒特征庫,我們每周都對電腦進行一次漫長的病毒掃描……許多人都這樣做,許多人不得不這樣做,因為我們把一切都交給殺毒工具了,我們什么都不需要做了,我們只管肆無忌彈的上網聊天看電影下軟件,因為我們有殺毒工具,這些工具都具備一個“實時監測”的功能,它每時每刻都會檢查我們剛下載的文件,我們感到自己很安全,我們以為這就是網絡中的防御。
然而,事實真的如此美好嗎?依稀記得有一句話好像是這么說的,“無論你做什么事情,你都不可避免要付出一定的代價”,在我們安然自得的享受由殺毒工具帶來的安全防御的同時,我們也在付出相應的代價。為什么呢?因為殺毒工具是一套在系統啟動的時候就開始運行直到關機或者用戶退出它的時候才會停止運行的程序,它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子,學過編程的人大概都知道,象棋程序是最難寫得完美的,因為象棋的走法從來都沒有一個固定的模式,我們能創造出許多花樣,但是程序不能,它只能按照有限的判斷機制去決定每一步棋怎么走,這就是為什么如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說,做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了,這個象棋程序必然無敵。這樣是可行的,但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了,因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍,這樣是要付出時間作為代價的,如果要縮短時間,就要讓程序在同一時刻思考多種走法,但著時候,代價就變成龐大的系統資源消耗了——你能忍受么?
同樣的缺陷正在殺毒軟件身上發生,我們知道,大部分殺毒軟件是采用“特征碼”技術去搜索病毒的,就是說,殺毒軟件引擎讀取一個程序或文件內容,并與自身數據庫里儲存的已被確認為病毒程序體內某段特定代碼進行匹配,一旦兩者相同,殺毒軟件就“確認”此文件為病毒。隨著病毒家族的龐大,這個數據庫體積的增長也到了不可忽視的地步,加載的速度也就慢了。而且數據庫每增加一個病毒特征碼,殺毒引擎的判斷分支就要增多一條,相應的時間也會延長,為了避免出現掃描一個文件需要半小時的尷尬情況,殺毒軟件會采用各種提高匹配速度的方案,但這些方案無一例外都要瘋狂剝削用戶的系統資源,如果一臺電腦的配置并不是很高,那么在用戶查毒的時候,他基本上已經不能正常做其他工作了,找個電視臺慢慢看連續劇吧,這就是尼奧的代價。
那么,誰才是我們的救世主?答案就是——你自己。能信任的人永遠只有自己,只要肯努力,每個人都可以做尼奧,不過這也是有代價的,因為它把系統資源的消耗轉變為腦子的消耗,把判斷分支和經驗寫入腦子里,在處理分支的效率上,人永遠比程序要靈活,而且這樣一來就不會出現依賴的惡性循環了,離開了殺毒軟件,我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在,就讓我們來做自己的救世主吧。
二. 做自己的救世主
小時候曾經看過一個故事《另一種侵略》,被人類打敗的宇宙侵略者送給人類一種水晶,只要人類拿起它想一種物品,這個物品就會出現在自己面前,于是每個人都開始沉浸于無盡的享受中,再也沒人去鉆研科技國防了,幾十年后,人類開始出現退化現象。這時候,宇宙侵略者又來訪問地球了,這次它們只用了一條條鞭子就征服了地球,在最后一個人類被驅逐進囚籠之前,他回頭含糊不清的說了句什么話——連他的舌頭都退化得差不多了,也許他是說:“地球完了。”
以上的故事或許只是虛無的幻想,但類似的行為卻正在當代發生,如果一個用戶懷疑自己的電腦感染了后門,他的第一個反應大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力,現實中的我們太依賴殺毒軟件的方便快捷!也許有人會反對,既然能使用工具方便快捷的保護計算機安全,我又何必自尋煩惱學習安全防御?會這樣想的用戶沒有想到網絡的復雜,能闖進計算機的“客人”并非就是在各大安全工具廠商通緝名單上的成員,因為網絡中還流傳著一部分小規模使用而且沒有被公開的“私人后門”(例如大部分DDoS后門工具其實都是自己寫自己用的),有能力的人都可以自己寫“私人后門”,然后通過多種途徑放到別人的計算機上執行。這時候,“病毒庫特征碼”技術的局限性就開始顯露了,被感染了“私人后門”的用戶偶爾會察覺到計算機異常,然后他會開始查毒,結果因為滲透進系統的后門程序并沒有在病毒特征庫里“登記”過,殺毒軟件就認不出它了,用戶只能在浪費大量時間后看著殺毒軟件報告的“沒有發現病毒”消息繼續“享受”被入侵的感覺。這個事實可笑嗎?我們只能在自己信賴的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了,如果后門能把它踢出內存并刪除掉的話。
還是那句話,能信任的人只有自己,更何況這是網絡。所以,我們不能再戰戰兢兢的躲在掩體里等待救世主消滅所有敵人了,我們要做自己的救世主!
三. 捕獲不請自來的“客人”
“600型機器人包裹的是橡膠外皮,很容易被認出來,但現在的101型機器人是生化技術制造的,有真實皮膚,會呼吸、流血、甚至口臭,一切都和人類一樣,直到它開始攻擊,你才能知道它不是人類。”
“那你們怎么辦?”
“我們用狗識別終結者。”
——《終結者》
在《終結者》里,狗是唯一可以區分敵我的工具,因為它判斷對方的方式并不僅僅靠眼睛——眼睛是可以被欺騙的,但是氣息不能,一個機器人無論偽裝得再怎么逼真,都不能具備生命體的氣息,但是它能欺騙人類的視覺和聽覺,這就足夠了。
后門技術從誕生到現在,已經發展了好幾代,對自身的偽裝技術也越來越成熟了,從最初的啟動項結合隱藏進程方式,到最新的Ring0驅動方式,我們越來越難發現這些“客人”的痕跡,當它開始破壞的時候,已經來不及做補救措施了,所以,我們需要一種可以嗅出后門氣息的“狗”。
1.準備工作
在進行一切工作之前,用戶需要對系統有點了解,例如注冊表、啟動項、服務、常見的程序和進程名等,這是學習手工查毒最基本的要求,在初期可以多參考一些介紹系統概念的文章如到處都流傳的“系統進程詳解”、“WinXP系統服務簡介及優化措施”等,并做一點筆記,力求日積月累盡快記住一些最常見的系統程序和相關工具的使用方法,如果過不了這個門檻,后面的工作也就無從談起。
首先,我們必須了解Windows系統的三大知識點:注冊表(Registry)、進程(Process)和權限(Privilege)。
“注冊表”是出現在Windows 95及以后版本的一種數據庫。在這之前,用戶要對軟硬件工作環境進行配置,就要修改一種被稱為“配置設置”(INI)的文件來完成,但是由于每種設備或應用程序都得有自己的INI文件,無形中增加了管理難度,為了解決這個問題,微軟開始統一標準并將各種信息資源集中起來存儲,最終形成了將應用程序和計算機系統配置信息容納在一起的“注冊表”,用來管理應用程序和文件的關聯、硬件設備說明、狀態屬性以及各種狀態信息和數據等,注冊表維持著整個系統的正常運作。
注冊表采用一種類似文件目錄的結構樹來描述配置信息,最頂端的5個項目稱為“根鍵”(ROOT_KEY),系統能識別的所有的數據都是從它們這里展開的,這5個根鍵分別是:
HKEY_CLASSES_ROOT(負責各種組件注冊類別和文件并聯信息)
HKEY_CURRENT_USER(當前登錄用戶的環境信息)
HKEY_LOCAL_MACHINE(整個系統的公共環境信息)
HKEY_USERS(所有用戶的環境配置信息)
HKEY_CURRENT_CONFIG(當前的配置信息)
其中,我們主要關注的是前面三個根鍵里的數據,它們是后門最愛篡改的地方,分別是三個啟動項目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后門都要通過修改這里加入自己的配置信息以達到跟隨系統啟動的目的;除此之外就是文件并聯信息“HKEY_CLASSES_ROOT”,并聯型后門最愛更改這里的.exe、.bat、.scr、.com等可執行文件的注冊信息,讓自己搶先一步運行。更多涉及到的注冊表內容以后會提到,現在讓我們來看看進程是什么。
“進程”,是指一個可執行文件在運行期間請求系統在內存里開辟給它的數據信息塊,系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限,任何程序都必須擁有至少一個進程,否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在內存中的映像,它通常和某個在磁盤上的文件保持著對應關系,一個完整的進程信息包括很多方面的數據,我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題,而“進程”選項卡包含的是進程文件名、進程標識符、占用內存等,其中“進程文件名”和“進程標識符”是必須掌握的關鍵,“進程標識符”是系統分配給進程內存空間時指定的唯一數字,進程從載入內存到結束運行的期間里這個數字都是保持不變的,而“進程文件名”則是對應著的介質存儲文件名稱,根據“進程文件名”我們就可以找到最初的可執行文件位置。
最后是“權限”,這里涉及的權限是指80386模式的Ring權限。操作系統是由內核(Kernel)和外殼(Shell)兩部分組成的,內核負責一切實際的工作,包括CPU任務調度、內存分配管理、設備管理、文件操作等,外殼是基于內核提供的交互功能而存在的界面,它負責指令傳遞和解釋。由于內核和外殼負責的任務不同,它們的處理環境也不同,因此處理器提供了多個不同的處理環境,把它們稱為運行級別(Ring),Ring讓程序指令能訪問的計算機資源依次逐級遞減,目的在于保護計算機遭受意外損害——內核運行于Ring 0級別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有Ring 3級別,這個級別能操作的功能極少,幾乎所有指令都需要傳遞給內核來決定能否執行,一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定范圍的內存讀寫),內核便返回一個“非法越權”標志,發送這個指令的程序就有可能被終止運行,這就是大部分常見的“非法操作”的由來,這樣做的目的是為了保護計算機免遭破壞,如果外殼和內核的運行級別一樣,用戶一個不經意的點擊都有可能破壞整個系統。但是現在,Ring已經屢屢被后門木馬利用成為一個令人頭痛的兇器。
2.進程偽裝型后門的殲滅
最初的后門靠注冊“系統服務”的方法在Win9x系統里隱藏自己的運行信息,到了NT架構里,這個方法失效了——NT家族自帶的任務管理器(Task Manager,TaskMgr.exe)把所有普通進程都一視同仁的顯示出來,連初級用戶都能輕易發現后門運行的痕跡,于是后門制造者開始攻克心理學和障眼法,讓后門進程在任務管理器里把自己標榜為“系統關鍵進程”,達到欺騙用戶的目的。
我們都知道,任務管理器列出的眾多進程里包含著一部分“關鍵進程”,它們是無法通過任務管理器中止的,而且許多文章也會提到相關進程名,久而久之,我們又養成一個習慣:查看進程信息時,只要看到熟悉甚至類似的進程名就忽略不計了,僅僅去尋找不熟悉的進程名,于是后門制造者就直接利用這個心理暗角配合路徑遍歷法則,讓后門進程顯示為“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等關鍵進程名就欺騙了用戶和任務管理器。
在這種情況下,系統自己的任務管理器已經不能信任了,因為它遺漏了最重要的路徑信息,后門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下,然后在注冊表啟動項里加上不帶路徑信息的“svchost.exe”信息,系統在根據目錄遍歷法則一層層深入尋找svchost.exe時會在Windows目錄里發現并執行它,而真正的關鍵進程svchost.exe是在SYSTEM32里的,而且它也必須通過“服務管理器”(Service Control Manager,SCM)加載,于是任務管理器會顯示多個svchost.exe進程,但是由于缺乏路徑指示,我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的,也無法用任務管理器終止它的運行,因為任務管理器只是簡單的判斷了文件名就認為它是“關鍵進程”了,自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架構里根本沒有rundll.exe這個程序)、“SYSTEMservices.exe”等,要發現并殲滅這些后門,除了要求我們對常見的系統關鍵進程有所了解以外,還需要第三方提供的擴展任務管理器協助,例如Windows優化大師攜帶的進程查看器,用它便可迅速發現路徑不對的“假兄弟”。
其實最迅速的查找方法是運行“系統配置實用程序”(MSCONFIG.EXE),切換到“啟動項”,如果在這里發現了“系統關鍵程序”的信息,那它一定是假的。
3.服務欺騙型后門的戰役
Windows的任務管理器不可終止兩種程序的運行:一種是關鍵進程,另一種是通過服務管理器SCM啟動的系統服務程序(NT-Service),所以一部分后門制造者設法把后門做成服務形式,讓SCM直接幫助啟動服務進程,不再借用注冊表啟動項加載,這樣即使是對注冊表啟動項有一定了解的用戶也難以發現異常,而且就算他想終止任務管理器里顯示的奇怪進程,也會被拒絕,如果用戶對服務管理器的了解不深,那他將會在眼花繚亂的服務面前變得束手無策。
這時候,我們又需要請“系統配置實用程序”出山了,切換到“服務”選項卡,把“隱藏所有Microsoft服務”,這里就只顯示非微軟開發的普通服務程序列表了,包括服務欺騙型后門的服務項,一般它會包含欺騙性質的字符或者偽裝成某廠商的服務名,如“Rising Virus Monitor”(瑞星監控)、“Macromedia License”等,記住這里顯示的列表名稱,接著運行“服務管理器”(Services.msc)找到對應的項目,看看屬性里的文件和路徑是不是真的,如果你并沒有安裝KAV、MCAFEE這些殺毒軟件而SCM里卻找到對應項目的話,它就是狡猾的后門沒錯了。一些間諜軟件還會自作主張的把自己命名為“Windows Print Controller”,簡直就是無視系統自身的“Print Spooler”服務。
找到這類后門后,不要急著終止它的運行,既然后門作者知道SCM能直接停止它們,就必然會做一些復活措施,所以我們必須先把后門服務的“啟動類型”設置為“禁止”,然后重啟一次確保后門程序無法跟隨系統啟動,這時候才能開始清理后門。其中文件的路徑信息SCM已經提供給我們了,直接在磁盤上找到刪除即可,但是服務項目不能直接用SCM刪除,要刪除這個殘留的服務項,首先要對系統服務有個最初的概念。
官方對系統服務的定義如下:
在NT架構系統中,服務是指執行指定系統功能的程序、例程或進程,以便支持其他程序,尤其是底層(接近硬件)程序。通過網絡提供服務時,服務可以在Active Directory中發布,從而促進了以服務為中心的管理和使用。服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網絡為用戶提供一些功能,例如客戶端/服務器應用程序、Web服務器、數據庫服務器以及其他基于服務器的應用程序。 既然服務自身也是獨立出來的程序,它就必須有一個加載的入口,我們可以把這個入口理解為第二個啟動項,這個入口是由SCM負責的,無論是什么身份的用戶進入系統,SCM啟動服務的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找這個分支就可以發現所有服務——也許你會說,這里顯示的名字似乎都毫無意義,我怎么知道哪個是我正在找的?其實很簡單,我們回到SCM,查看一個服務的屬性,例如“DNS Client”服務,它的屬性里寫著“顯示名稱:DNS Client 服務名稱:Dnscache”,現在回到注冊表分支,查找“Dnscache”,就會看到它是CurrentControlSet ServicesDnscache,這就是我們在SCM里看到的“DNS Client”服務,如果你刪除掉“Dnscache”項目,那么整個“DNS Client”服務也就消失了。以此類推,很快就可以清理掉服務欺騙型后門。
4.最艱難的尋找:Ring 0后門
隨著安全技術的發展和計算機用戶群的技術提高,一般的木馬后門越來越難生存,于是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。
位于Ring 0層的是系統核心模塊和各種驅動程序模塊,所以位于這一層的木馬也是以驅動的形式生存的,而不是一般的EXE。后門作者把后門寫成符合WDM規范(Windows Driver Model)的驅動程序模塊,把自身添加進注冊表的驅動程序加載入口,便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的信息,所以通過驅動模塊和執行文件結合的后門程序便得以生存下來,由于它運行在Ring 0級別,擁有與系統核心同等級的權限,因此它可以更輕易的把自己隱藏起來,無論是進程信息還是文件體,甚至通訊的端口和流量也能被隱藏起來,在如此強大的隱藏技術面前,無論是任務管理器還是系統配置實用程序,甚至系統自帶的注冊表工具都失去了效果,我們不得不借助于更強大的第三方工具。幸好,一部分持有編寫Ring 0程序能力的人并沒有加入Ring 0木馬的陣營,而是把技術用到了安全檢查方面,于是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。
一般的進程工具是運行在Ring 3級別的,它們讀取的依據來自Ring 0層,這些數據是可以被運行于Ring 0級別的木馬修改的,所以它們根本無法得知木馬程序信息,而IceSword等檢測工具不同,它們和Ring 0木馬一樣,也是通過驅動的模式進入Ring 0層工作的,不再需要從Ring 0層獲取信息,所以它們能得到未被木馬篡改的原始鏈表數據,例如最原始的進程信息,它是不能被更改的,如果木馬把它自身從原始進程信息里刪除,就意味著它要自我終結了。所以一旦有進程工具從 Ring 0層直接讀取了原始數據,再把這個數據和Ring 3層獲取到的進程列表比較一下,就能迅速發現哪個是拼命隱藏自身的木馬程序了。很巧合的是,驅動程序和系統服務共享同一個加載入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相應的Ring 0木馬文件名,就會發現它,刪除掉注冊表的加載數據后重新啟動計算機,再刪除掉木馬文件就可以解決了。
5.清理不受歡迎的附屬產品
“21世紀什么最貴?人才!”
——《天下無賊》
黎叔說的這句話固然無可厚非,只是他大概不知道,在21世紀的網絡上,網民最恨的就是一部分利用歪點子制造“廣告軟件”(Adware)和“流氓/間諜軟件”(Spyware)的“人才”。如今的網絡已經被這些不受歡迎的軟件使用捆綁戰術給占領了,隨便下載個共享工具,有點良心的會在安裝界面里默認打上“安裝附屬產品”的勾,更多的則是一口氣給你把所有附屬工具都裝上了,許多用戶在安裝了一些共享軟件后,突然發現瀏覽器多了一堆這個條那個霸的,想要卸載時卻發現所謂的卸載程序只是個把用戶當小孩來哄的界面!可以說,這些惡意軟件才是當今網絡最令人厭惡的東西,“流氓軟件猛于后門也”!
與各種后門木馬的意圖不同,惡意捆綁軟件的立場是自家公司的利益,它們一般不會攜帶破壞性質的代碼(但不代表沒有),通常還會擁有一些號稱“服務大眾”的功能,這些功能或許可以讓它得到一些用戶的擁戴,但是這種光環并不能掩蓋其“服務大眾”背后的暴利黑幕。首先,惡意捆綁軟件可以輕易收集到用戶信息,任何一臺被安裝了“X手X霸X豬X搜”的計算機都不再與“個人隱私”這個詞語有緣。其次,惡意捆綁軟件可以借用廣大計算機作為它無償彈出公司廣告的殖民地,如果每條廣告都能給該軟件背后的公司帶來一點利潤,那么一年下來這個公司就已經從廣大用戶群的身上搜刮到一大筆可觀的錢財了。天下并沒有免費的午餐,在你使用這些捆綁軟件提供的“快捷服務”時,你就已經付出了代價。
最初,捆綁軟件都比較單純,僅僅使用BHO技術(Browser Helper Objects,瀏覽器輔助模塊)把自己安家在瀏覽器上而已,但是現在,也許因為被用戶清理得多了,一些公司惱羞成怒把ring 0級別的木馬技術應用在了自家產品上,配合一種令人厭惡的強制安裝技術,再利用金錢開路,讓一些網站加載自己的產品,只要用戶瀏覽某個頁面,就會不知不覺被安裝上一堆BHO,這已經不是一般的強盜行為了,而由于商業關系,一般的殺毒程序是不能去查殺它們的,即使它們與木馬后門的特征無異,這時候,用戶就要靠自己來了。
首先,瀏覽器的BHO加載項目是固定在系統目錄的“Downloaded Program Files”文件夾里的,對于在瀏覽器上出現的欄目,只要簡單的在這個文件夾里選中刪除即可,但是其余殘留文件就只能自行尋找了,由于制作惡意捆綁BHO的公司太多,文件存放位置也不同,這里無法給出很全面的刪除方法,所以只能推薦兩個工具:Upiea和RogueCleaner,使用它們即可快速卸載掉惹人討厭的附屬產品。
四. 生存法則
在森林里,鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍,因為那里可能隱藏著惡狼。在網絡上有更多的惡狼存在,但是卻沒有人能收到有效的警告。要成為自己的救世主,必須把那一份多余的好奇心收起來,直到已經掌握了清理“不速之客”的技術以后,方可放開好奇心到處看看,否則一不小心被自己的好奇心弄得系統出毛病了,又沒法判斷清理,最終恐怕還是會回到依賴殺毒軟件的用戶群去。最后還有一句恒古不變的真理:網絡充滿風險,勤打系統補丁。
相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生,這位闖入虛擬世界的程序員一次又一次演繹了“救世主”的角色,保護了城市居民,其形象早已深入人心。
而離開電影后,我們廣大的計算機用戶要面對的又是另一種亦真亦假的數字虛擬世界——網絡,這里同樣潛伏著許多危險,同樣存在“黑客帝國”,但這里卻沒有尼奧這個人的存在,我們能看到的,只有形形色色的安全廠商和他們所提供的安全工具,除此之外,似乎已經沒有別的選擇。
于是乎,許多用戶把各種安全工具看成了這個世界中的“救世主”,我們看到許多關于安全工具的廣告,我們購買市面上流行的防病毒軟件,我們在聽聞每周一次的“新病毒預警”時趕緊升級病毒特征庫,我們每周都對電腦進行一次漫長的病毒掃描……許多人都這樣做,許多人不得不這樣做,因為我們把一切都交給殺毒工具了,我們什么都不需要做了,我們只管肆無忌彈的上網聊天看電影下軟件,因為我們有殺毒工具,這些工具都具備一個“實時監測”的功能,它每時每刻都會檢查我們剛下載的文件,我們感到自己很安全,我們以為這就是網絡中的防御。
然而,事實真的如此美好嗎?依稀記得有一句話好像是這么說的,“無論你做什么事情,你都不可避免要付出一定的代價”,在我們安然自得的享受由殺毒工具帶來的安全防御的同時,我們也在付出相應的代價。為什么呢?因為殺毒工具是一套在系統啟動的時候就開始運行直到關機或者用戶退出它的時候才會停止運行的程序,它們的檢測和防御機制的效率是不能和尼奧相比的。舉個簡單例子,學過編程的人大概都知道,象棋程序是最難寫得完美的,因為象棋的走法從來都沒有一個固定的模式,我們能創造出許多花樣,但是程序不能,它只能按照有限的判斷機制去決定每一步棋怎么走,這就是為什么如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說,做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了,這個象棋程序必然無敵。這樣是可行的,但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了,因為程序在每走一步棋之前都要把所有盡可能遇到的情況都“思考”一遍,這樣是要付出時間作為代價的,如果要縮短時間,就要讓程序在同一時刻思考多種走法,但著時候,代價就變成龐大的系統資源消耗了——你能忍受么?
同樣的缺陷正在殺毒軟件身上發生,我們知道,大部分殺毒軟件是采用“特征碼”技術去搜索病毒的,就是說,殺毒軟件引擎讀取一個程序或文件內容,并與自身數據庫里儲存的已被確認為病毒程序體內某段特定代碼進行匹配,一旦兩者相同,殺毒軟件就“確認”此文件為病毒。隨著病毒家族的龐大,這個數據庫體積的增長也到了不可忽視的地步,加載的速度也就慢了。而且數據庫每增加一個病毒特征碼,殺毒引擎的判斷分支就要增多一條,相應的時間也會延長,為了避免出現掃描一個文件需要半小時的尷尬情況,殺毒軟件會采用各種提高匹配速度的方案,但這些方案無一例外都要瘋狂剝削用戶的系統資源,如果一臺電腦的配置并不是很高,那么在用戶查毒的時候,他基本上已經不能正常做其他工作了,找個電視臺慢慢看連續劇吧,這就是尼奧的代價。
那么,誰才是我們的救世主?答案就是——你自己。能信任的人永遠只有自己,只要肯努力,每個人都可以做尼奧,不過這也是有代價的,因為它把系統資源的消耗轉變為腦子的消耗,把判斷分支和經驗寫入腦子里,在處理分支的效率上,人永遠比程序要靈活,而且這樣一來就不會出現依賴的惡性循環了,離開了殺毒軟件,我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在,就讓我們來做自己的救世主吧。
二. 做自己的救世主
小時候曾經看過一個故事《另一種侵略》,被人類打敗的宇宙侵略者送給人類一種水晶,只要人類拿起它想一種物品,這個物品就會出現在自己面前,于是每個人都開始沉浸于無盡的享受中,再也沒人去鉆研科技國防了,幾十年后,人類開始出現退化現象。這時候,宇宙侵略者又來訪問地球了,這次它們只用了一條條鞭子就征服了地球,在最后一個人類被驅逐進囚籠之前,他回頭含糊不清的說了句什么話——連他的舌頭都退化得差不多了,也許他是說:“地球完了。”
以上的故事或許只是虛無的幻想,但類似的行為卻正在當代發生,如果一個用戶懷疑自己的電腦感染了后門,他的第一個反應大概會是打開殺毒工具。故事里的人類太依賴水晶的魔力,現實中的我們太依賴殺毒軟件的方便快捷!也許有人會反對,既然能使用工具方便快捷的保護計算機安全,我又何必自尋煩惱學習安全防御?會這樣想的用戶沒有想到網絡的復雜,能闖進計算機的“客人”并非就是在各大安全工具廠商通緝名單上的成員,因為網絡中還流傳著一部分小規模使用而且沒有被公開的“私人后門”(例如大部分DDoS后門工具其實都是自己寫自己用的),有能力的人都可以自己寫“私人后門”,然后通過多種途徑放到別人的計算機上執行。這時候,“病毒庫特征碼”技術的局限性就開始顯露了,被感染了“私人后門”的用戶偶爾會察覺到計算機異常,然后他會開始查毒,結果因為滲透進系統的后門程序并沒有在病毒特征庫里“登記”過,殺毒軟件就認不出它了,用戶只能在浪費大量時間后看著殺毒軟件報告的“沒有發現病毒”消息繼續“享受”被入侵的感覺。這個事實可笑嗎?我們只能在自己信賴的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了,如果后門能把它踢出內存并刪除掉的話。
還是那句話,能信任的人只有自己,更何況這是網絡。所以,我們不能再戰戰兢兢的躲在掩體里等待救世主消滅所有敵人了,我們要做自己的救世主!
三. 捕獲不請自來的“客人”
“600型機器人包裹的是橡膠外皮,很容易被認出來,但現在的101型機器人是生化技術制造的,有真實皮膚,會呼吸、流血、甚至口臭,一切都和人類一樣,直到它開始攻擊,你才能知道它不是人類。”
“那你們怎么辦?”
“我們用狗識別終結者。”
——《終結者》
在《終結者》里,狗是唯一可以區分敵我的工具,因為它判斷對方的方式并不僅僅靠眼睛——眼睛是可以被欺騙的,但是氣息不能,一個機器人無論偽裝得再怎么逼真,都不能具備生命體的氣息,但是它能欺騙人類的視覺和聽覺,這就足夠了。
后門技術從誕生到現在,已經發展了好幾代,對自身的偽裝技術也越來越成熟了,從最初的啟動項結合隱藏進程方式,到最新的Ring0驅動方式,我們越來越難發現這些“客人”的痕跡,當它開始破壞的時候,已經來不及做補救措施了,所以,我們需要一種可以嗅出后門氣息的“狗”。
1.準備工作
在進行一切工作之前,用戶需要對系統有點了解,例如注冊表、啟動項、服務、常見的程序和進程名等,這是學習手工查毒最基本的要求,在初期可以多參考一些介紹系統概念的文章如到處都流傳的“系統進程詳解”、“WinXP系統服務簡介及優化措施”等,并做一點筆記,力求日積月累盡快記住一些最常見的系統程序和相關工具的使用方法,如果過不了這個門檻,后面的工作也就無從談起。
首先,我們必須了解Windows系統的三大知識點:注冊表(Registry)、進程(Process)和權限(Privilege)。
“注冊表”是出現在Windows 95及以后版本的一種數據庫。在這之前,用戶要對軟硬件工作環境進行配置,就要修改一種被稱為“配置設置”(INI)的文件來完成,但是由于每種設備或應用程序都得有自己的INI文件,無形中增加了管理難度,為了解決這個問題,微軟開始統一標準并將各種信息資源集中起來存儲,最終形成了將應用程序和計算機系統配置信息容納在一起的“注冊表”,用來管理應用程序和文件的關聯、硬件設備說明、狀態屬性以及各種狀態信息和數據等,注冊表維持著整個系統的正常運作。
注冊表采用一種類似文件目錄的結構樹來描述配置信息,最頂端的5個項目稱為“根鍵”(ROOT_KEY),系統能識別的所有的數據都是從它們這里展開的,這5個根鍵分別是:
HKEY_CLASSES_ROOT(負責各種組件注冊類別和文件并聯信息)
HKEY_CURRENT_USER(當前登錄用戶的環境信息)
HKEY_LOCAL_MACHINE(整個系統的公共環境信息)
HKEY_USERS(所有用戶的環境配置信息)
HKEY_CURRENT_CONFIG(當前的配置信息)
其中,我們主要關注的是前面三個根鍵里的數據,它們是后門最愛篡改的地方,分別是三個啟動項目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后門都要通過修改這里加入自己的配置信息以達到跟隨系統啟動的目的;除此之外就是文件并聯信息“HKEY_CLASSES_ROOT”,并聯型后門最愛更改這里的.exe、.bat、.scr、.com等可執行文件的注冊信息,讓自己搶先一步運行。更多涉及到的注冊表內容以后會提到,現在讓我們來看看進程是什么。
“進程”,是指一個可執行文件在運行期間請求系統在內存里開辟給它的數據信息塊,系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限,任何程序都必須擁有至少一個進程,否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在內存中的映像,它通常和某個在磁盤上的文件保持著對應關系,一個完整的進程信息包括很多方面的數據,我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題,而“進程”選項卡包含的是進程文件名、進程標識符、占用內存等,其中“進程文件名”和“進程標識符”是必須掌握的關鍵,“進程標識符”是系統分配給進程內存空間時指定的唯一數字,進程從載入內存到結束運行的期間里這個數字都是保持不變的,而“進程文件名”則是對應著的介質存儲文件名稱,根據“進程文件名”我們就可以找到最初的可執行文件位置。
最后是“權限”,這里涉及的權限是指80386模式的Ring權限。操作系統是由內核(Kernel)和外殼(Shell)兩部分組成的,內核負責一切實際的工作,包括CPU任務調度、內存分配管理、設備管理、文件操作等,外殼是基于內核提供的交互功能而存在的界面,它負責指令傳遞和解釋。由于內核和外殼負責的任務不同,它們的處理環境也不同,因此處理器提供了多個不同的處理環境,把它們稱為運行級別(Ring),Ring讓程序指令能訪問的計算機資源依次逐級遞減,目的在于保護計算機遭受意外損害——內核運行于Ring 0級別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有Ring 3級別,這個級別能操作的功能極少,幾乎所有指令都需要傳遞給內核來決定能否執行,一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定范圍的內存讀寫),內核便返回一個“非法越權”標志,發送這個指令的程序就有可能被終止運行,這就是大部分常見的“非法操作”的由來,這樣做的目的是為了保護計算機免遭破壞,如果外殼和內核的運行級別一樣,用戶一個不經意的點擊都有可能破壞整個系統。但是現在,Ring已經屢屢被后門木馬利用成為一個令人頭痛的兇器。
2.進程偽裝型后門的殲滅
最初的后門靠注冊“系統服務”的方法在Win9x系統里隱藏自己的運行信息,到了NT架構里,這個方法失效了——NT家族自帶的任務管理器(Task Manager,TaskMgr.exe)把所有普通進程都一視同仁的顯示出來,連初級用戶都能輕易發現后門運行的痕跡,于是后門制造者開始攻克心理學和障眼法,讓后門進程在任務管理器里把自己標榜為“系統關鍵進程”,達到欺騙用戶的目的。
我們都知道,任務管理器列出的眾多進程里包含著一部分“關鍵進程”,它們是無法通過任務管理器中止的,而且許多文章也會提到相關進程名,久而久之,我們又養成一個習慣:查看進程信息時,只要看到熟悉甚至類似的進程名就忽略不計了,僅僅去尋找不熟悉的進程名,于是后門制造者就直接利用這個心理暗角配合路徑遍歷法則,讓后門進程顯示為“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等關鍵進程名就欺騙了用戶和任務管理器。
在這種情況下,系統自己的任務管理器已經不能信任了,因為它遺漏了最重要的路徑信息,后門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下,然后在注冊表啟動項里加上不帶路徑信息的“svchost.exe”信息,系統在根據目錄遍歷法則一層層深入尋找svchost.exe時會在Windows目錄里發現并執行它,而真正的關鍵進程svchost.exe是在SYSTEM32里的,而且它也必須通過“服務管理器”(Service Control Manager,SCM)加載,于是任務管理器會顯示多個svchost.exe進程,但是由于缺乏路徑指示,我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的,也無法用任務管理器終止它的運行,因為任務管理器只是簡單的判斷了文件名就認為它是“關鍵進程”了,自然不會讓你終止。類似的后門偽裝文件名還有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架構里根本沒有rundll.exe這個程序)、“SYSTEMservices.exe”等,要發現并殲滅這些后門,除了要求我們對常見的系統關鍵進程有所了解以外,還需要第三方提供的擴展任務管理器協助,例如Windows優化大師攜帶的進程查看器,用它便可迅速發現路徑不對的“假兄弟”。
其實最迅速的查找方法是運行“系統配置實用程序”(MSCONFIG.EXE),切換到“啟動項”,如果在這里發現了“系統關鍵程序”的信息,那它一定是假的。
3.服務欺騙型后門的戰役
Windows的任務管理器不可終止兩種程序的運行:一種是關鍵進程,另一種是通過服務管理器SCM啟動的系統服務程序(NT-Service),所以一部分后門制造者設法把后門做成服務形式,讓SCM直接幫助啟動服務進程,不再借用注冊表啟動項加載,這樣即使是對注冊表啟動項有一定了解的用戶也難以發現異常,而且就算他想終止任務管理器里顯示的奇怪進程,也會被拒絕,如果用戶對服務管理器的了解不深,那他將會在眼花繚亂的服務面前變得束手無策。
這時候,我們又需要請“系統配置實用程序”出山了,切換到“服務”選項卡,把“隱藏所有Microsoft服務”,這里就只顯示非微軟開發的普通服務程序列表了,包括服務欺騙型后門的服務項,一般它會包含欺騙性質的字符或者偽裝成某廠商的服務名,如“Rising Virus Monitor”(瑞星監控)、“Macromedia License”等,記住這里顯示的列表名稱,接著運行“服務管理器”(Services.msc)找到對應的項目,看看屬性里的文件和路徑是不是真的,如果你并沒有安裝KAV、MCAFEE這些殺毒軟件而SCM里卻找到對應項目的話,它就是狡猾的后門沒錯了。一些間諜軟件還會自作主張的把自己命名為“Windows Print Controller”,簡直就是無視系統自身的“Print Spooler”服務。
找到這類后門后,不要急著終止它的運行,既然后門作者知道SCM能直接停止它們,就必然會做一些復活措施,所以我們必須先把后門服務的“啟動類型”設置為“禁止”,然后重啟一次確保后門程序無法跟隨系統啟動,這時候才能開始清理后門。其中文件的路徑信息SCM已經提供給我們了,直接在磁盤上找到刪除即可,但是服務項目不能直接用SCM刪除,要刪除這個殘留的服務項,首先要對系統服務有個最初的概念。
官方對系統服務的定義如下:
在NT架構系統中,服務是指執行指定系統功能的程序、例程或進程,以便支持其他程序,尤其是底層(接近硬件)程序。通過網絡提供服務時,服務可以在Active Directory中發布,從而促進了以服務為中心的管理和使用。服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網絡為用戶提供一些功能,例如客戶端/服務器應用程序、Web服務器、數據庫服務器以及其他基于服務器的應用程序。 既然服務自身也是獨立出來的程序,它就必須有一個加載的入口,我們可以把這個入口理解為第二個啟動項,這個入口是由SCM負責的,無論是什么身份的用戶進入系統,SCM啟動服務的位置都固定在注冊表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找這個分支就可以發現所有服務——也許你會說,這里顯示的名字似乎都毫無意義,我怎么知道哪個是我正在找的?其實很簡單,我們回到SCM,查看一個服務的屬性,例如“DNS Client”服務,它的屬性里寫著“顯示名稱:DNS Client 服務名稱:Dnscache”,現在回到注冊表分支,查找“Dnscache”,就會看到它是CurrentControlSet ServicesDnscache,這就是我們在SCM里看到的“DNS Client”服務,如果你刪除掉“Dnscache”項目,那么整個“DNS Client”服務也就消失了。以此類推,很快就可以清理掉服務欺騙型后門。
4.最艱難的尋找:Ring 0后門
隨著安全技術的發展和計算機用戶群的技術提高,一般的木馬后門越來越難生存,于是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。
位于Ring 0層的是系統核心模塊和各種驅動程序模塊,所以位于這一層的木馬也是以驅動的形式生存的,而不是一般的EXE。后門作者把后門寫成符合WDM規范(Windows Driver Model)的驅動程序模塊,把自身添加進注冊表的驅動程序加載入口,便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的信息,所以通過驅動模塊和執行文件結合的后門程序便得以生存下來,由于它運行在Ring 0級別,擁有與系統核心同等級的權限,因此它可以更輕易的把自己隱藏起來,無論是進程信息還是文件體,甚至通訊的端口和流量也能被隱藏起來,在如此強大的隱藏技術面前,無論是任務管理器還是系統配置實用程序,甚至系統自帶的注冊表工具都失去了效果,我們不得不借助于更強大的第三方工具。幸好,一部分持有編寫Ring 0程序能力的人并沒有加入Ring 0木馬的陣營,而是把技術用到了安全檢查方面,于是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。
一般的進程工具是運行在Ring 3級別的,它們讀取的依據來自Ring 0層,這些數據是可以被運行于Ring 0級別的木馬修改的,所以它們根本無法得知木馬程序信息,而IceSword等檢測工具不同,它們和Ring 0木馬一樣,也是通過驅動的模式進入Ring 0層工作的,不再需要從Ring 0層獲取信息,所以它們能得到未被木馬篡改的原始鏈表數據,例如最原始的進程信息,它是不能被更改的,如果木馬把它自身從原始進程信息里刪除,就意味著它要自我終結了。所以一旦有進程工具從 Ring 0層直接讀取了原始數據,再把這個數據和Ring 3層獲取到的進程列表比較一下,就能迅速發現哪個是拼命隱藏自身的木馬程序了。很巧合的是,驅動程序和系統服務共享同一個加載入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相應的Ring 0木馬文件名,就會發現它,刪除掉注冊表的加載數據后重新啟動計算機,再刪除掉木馬文件就可以解決了。
5.清理不受歡迎的附屬產品
“21世紀什么最貴?人才!”
——《天下無賊》
黎叔說的這句話固然無可厚非,只是他大概不知道,在21世紀的網絡上,網民最恨的就是一部分利用歪點子制造“廣告軟件”(Adware)和“流氓/間諜軟件”(Spyware)的“人才”。如今的網絡已經被這些不受歡迎的軟件使用捆綁戰術給占領了,隨便下載個共享工具,有點良心的會在安裝界面里默認打上“安裝附屬產品”的勾,更多的則是一口氣給你把所有附屬工具都裝上了,許多用戶在安裝了一些共享軟件后,突然發現瀏覽器多了一堆這個條那個霸的,想要卸載時卻發現所謂的卸載程序只是個把用戶當小孩來哄的界面!可以說,這些惡意軟件才是當今網絡最令人厭惡的東西,“流氓軟件猛于后門也”!
與各種后門木馬的意圖不同,惡意捆綁軟件的立場是自家公司的利益,它們一般不會攜帶破壞性質的代碼(但不代表沒有),通常還會擁有一些號稱“服務大眾”的功能,這些功能或許可以讓它得到一些用戶的擁戴,但是這種光環并不能掩蓋其“服務大眾”背后的暴利黑幕。首先,惡意捆綁軟件可以輕易收集到用戶信息,任何一臺被安裝了“X手X霸X豬X搜”的計算機都不再與“個人隱私”這個詞語有緣。其次,惡意捆綁軟件可以借用廣大計算機作為它無償彈出公司廣告的殖民地,如果每條廣告都能給該軟件背后的公司帶來一點利潤,那么一年下來這個公司就已經從廣大用戶群的身上搜刮到一大筆可觀的錢財了。天下并沒有免費的午餐,在你使用這些捆綁軟件提供的“快捷服務”時,你就已經付出了代價。
最初,捆綁軟件都比較單純,僅僅使用BHO技術(Browser Helper Objects,瀏覽器輔助模塊)把自己安家在瀏覽器上而已,但是現在,也許因為被用戶清理得多了,一些公司惱羞成怒把ring 0級別的木馬技術應用在了自家產品上,配合一種令人厭惡的強制安裝技術,再利用金錢開路,讓一些網站加載自己的產品,只要用戶瀏覽某個頁面,就會不知不覺被安裝上一堆BHO,這已經不是一般的強盜行為了,而由于商業關系,一般的殺毒程序是不能去查殺它們的,即使它們與木馬后門的特征無異,這時候,用戶就要靠自己來了。
首先,瀏覽器的BHO加載項目是固定在系統目錄的“Downloaded Program Files”文件夾里的,對于在瀏覽器上出現的欄目,只要簡單的在這個文件夾里選中刪除即可,但是其余殘留文件就只能自行尋找了,由于制作惡意捆綁BHO的公司太多,文件存放位置也不同,這里無法給出很全面的刪除方法,所以只能推薦兩個工具:Upiea和RogueCleaner,使用它們即可快速卸載掉惹人討厭的附屬產品。
四. 生存法則
在森林里,鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍,因為那里可能隱藏著惡狼。在網絡上有更多的惡狼存在,但是卻沒有人能收到有效的警告。要成為自己的救世主,必須把那一份多余的好奇心收起來,直到已經掌握了清理“不速之客”的技術以后,方可放開好奇心到處看看,否則一不小心被自己的好奇心弄得系統出毛病了,又沒法判斷清理,最終恐怕還是會回到依賴殺毒軟件的用戶群去。最后還有一句恒古不變的真理:網絡充滿風險,勤打系統補丁。
武裝到牙齒 07個人電腦安全配置手冊
[ 2007-03-25 02:56:05 | 作者: sun ]
前言
幾年前在社區中也發過類似的帖子,但是之后時間由于各種原因并沒更新重發。今年由于熊貓的原因我決定發布新版本的安全手冊。
本貼僅面相普通的計算機使用用戶,說以我盡量避免使用復雜的系統設置圖解而是盡可能用第三方軟件代替。軟件的使用宗旨也是盡量使用免費軟件和中文軟件。
思路我的重點并沒有放到查殺上,而是注重防上。一切都圍繞這個主題進行。
由于這是一個很龐雜的帖子,一次不可能完成所以帖子會不斷進行更新,某些內容可能來源其它網友我會盡可能署上作者姓名,如有 相關問題請聯系我:)更新前后會效仿軟件的版本號的形式注明。我已經向社區的版主征集相關的稿件,并會把相關的內容及時更新上來。
面相對象
目前本貼僅面相單機普通個人用戶的系統安全。但是考慮到很多朋友已經擁有二臺或兩臺以上的計算機設備,而且多機聯網可以有更大的安全空間,和更多安全選擇以及更好的安全效果。說以相關的內容會在后面的時間更新(已經在朋友那里組建完畢三機〔兩臺式一筆記本〕測試平臺,目前正在測試并收集相關的數據)
系統安裝前
分區應該是大家在安裝系統前最先碰到的一個問題,也是第一個被大家忽略的問題。給大家的意見就是系統盤也就是大家說的c盤應該在10G左右考慮到新系統(VISTA)可適當的擴展到15G。而工具盤也是說的D盤也應該在10G左右的空間。剩下的盤符大家可以自便,但是最后一個區空間應該適當的大一些因為我們用它來作資料備份使用。
磁盤格式的選擇
強烈建議大家的把C,D兩個盤符分成NTFS格式。因為WINDOWS的安全全都是建立在NTFS基礎之上的。拋棄了NTFS也就不要談什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分區的,你看到的C:應該是NTFS分區之后的那FAT32個區,但是借助其它軟件也可以查看DOS下的 NTFS的 數據)但是我也不推薦全部分區都使用NTFS,因為這樣你備份以及一些其它的操作可能會受到一些影響。所以個人的意見是把最后一個區也就是備份區分成FAT32。
系統選擇
微軟的VISTA系統已經上市了,但是由于其極高的硬件要求更因為第三方軟件軟件兼容性上的問題。我們暫時沒有選擇VISTA而是選擇成熟的 WINDOWS XP SP2 PRO。(放棄了2003是因為其設置上對于很多用戶是巨大的瓶頸,而且2003對很多軟件尤其是安全軟件都存在兼容性的問題。但是在以后涉及到多機安全上我們將涉及2003或服務器版本的 VISTA)
系統安裝
對于普通用戶來說系統安裝是最簡單的問題了,看似沒有說的必要。但是往往問題都是出在我們忽略的小事情上。比如系統,補丁,驅動等的安裝順序上。我的建議是系統→SP補丁(當然目前的XPSP2已經沒有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驅動的順序進行安裝。當然并不是說你不安這個順序安裝有什么問題,但是這樣作做少會降低很多不必要的隱患。
首次備份時間點
這樣安裝完驅動后,我們的系統就基本本宣告安裝完畢了。此時建議你使用備份軟件對系統進行備份,并最好把備份文件進行光盤存檔。
軟件提示
由于眾所周知的問題,在進行以上安裝的時候用戶會碰到第一個棘手的問題。就是無法下載WINDOWS的安全更新!此時建議相關的用戶安裝Windows Updates Downloader,該軟件是免費軟件,首次使用需要到其官方網站下載相應語言版本的文件(有WINDOWS和OFFICE二種)之后就可以點擊DOWNLOAD更新,它不僅僅提供安全更新,還提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是該軟件不會檢測你 系統中已經安裝的補丁,它之會把所有更新全部列出,所以用戶下載時請酌情下載相應的補丁。它還會下載非關鍵更新OTHER:)但是不一定沒有用,很有意思哦!
操作系統設置
以前是非常難說的問題,也是最費筆墨的一個部分。但是現在有了XP-ANTISPY這個軟件一切都變的非常簡單了!它同樣也是一個免費軟件,它將系統設置的各個的方面以選項的的 形式放在用戶面前,最讓人興奮的的 是每個選項作者都給出了詳細說明,用戶根據提示就可以把為復雜的系統的設置變成簡單的點擊。
非管理員賬戶的創建及設置
說VISTA的安全性的 提高,一個重要的原因就是。微軟借鑒LINUX的對管理員賬戶進行嚴格管制的思路,不讓用戶直接進入管理員賬戶即使要進入也輸入密碼……其實我們在非VISTA系統也可以這樣作。(由于時間的關系該內容以后更新)
密碼管理
前言
為什么要設置密碼,很多用戶都不去設置密碼或設置簡單得罪你密碼都是為了方便。但是在實際情況中,用戶擁有什么權限病毒木馬就有什么樣的權限。沒有權限控制的的計算機也就對病毒木馬全開綠燈。最關鍵是用戶不要以為有了安全軟件和防火墻就可以不設置密碼了因為這是完全沒有關系的二個安全體系。由于密碼設置的特使原因我無法對所有的密碼管理都進行詳盡的設置,用戶最好根據自己的軟、硬件使用說明以及自己的使用情況進行設置!但是唯一要提醒用戶你自己最好不要忘記自己設置的密碼:)
系統賬戶密碼
首先我們必須要對ADMINISTRATOR賬戶進行密碼設置而且密碼應該是12位以上(因為木馬病毒都帶有弱口令密碼字典,而且黑客賬戶都帶有各種密碼字典在可接受的時間內它們可以暴力破解95%以上的用戶密碼)。而且在我的電腦→管理→計算機管理→“本地用戶和組”中用戶應該停用除ADMINISTRATOR賬外的所有賬戶比如GUEST賬戶,即使用戶需要某些賬戶也應該對這些賬戶設置足夠強健的密碼。
請給你的安全軟件設置密碼
在安全軟件中很多軟件都有密碼控制的選項,用戶很多時候都沒有理會。但是為了這些軟件自身的安全以及保護你的軟件設置請給你的安全軟件設置密碼。
硬件密碼
ADSL MODEM在默認情況下都有默認的出廠密碼,一些別有用心的人就可以通過這個“漏洞”控制并攻擊用戶!所以請參照你的硬件說明更改密碼!
安全軟件的選擇
前言
對于防病毒軟件來說,沒有什么完美的軟件。甚至在一線和二線廠商之間也沒有什么大的分別。因為幾乎每一個我們知道或不知道的廠商都有自己獨特的反病毒技術,正是因為這種理念的不同就使的各個軟件在不同方面都有自己的優點及缺陷。對于用戶來說沒有最好的,只有最適合自己的。當然這種分寸拿捏是需要用戶對自己系統了解,以及對各個軟件長時間反復測試才能的出。對于普通用戶來說這顯然是很困難的。所以我給出是一個最大眾化的配置,它在各個方面都不會是最出色的配置,但是它也應該是綜合性能最優秀的一個。
普通用戶方案
主殺毒軟件
瑞星二??七
并非是因為我是IKAKA的版主或因為本貼是在社區首發,而推薦瑞星二??七的。因為這個版本的瑞星改進的脫殼程序完善了網友對瑞興詬病最多的木馬查殺環節,使用“碎甲”技術,完善了啟發查毒以及對虛擬機的成功應用,這一切都讓瑞星成了用戶的不二選擇。而且只要對瑞星進行合理的設置就基本可以抵御用戶面對安全問題。
安全建議:社區有不少二??七優化方案的 帖子大家最好看看:)
輔助殺毒
這里的殺毒軟件僅僅是對 主殺毒軟件的一個補充,因為目前的安全形式已經很難讓用戶用單一的安全手段面對日益增長威脅。輔助殺毒一般不會有實時監控程序即使有也建議用戶取消,僅僅只在下載新軟件后手動調用輔助殺毒程序進行查殺(也就是鼠標右鍵)
推薦1
Cureit它是鼎鼎大名的Dr.web的 免費版。Dr.web是俄科學院研制供俄羅斯軍方專業的殺毒軟件,其引擎對木馬脫殼能力應該是眾多殺毒軟件中最強大的,即使是卡巴斯基單從引擎上 說也遜色三分。Cureit根Dr.web的 區別僅僅是沒有實時監控程序,其它諸如引擎和病毒庫上都是完全相同的。
優點:完全免費,資源占用少 缺點:沒有中文版。
推薦二
**
**就不用說了,其根瑞星的淵源我也不用細細道來了,選用**的理由很簡單就是其設計的初衷!一款主動防御軟件。具體的 說明大家有興趣可以到其官方網站了解。
優點:國貨!對主殺毒程序兼容好 缺點:付費軟件,資源占用稍大。
防火墻
前言
沒有安全的墻!目前大家對防火墻評測基本都是國外網站的測試的結果,而且流行的無非都是那幾款。但是非常遺憾的告訴大家這些墻都有或大或小的安全BUG,而且即使是ZA這種被網友“力捧”的墻在其設計構架中都存在致命的缺陷。最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
瑞星二??七防火墻
又是瑞星?沒錯!首先它是瑞星殺毒軟件標準版中就附帶,而且經過不斷的改進瑞星防火墻已經成為一款成熟的產品。瑞星殺毒軟件+瑞星防火墻+注冊表監控,用戶只要運用好這3樣工具就基本可以從容的應付常見的安全威脅。
社區有網友提供瑞星防火墻規則包建議大家安裝,不錯的:)有時間我可能會更新一個新包上來:)
花絮:一樣的外衣不一樣的心
很多人都關系某某部門用了什么軟件或軍方用了什么軟件,其實這完全沒有什么意義因為首先你不可能享受到想這些部門一樣的服務。其次這些殺毒軟件的DAT或防火墻的規則你是根本就接觸甚至看不到的。編譯好自己的規則才時最關鍵的。
HIPS一
什么是HIPS
HIPSPS(主機入侵防御體系),也被稱為系統防火墻,今年開始在比較專業的用戶中開始流行,甚至一些殺毒軟件廠商研究新病毒的時候都用它們來最終分析。HIPS可以控制限制進程調用,或者禁止更改或者添加注冊表文件。當某進程或者程序試圖偷偷運行時,這個行為就會被所HIPS檢測,然后彈出警告,詢問用戶是否允許運行。如果用戶擁有足夠的軟件和系統進程方面知識的情況下,利用HIPS軟件能非常有效的防止木馬或者病毒的偷偷運行。如果運用的好甚至可以擺脫對殺毒軟件的依靠!(現在開始風行的行為殺毒其實就是HIPS功能的智能化)。的功能分類有Application Defend(簡稱AD)應用程序防御體系, Registry Defend(簡稱RD)注冊表防御體系(比如瑞星的注冊表監控), File Defend(簡稱FD)文件防御體系三類。
第一次使用HIPS時用戶進行各種操作軟件都會有提示,用戶安提示操作就可以了以后只要文件沒有被病毒或木馬破壞就不會有相關的提示,但是這也要求使用HIPS一定要不怕麻煩,并能認真閱讀HIPS的提示信息。否則HIPS對你不但沒有什么幫助,也會徒增你的煩惱
推薦
System Safety Monitor(簡稱SSM)是目前最紅的HIPS軟件,經過幾年的開發,現在SSM2.2已經基本成熟了,系統資源占用也越來越少,它擁有AD和RD功能,可以察看運行程序的父子關系,就是界面設計的有些煩瑣,上手比較麻煩,擁有MD5和更強大的256位SHA效驗算法可以選擇。同時也有中文語言包,雖然價格比較高,但是還有免費的版本提供,不過少了磁盤底層寫入監視和RD(正因為瑞星又RD功能,所以我推薦SSM作為普通用戶方案HIPS的搭配)
注意:SSM有付費和免費兩種版本,免費版僅缺少幾項項監控。用戶可根據自己的情況選擇!建議大家用免費版本:)
第二次備份時間點
使用上述軟件對 系統進行完全掃描后,用戶就可以進行第二次的備份操作!備份文件直接備份備份區分即可刻在光盤上也不錯:)
免費方案
免費軟件已經不是一個陌生的名詞,免費的安全盛宴也不可不稱“豐富”。用好這些免費軟件你同樣可以擁有安全。還是那句話沒有最好的軟件,只有最合理的使用方法。
PS:根據免費軟件的使用協議,您如果使用后依然中毒,或導致系統沖突,進而引起數據損毀甚至硬件損壞等不良后果一概由您自行承擔。因此如果您對軟件尚不甚了解,請到論壇各專區學習,或請專人指導,或發帖求助。同樣出于時間的問題我也無法給出這些軟件的兼容性測試。建議用戶首次使用時僅用在學習交流測試中。
主殺毒軟件
推薦1
AntiVir PersonalEdition Classic就是網友說的“小紅傘”。一款來自德國的安全產品今年在瑞星參加過的德國的AV-test測試上基本保持第一第二的地位。它的免費版殺毒軟件也只是少了很少功能,引擎和病毒庫和收費版本完全相同。在國際上非常有名,在國內更是有著不小的影響。在免費殺毒軟件首推AntiVir是因為其是以出色的啟發”查毒。
PS: Classic是免費版本Premiun是付費版本,還有免費版也顯示有時限日期不用理會到時軟件會自動更新新的授權。
優點:免費難道不是最大優點嗎?缺點:沒有中文版
推薦2
捷克的AVG Anti-Virus是歐洲著名的殺毒軟件,今年發布的7.5版本功能全面,無論是啟發還是特征碼殺毒技術都很成熟。它可能是提供了功能縮水最少的免費版殺毒軟件,只是有部分功能無法設定,其它都和收費版本相同!
優點:同上 缺點:同上
PS:免費的國產殺毒軟件有“東方衛士”抵抗英文的朋友可以用一下。
輔助殺毒
推薦一
羅馬尼亞BitDefender Antivirus 8 Free Edition其實它也很有明,其付費版我 也曾經試用過,感覺很不錯:)號稱世界上病毒庫最多的安全軟件
PS: 繁體中文版下www.bitdefender.com.hk/site/Main/view/Download-Free-Products.html
優點:繁體中文也是中文呀! 缺點:沒有監控所以用在輔助殺毒也不是問題了……
推薦二
Novatix Cyberhawk這個是什么什么東東?嘿嘿!它就是美國版的WEIDIAN但是人家是免費的!
優點:免費的主動防御工具 缺點:沒有中文版
防火墻
前言
免費的防火墻實在是太多太多了,熱評排名的帖子有很多但是針對免費防火墻測試帖子還沒有看到。但是就是有誰又能知道其權威性呢?還是那句最關鍵不是你看別人說什么墻好,而是你了解什么墻你會用什么墻。
推薦一
費爾防火墻3.0
我個人力推的免費軟件,最近更新了3.0界面和性能都有很大的提高,極力推薦大家試用一下。其它國產防火墻風云,傲盾等等都有自己令人稱道一面大家可以根據自己的需要試用。
優點:國產軟件
推薦二
Comodo Personal Firewall Pro來自英國的功能強大、高效而容易使用的防火墻,提供了針對網絡和個人用戶的最高級別的保護,從而阻擋黑客的進入和個人資料的泄露。以上都是官方的說法……但是推薦的理由完全是另一個原因,因為科摩多防火墻是第一個在內置國際語言中有中文的軟件!!!
優點:新墻,老外的但是支持中文沒有什么理由不試一試。
HIPS二
ProSecurity是今年發布的新東東,當前的是1.25版。它占用系統資源很少,設定也很簡單。同時擁有了AD和RD功能。穩定也不錯,對于AD控制采用了先進的SHA效驗技術,也提供了免費版本。用夠了SMM嗎?用ProSecurity吧!
優點:免費而且有直接支持中文哦!
虛擬還原
有社區的朋友說上面的方法都非常的麻煩,使用殺毒軟件+防火墻+虛擬機的組合,的確目前還是沒有可以感染虛擬機的病毒,但是個人認為這樣組合在某些方面是不錯但是仍有些問題讓人撓頭。我依舊給出一個軟件但是比虛擬機要方便一些。
推薦
PowerShadow Master。它是原聯想部門經理鮑禹卿開發的,它開發出影子系統后,在國內共享軟件難以見到收益的環境下,暫時放棄國內市場,開發英文版并在歐美市場采用代理方式銷售后,現在軟件認知度很高,國內漸漸也有很多用戶。在2006年底,鮑禹卿決定將這款優秀軟件打入中國市場,以獲得更龐大的用戶群,如果是個人用戶使用,它還是免費的!
它有兩種模式:一種是保護系統分區,一切對系統的更改在下次啟動后全部無效,對非系統分區的更改是有效的,一種是全盤保護模式。它獨創的影子模式讓真正的系統具有隱身的能力,使你擁有一個真正自修復免維護的系統。
全面了解各種反垃圾郵件的解決方案
[ 2007-03-25 02:55:41 | 作者: sun ]
自2000年后,互聯網技術飛速發展,郵件技術已經逐步成為了現代社會最重要的溝通工具之一。然而,予生俱來的是垃圾郵件對郵件用戶的侵擾;到2006年末,這種侵擾已經成為公認的最大的互聯網應用威脅之一。有許多數字讓人觸目驚心:每天全球產生的垃圾郵件達1000封;用戶收到的郵件之中,有94%是垃圾郵件;美國、中國是全世界最大的兩個垃圾郵件生產國家和消費國;中國網民每周收到的垃圾郵件數平均達到了19.4封。這些垃圾郵件充斥著各種非請求的商業廣告、色情與反動內容、政治敏感話題傳播、甚至計算機病毒與惡意代碼,給我們正常的郵件收發增加困難,使企業的網絡與郵件資源被惡意浪費,甚至有可能對組織與個人的硬件資產遭受入侵、破壞等損失。垃圾郵件最新的形式是釣魚郵件,Spammer通過傳播類似銀行及會員機構郵件的方式,來騙去用戶的用戶名和密碼,直接獲取非法利益;而有些則通過惡意代碼控制計算機,使網絡用戶的計算機變成Zombie PC,利用這些PC來發送大量廣告等垃圾郵件以獲取商業價值。可以說,反垃圾郵件的斗爭以及到了白熱化的程度。
中國的反垃圾郵件技術研究幾乎和國外同步,但產品化進程比較慢,基本上到2003年后才有初步能夠應用的專業級產品與系統方案。在國際上,有兩大開源社區比較權威,目前世界上大部分垃圾郵件的核心技術都來源這兩個社區,一個是著名的SpamAssassin,一個是,Razor。而中國目前還沒有形成比較成規模的反垃圾郵件技術開源社區。在技術上,特別是產品結構上都借鑒這些著名的先行者。
說到反垃圾郵件的技術方案,一般有三種類型的解決方案。
第一種是初級的用戶級客戶端方案。
大部分人都認為客戶端方案效果不好,這里面其實有個誤區,很多說法是包含了商業利益在里面的,所以就不能夠客觀的評價。客戶端方案,有些人就認為是Foxmail、Outlook之類的郵件客戶端自帶的簡單的黑白名單判別垃圾郵件功能,其實這是有誤的。真正的客戶端方案,不僅包含這些黑白名單功能,也包括其他類型方案一樣的一些手段,象實時RBL、指紋檢查、信任網絡、甚至包含內容過濾等技術,由于它服務的對象是“客戶端個人用戶”,沒有關注郵件服務器而已,然后它仍然是專業級別的反垃圾郵件防方案。關鍵是,需要找到專業的產品,而且這種方案在50人以下應用環境時具有很好的經濟價值,在超過50人的應用環境下,這種方案就沒有其他的方案更具競爭力。代表產品是全球知名的反垃圾郵件技術公司Cloudmark公司的個人版反垃圾郵件產品。
第二類技術方案是反垃圾郵件網關方案。
這種方案是目前應用最廣泛,也是應用最簡便的企業級反垃圾郵件方案。這種方案是各種反垃圾郵件技術綜合到一臺設備或者軟件系統當中去,放在郵件服務器的前端,對進出郵件系統的所有郵件進行過濾、審查,對違反規則或者具有明顯垃圾郵件特征的郵件予以處置。 網關型的反垃圾郵件方案,其形態可以是專用硬件產品,也可能是軟件形式。需要特別強調的是,傳統上認為硬件產品比軟件產品好,這種認識也是有很大偏差的,需要差別的看:如果反垃圾郵件網關軟件能夠與郵件系統實現真正意義上的無縫結合的化,是能夠大大提升系統的整體性能的,而不是象部分商業公司宣稱的那樣,硬件產品一定是最好的;原因很簡單: 這中間節省了兩個計算環節(反垃圾郵件系統在將郵件系統解包檢后,可以不用打包就可以直接轉給郵件系統接受;而郵件系統不需要先對郵件進行解包,就可以直接接受--減少動作,就意味著性能的提高)。
網關方案做為最主要的企業級反垃圾郵件方案,因各商業和研究機構的技術路線不同,主要有3種:
(1)基于經驗規則和內容檢查技術的技術路線。這類反垃圾郵件網關,以內容檢查為主,主要的檢查手段包括關鍵字過濾、貝葉斯過濾、基于規則的評分系統、郵件指紋檢查、黑白名單技術、速率控制等等。需要的是提取樣本、提取內容特征等信息,來檢查與過濾垃圾郵件。代表的產品是梭子魚反垃圾郵件系統。 需要注意的是,這類產品大多數需要進行大量的內容檢查計算,對產品的系統結構和硬件平臺的系統資源要求比較,性能峰值不是很高,特別是部分產品是用pear編寫的,程序的限制,使得性能成為其最主要的瓶頸。 這點用戶在選擇時是需要關注的,選型時盡量采用高一點的型號,以應對突然的郵件高峰。
(2)智能行為識別技術路線。由于認識到基于規則與內容技術路線在性能上的局限性,有部分技術人士擯棄了內容檢查,而是將產品方案的主要檢查手段放在了郵件的協議分析。 這類技術通過總結和分析垃圾郵件發送者的各種共性行為,比如用客戶端群發軟件發送、高頻率發送、Dns偽裝、IP欺騙等等方法,解析出這些“垃圾行為”的特征并形成規則,用這寫規則來判別一封郵件是否合法。這類技術,同時包括了眾多的郵件合規性認證機制;同時也包含了部分殺病毒等內容層技術。 同樣需要大家注意的是,這類技術針對的是大規模的、以群發為特征的垃圾郵件,而針對單個、無規律的、甚至是合法來源發送非法內容的郵件,沒有很好的解決方案。因為它不強調內容檢查,而對對垃圾郵件判定最重要的標準是“內容”非法! 但,這種技術已經能夠拒絕大部分垃圾郵件了,因為絕大部分垃圾郵件確實是通過群發的方式產生的。 這類產品的代表廠商是敏訊科技,以及來自臺灣的碩奇公司反垃圾郵件產品(該公司更宣稱完全運用行為識別技術來反垃圾郵件)。
(3)混合模式路線。這種技術路線強調過程化處理技術,利用過程化處理技術整合各種反垃圾郵件技術,既包括基于協議分析的智能行為識別,也包括基于規則與內容檢查的模式對比路線。反垃圾郵件網關在智能過程化處理平臺的控制下,有次序的讓郵件接受各個層次的合規性檢查與內容檢查。綜合應用行為識別技術,在協議層對TCP/IP進行分析規范發件連接行為、在SMTP層對郵件從Hello、Auth、From、To、Data等各個層次進行合規性檢查,對違發正常規則的郵件進行重點分析,對明顯的群發行為予以處置。而內容檢查階段,也是嚴格按照“過程”來進行的,病毒查殺、用戶級黑白名單、關鍵字、貝葉斯過濾、指紋檢查、以及其他的基于內容檢查的技術。 這類網關的設計架構比較好,“過程化”的處理辦法,讓大量的垃圾郵件在“前端”就被過濾掉,而在內容階段系統的工作量非常的少,能夠大幅度的提升系統的整體工作性能和垃圾處理能力。 這類產品的代表是Commontouch反垃圾引擎,以及智海華程CyanFilter反垃圾郵件引擎。 他們共同的特點是過程化處置,都擁有自己核心的反垃圾郵件引擎。Coummontouch的反垃圾引擎采用實時檢查技術,輪回檢查信任網絡;而CyanFilter反垃圾郵件引擎則包含了中文分詞、特征進化引擎技術等等,使得青蓮Cyanlotus反垃圾網關更具有強大的中文垃圾能力。 另外,Cloudmark公司的電信級反垃圾郵件網關也同樣擁有這中能力,其基因算法與全球最大“可信任用戶網絡”更是無與倫比。
第三類是ASP反垃圾郵件服務方案
這種方案主要針對用戶數量少于500人的中小企業環境。反垃圾郵件服務提供商首先建立一個反垃圾郵件服務中心,這個中心的系統擁有同時向多域、多服務器提供反垃圾服務的能力。用戶在購買了反垃圾郵件服務后,將自己郵件地址的MX記錄指向該服務中心,該服務中心同時添加該用戶域名,這樣用戶的郵件在到達用戶的郵件系統(不管是購買的空間的方式,還是有獨立服務器)前,首先達到ASP反垃圾郵件服務中心進行過濾檢查,達到凈化垃圾的目的。這種方案比較經濟、不受地域和部署方式的限制。 但,目前為止,國內還沒有實際投入運營的反垃圾郵件ASP出現。
用戶,不管是個人用戶還是企業級用戶,在選擇反垃圾郵件方案時,都需要認真考慮一下幾個因素:
(1)經濟性。個人用戶和數量比較少的企業,可以選擇采用專業客戶端或者ASP反垃圾郵件服務的解決方案,既節省投資也具有同樣的反垃圾效果,而且免去了后期維護之類。
(2)反垃圾系統的反垃圾效果。對反垃圾系統效果的評價一般包括垃圾郵件識別率、漏報率,同時更需要關注垃圾郵件誤報率,特別是將正常郵件判別為垃圾郵件的“假陽性”誤報問題,這是反垃圾郵件系統的最關鍵的參考因素。我們可以容忍一天收到若干垃圾郵件(當然是數量不多的情況下),但所有人都不能忍受有正常的郵件被錯誤的判定為“垃圾”而遭受“丟棄”!而評價反垃圾郵件系統反垃圾效果的方法,就是實際試用! 因為每個用戶受的垃圾郵件類別是不一樣的,有的用戶垃圾郵件主要是英文垃圾、有的是中文垃圾、有的是圖片的、有的則是廣告文字的、還有的是釣魚類的、而有的則是以病毒垃圾為住。不同的垃圾郵件特征,需要采用不同的反垃圾郵件產品方案:如英文垃圾多,則我們可以首選國外專業產品;如果中文垃圾多,則首先要考慮國內的,特別是有中文分詞技術(由于中、日、韓三國語言的雙字節及不分詞的特殊性,一般反垃圾產品能難有效應對);而對病毒垃圾多的,則可以考慮主要由殺病毒公司提供的反垃圾郵件產品。
(3)注重系統的整體性能。反垃圾郵件產品,如果性能不過關,隨著業務的增長和垃圾郵件泛濫問題的日益嚴重,可能會有很大問題,另外性能問題有可能會影響我們正常的郵件收發效率;由于產品在設計和硬件配置上的缺陷(特別是產品結構與設計語言的缺陷),導致郵件堵塞、溢出、正常郵件丟失、系統癱瘓等等,將會使我們損失慘重!
(4)管理簡便與靈活性。一般來講,靈活性與簡便的要求是矛盾。我們的原則是,逐步減少網管人員和用戶的工作量,同時又給予網管和用戶最大限度的個性化需求。如每個用戶都應該擁有自己的個性化黑白名單、自己個性化的關鍵字過濾策略等等,以使得我們反垃圾郵件系統更具有針對性和效率。選擇產品時,一般要考慮web管理、參數設置簡單、管理維護工作量少、擁有智能(特別是有自學習能力)的產品。同時,產品的升級要及時,特別是病毒庫的升級。
綜合以上的一些所述,用戶在進行反垃圾郵件工作時,要全面了解各種反垃圾郵件方案與自己的實際需要想對應的程度,我們不能一味的聽**廠家或者組織宣稱自己是最好的和唯一好的解決方案,最好與最合適只有我們自己說了算。 品牌和市場保有量在中國沒有參考意義(大部分品牌都是通過大量的宣傳得來的,而中國用戶是出名的“隨大眾,愛面子”),建議的做法是“試用”用實際效果說話!特殊的,在中國反垃圾,首先要把重點放在“中文”垃圾上、圖片垃圾、釣魚垃圾上! 同時,還要看該反垃圾方案是否具有完備的“挽回”機制,有全面的日志包括垃圾郵件日志、阻斷郵件日志(大部分產品沒有此功能)、病毒郵件日志以及收發的正常郵件日志。
反垃圾郵件是一件任重道遠的事業,需要我們大家的共同努力。
防止雇員遭受社會工程學攻擊
[ 2007-03-25 02:55:29 | 作者: sun ]
雖然我們確實在繼續受到病毒、蠕蟲、間諜軟件和其它各種形式的惡意軟件的威脅,但是,整個安全的狀況在改善。防火墻已經取得了進步,更多的企業采取了更好的補丁管理措施,而且入侵防御和入侵檢測等技術正在更廣泛的應用。隨著安全的這種增長,黑客在做什么呢?
黑客被迫在做攻擊者過去做過的事情:把目標對準薄弱的環節。這個薄弱環節就是社會工程學的所在。社會工程學是一種危險的攻擊機制,因為它不直接對目標實施攻擊。社會工程學在IT領域被定義為一種說服人的技巧。據市場研究公司Gartner的一篇研究報告稱,70%的以上的非授權訪問信息系統是內部雇員所為,95%的以上的這種入侵導致了嚴重的金融損失。
你也許會想,這些數字表明許多遭受這種損失的公司都有壞雇員。但是,實際情況并非如此。許多雇員都是社會工程學攻擊的受害者。一個社會工程學攻擊者能夠以多種方式向雇員展開攻擊。Robert Cialdini撰寫的“勸說的科學與實踐”一書介紹了這些方法。這本書列出了社會工程學使用的六種主要方法。這些方法包括:
·經驗不足:通過建立緊迫感操縱雇員。
·權威:根據權威的承諾欺騙雇員。例如,“你好,是服務臺嗎?我是為高級副總裁工作的,他需要立即重新設置他的口令。”
·一致性:人們喜歡平衡和秩序。例如,當人們問我們過的如何時,我們一般都回答說“很好!”。
·社會確認:根據這種想法,一個人可以做這個事情,其他人也可以做。例如,你曾看到酒吧服務員的裝滿了錢的罐子嗎?這也許會讓你想到如果每一個人都在往里放錢,你也應該那樣做!
·回報:如果有人給你一個紀念品或者一個小禮物,你就要考慮回贈一些東西。
采取什么措施才能防止你的雇員被利用呢?第一,制定政策和程序。政策應該解決設置賬戶的規則、如何批準訪問和改變口令的批準程序等問題。政策還應該解決人們擔心的一些物理方面的問題,如碎紙片、鎖、訪問控制和如何陪同和監視訪問者等。
第二,進行教育和培訓。如果雇員不了解政策規定或者沒有對這些政策規定的應用進行過培訓,政策就毫無用處。如果雇員理解安全政策的目的以及忽略這些安全政策可能給公司帶來的負面影響,雇員就會更好地遵守公司的這些政策。必須要對雇員進行培訓,讓他們知道如何報告安全突破事件。
最后,檢驗和監督遵守政策的情況。審計和定期檢驗有助于使政策結構更有效率。經常巡查各個部門并且尋找暴露的口令或者敏感的信息。檢驗也許還可以包括給雇員或者服務臺打電話,看看是否能夠強迫他們向你提供口令。當雇員遵守政策的時候,應該對于他們良好的安全行為給予獎勵。通過遵守上述三個簡單的步驟,你將極大的提高粉碎社會工程學攻擊的能力。
黑客被迫在做攻擊者過去做過的事情:把目標對準薄弱的環節。這個薄弱環節就是社會工程學的所在。社會工程學是一種危險的攻擊機制,因為它不直接對目標實施攻擊。社會工程學在IT領域被定義為一種說服人的技巧。據市場研究公司Gartner的一篇研究報告稱,70%的以上的非授權訪問信息系統是內部雇員所為,95%的以上的這種入侵導致了嚴重的金融損失。
你也許會想,這些數字表明許多遭受這種損失的公司都有壞雇員。但是,實際情況并非如此。許多雇員都是社會工程學攻擊的受害者。一個社會工程學攻擊者能夠以多種方式向雇員展開攻擊。Robert Cialdini撰寫的“勸說的科學與實踐”一書介紹了這些方法。這本書列出了社會工程學使用的六種主要方法。這些方法包括:
·經驗不足:通過建立緊迫感操縱雇員。
·權威:根據權威的承諾欺騙雇員。例如,“你好,是服務臺嗎?我是為高級副總裁工作的,他需要立即重新設置他的口令。”
·一致性:人們喜歡平衡和秩序。例如,當人們問我們過的如何時,我們一般都回答說“很好!”。
·社會確認:根據這種想法,一個人可以做這個事情,其他人也可以做。例如,你曾看到酒吧服務員的裝滿了錢的罐子嗎?這也許會讓你想到如果每一個人都在往里放錢,你也應該那樣做!
·回報:如果有人給你一個紀念品或者一個小禮物,你就要考慮回贈一些東西。
采取什么措施才能防止你的雇員被利用呢?第一,制定政策和程序。政策應該解決設置賬戶的規則、如何批準訪問和改變口令的批準程序等問題。政策還應該解決人們擔心的一些物理方面的問題,如碎紙片、鎖、訪問控制和如何陪同和監視訪問者等。
第二,進行教育和培訓。如果雇員不了解政策規定或者沒有對這些政策規定的應用進行過培訓,政策就毫無用處。如果雇員理解安全政策的目的以及忽略這些安全政策可能給公司帶來的負面影響,雇員就會更好地遵守公司的這些政策。必須要對雇員進行培訓,讓他們知道如何報告安全突破事件。
最后,檢驗和監督遵守政策的情況。審計和定期檢驗有助于使政策結構更有效率。經常巡查各個部門并且尋找暴露的口令或者敏感的信息。檢驗也許還可以包括給雇員或者服務臺打電話,看看是否能夠強迫他們向你提供口令。當雇員遵守政策的時候,應該對于他們良好的安全行為給予獎勵。通過遵守上述三個簡單的步驟,你將極大的提高粉碎社會工程學攻擊的能力。
教你十種方法 輕輕松松遠離垃圾郵件
[ 2007-03-25 02:55:16 | 作者: sun ]
去年的最后一個月,美國調查表明垃圾郵件數量破了歷史紀錄,占所有郵件的94%。垃圾郵件已經成了除病毒木馬之外,網絡的另一大“公害”。ITsecurity整理了十種對付垃圾郵件的方法,讓我們來看一下,因為是國外網站,是否符合我國情況還需斟酌。
1.使用郵件過濾系統
這應該是很多人常用的方法,大型郵件服務商也會提供此類服務,但是仍不夠精確。
2.使用病毒過濾系統
很多垃圾郵件利用了木馬病毒,你把病毒拒之門外,相關的垃圾郵件也就無機可乘了。
3.保護自己的郵件地址
最好把不同用途的郵箱分開,注冊那些不重要的網站論壇之類的,可以專門申請一個“雜物箱”,你不隨處暴露自己的郵箱地址,垃圾郵件通過猜測找到你的機會還是不大的。
4.測試誰在“扔垃圾”給你
如果懷疑某些站點在給你發送垃圾郵件,你可以用不同的郵箱注冊試驗一下,找出源頭之后屏蔽之
5.收到垃圾郵件之后應該怎么做
首先不要打開它,因為很可能含病毒,然后退信,這樣可能會讓有些垃圾郵件服務器端認為你的信箱已經不可用。
6.退訂(Opt-out)信件
美國的一項法案是:用戶對于任何商業郵件可采用opt-out的方式退出,而發送商業郵件的公司必須按規定明確提示該郵件屬于商業或廣告性質,并提供可讓收件人選擇退出的方式,包括可回復的地址或可進入的網站。郵件發送者一旦收到用戶的opt-out要求,必須在10天內響應,停止向該用戶繼續發送郵件。在國內可能不管用……
7.注意郵件的注冊名
一個遠離垃圾郵件的方法是選擇合適的用戶名。很多人喜歡用自己的名字或者aaa123之類的地址,這樣很容易被字典破解出來。
8.遠離危險區域
據統計,郵件病毒最多的三類站點分別是賭博、游戲和成人站,對于這些網站,要特別注意。
9.舉報
將你發現的垃圾郵件發送者舉報給相關機構,國內這一區域似乎空白,但是也可以向國外機構反映試試。
10.報復?
俗話說,君子報仇十年不晚,可以考慮用一些手段向垃圾郵件發送者發送垃圾郵件:P,當然你得小心,這種行為也可能會使你遭到法律的制裁。
1.使用郵件過濾系統
這應該是很多人常用的方法,大型郵件服務商也會提供此類服務,但是仍不夠精確。
2.使用病毒過濾系統
很多垃圾郵件利用了木馬病毒,你把病毒拒之門外,相關的垃圾郵件也就無機可乘了。
3.保護自己的郵件地址
最好把不同用途的郵箱分開,注冊那些不重要的網站論壇之類的,可以專門申請一個“雜物箱”,你不隨處暴露自己的郵箱地址,垃圾郵件通過猜測找到你的機會還是不大的。
4.測試誰在“扔垃圾”給你
如果懷疑某些站點在給你發送垃圾郵件,你可以用不同的郵箱注冊試驗一下,找出源頭之后屏蔽之
5.收到垃圾郵件之后應該怎么做
首先不要打開它,因為很可能含病毒,然后退信,這樣可能會讓有些垃圾郵件服務器端認為你的信箱已經不可用。
6.退訂(Opt-out)信件
美國的一項法案是:用戶對于任何商業郵件可采用opt-out的方式退出,而發送商業郵件的公司必須按規定明確提示該郵件屬于商業或廣告性質,并提供可讓收件人選擇退出的方式,包括可回復的地址或可進入的網站。郵件發送者一旦收到用戶的opt-out要求,必須在10天內響應,停止向該用戶繼續發送郵件。在國內可能不管用……
7.注意郵件的注冊名
一個遠離垃圾郵件的方法是選擇合適的用戶名。很多人喜歡用自己的名字或者aaa123之類的地址,這樣很容易被字典破解出來。
8.遠離危險區域
據統計,郵件病毒最多的三類站點分別是賭博、游戲和成人站,對于這些網站,要特別注意。
9.舉報
將你發現的垃圾郵件發送者舉報給相關機構,國內這一區域似乎空白,但是也可以向國外機構反映試試。
10.報復?
俗話說,君子報仇十年不晚,可以考慮用一些手段向垃圾郵件發送者發送垃圾郵件:P,當然你得小心,這種行為也可能會使你遭到法律的制裁。
