徹底保護你的網站不受RDS攻擊的威脅
[ 2007-03-25 02:39:41 | 作者: sun ]
最迅速和最徹底的取消對RDS的支持。(但是如果你確實需要RDS,那么你最好往下讀)
----------------------------------------------------------------------
-
----[ 1. 問題
RDS攻擊不是一個簡單的問題,雖然IIS 4.0存在許多各種各樣的安全漏洞,
但是微軟從來沒有為同一個安全漏洞發布過如此多的補丁程序,一共是發布了三個不同的補丁程序,但是RDS仍然存在問題。
所以我們需要的是真正掌握什么是RDS。然后你就會知道如何來自己修補
這個問題。這個問題從根本上說,是由于Jet 3.5允許調用VBA的shell()函數造成的。
該函數允許你執行外殼命令,具體的過程我想還是不詳細介紹了。
現在的問題是,IIS 4.0默認的情況下是安裝有MDAC 1.5的,它包含有RDS,
從而允許通過瀏覽器遠程訪問ODBC組件,具體的實現是通過一個位
于/msadc/msadcs.dll
的特定的dll文件來實現的。現在你應該可以明白,問題其實是由兩部分組成。其實還有個“第三者”,那就是跟隨RDS SDK包安裝附帶的例子程序組件VbBusObj,它可以允許你
饒過那些就是已經安裝了微軟發布的RDS補丁的情況。
下面將分別就上面三種情況做詳細的解決方案描述。
----[ 2. 解決方案
問題是目前有許多種方法來解決,同時這些方法還可以被不同的組合使用。
在這里盡量描述詳細。
-解決方案 #1: 移走cmd.exe (ULG推薦的補丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推薦ULG的解決方法,雖然該方法仍然存在問題。因為雖然mdac.pl是使用了
cmd.exe
來實現RDS攻擊的,但是,要知道
CMD.EXE并不是RDS攻擊方法的唯一實現途徑
-解決方案 #2: 升級MDAC 1.5 到 2.0
MDAC 2.0將Jet 3.5升級到Jet 3.52。但是仍然存在VBA shell()攻擊問題(而這恰好是
RDS攻擊的必要條件),并且默認情況下還是支持使用RDS的。事實上,就是你刪除了RDS系統還是會重新安裝的,其中一些應該注意的事情是:
* 默認的Jet引擎變成了3.52 (仍然有安全漏洞)
* 允許自定義處理 (可以解決匿名RDS使用問題)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意這種解決方法,它的默認設置不是非常好。你需要修改注冊表來限制自定義使用RDS處理。注冊表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推薦是將它的數值改成1。這其實也是使用微軟提供的補丁'handsafe.exe/.reg'完成的。
現在,你可以保護你的系統不被遠程RDS攻擊了,但是你仍然存在被ODBC其他方式攻擊的可能性,
包括Excel, Word, 和 Access木馬文件等。所以這個解決方案也有一些不足。
-解決方案 #3: 升級你的MDAC 1.5 到 2.1
MDAC 2.1 將Jet 3.5 升級到Jet 4.0引擎,這個引擎不存在RDS攻擊安全漏洞。
但是同時也印證了一個亙古不變的法則,東西越安全它的兼容性能也就越差,
由于3.5和4.0之間存在太大的差異,許多人不愿意為了這些兼容性能而升級。
因為一旦升級后許多現在正在使用的程序將完全不能夠使用。具體細節是:
* 默認的數據庫引擎為Jet 4.0 (沒有這個安全漏洞)
* 支持自定義處理 (可以禁止匿名使用RDS)
但是,自定義處理默認的情況下并不是使用的。你同樣需要象上面一樣來修改注冊表。
-解決方案 #4: 升級你的MDAC 1.5到2.0,然后再到2.1
現在,如果你是一個優秀的管理員,你應該保證你一直升級你的系統。如果你經常升級,就應該服從按順序升級的次序。雖然同樣你需要修改注冊表使
能'HandlerRequired'
,同樣由于使用了2.1的Jet 4.0(沒有漏洞)作為默認的數據庫引擎。但是由于你是通過
從2。0的升級,所以你將擁有Microsoft.Jet.OLEDB.3.51.
這意味著你的運用程序(包括RDS)對數據庫的調用情況都能夠被日志記錄下來。而那些
老版本的OLEDB是實現不了的。
你應該從注冊表中將老的hooks/providers數值去掉。一個方法是刪除下面的鍵值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面對的問題是兼容性能問題。
-解決方案 #5: 安裝JetCopkg.exe (見微軟發布的安全公告MS99-030)
JetCopkg.exe是一個修改過的Jet 3.5引擎,它增強了更多的安全特性來防止被攻擊。
它主要是對注冊表中下列鍵值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能訪問ACCESS,但是禁止其它
2 禁止訪問ACCESS,但是使能其他
3 使能一切
(詳細的解釋可以參考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默認的允許修改鍵值權限是不安全的。你必須只能夠讓有權限的
帳號才能夠修改該鍵值。不然該鍵值會帶來很多安全上的隱患。切記,切記。
只要將鍵值該成2或則3就可以將一切對RDS的攻擊拒絕了。所以,這個解決方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用擔心兼容性能的問題。并且同時你還是可以
使用RDS的,雖然已經不能夠再使用RDS進行攻擊了,但是問題是匿名使用RDS還是會將你的數據庫中的信息給
泄露出去的。所以你需要對RDS有較深入的編程基礎,我可以建議你禁止使用RDS或則將ODBC升級到
MDAC 2.0,這樣你就可以只讓有權限的人才能夠使用RDS,而拒絕匿名用戶使用。
-解決方案 #6: 刪除/禁止RDS功能
就是我在本文最開始的位置提到的方法,刪除下面這個文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的調用接口。下面是一些更詳細徹底清除RDS(如果你確信你的網站不需要該功能的話)的步驟:
* 從IIS控制臺刪除/msadc虛擬目錄
* 刪除下面的注冊表鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 刪除下面這個文件目錄
?:\Program Files\Common Files\System\Msadc
----[ 3. 情況
-情況 #1: 我確實需要RDS
首先你需要升級你的系統到MDAC 2.0。記住別忘了安裝JetCopkg,或者你直接升級到MDAC 2.1.
確保你修改了'HandlerRequired'注冊表中的數值,解釋見上。同時確保你已經刪除了所有的
RDS的例子程序。同時取消匿名帳號對/msadc目錄的訪問權限,而使用自定義帳號來進行處理。
詳細的步驟可以參考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情況 #2:我還是想使用那些例子該怎么辦?
那么唯一的方法就是你必須禁止匿名帳號對RDS的訪問權限。但是例子中的
VbBusObjcls會跳過自定義
訪問的限制,如果例子是安裝在
?:\Program Files\Common Files\System\Msadc\Samples
的話,那么你應該按照下面的步驟來解決:
*刪除下面這個目錄下所有的東西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 刪除注冊表中的鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
----------------------------------------------------------------------
-
----[ 1. 問題
RDS攻擊不是一個簡單的問題,雖然IIS 4.0存在許多各種各樣的安全漏洞,
但是微軟從來沒有為同一個安全漏洞發布過如此多的補丁程序,一共是發布了三個不同的補丁程序,但是RDS仍然存在問題。
所以我們需要的是真正掌握什么是RDS。然后你就會知道如何來自己修補
這個問題。這個問題從根本上說,是由于Jet 3.5允許調用VBA的shell()函數造成的。
該函數允許你執行外殼命令,具體的過程我想還是不詳細介紹了。
現在的問題是,IIS 4.0默認的情況下是安裝有MDAC 1.5的,它包含有RDS,
從而允許通過瀏覽器遠程訪問ODBC組件,具體的實現是通過一個位
于/msadc/msadcs.dll
的特定的dll文件來實現的。現在你應該可以明白,問題其實是由兩部分組成。其實還有個“第三者”,那就是跟隨RDS SDK包安裝附帶的例子程序組件VbBusObj,它可以允許你
饒過那些就是已經安裝了微軟發布的RDS補丁的情況。
下面將分別就上面三種情況做詳細的解決方案描述。
----[ 2. 解決方案
問題是目前有許多種方法來解決,同時這些方法還可以被不同的組合使用。
在這里盡量描述詳細。
-解決方案 #1: 移走cmd.exe (ULG推薦的補丁方法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html
我推薦ULG的解決方法,雖然該方法仍然存在問題。因為雖然mdac.pl是使用了
cmd.exe
來實現RDS攻擊的,但是,要知道
CMD.EXE并不是RDS攻擊方法的唯一實現途徑
-解決方案 #2: 升級MDAC 1.5 到 2.0
MDAC 2.0將Jet 3.5升級到Jet 3.52。但是仍然存在VBA shell()攻擊問題(而這恰好是
RDS攻擊的必要條件),并且默認情況下還是支持使用RDS的。事實上,就是你刪除了RDS系統還是會重新安裝的,其中一些應該注意的事情是:
* 默認的Jet引擎變成了3.52 (仍然有安全漏洞)
* 允許自定義處理 (可以解決匿名RDS使用問題)
* 生成 Microsoft.Jet.OLEDB.3.51* 提供
注意這種解決方法,它的默認設置不是非常好。你需要修改注冊表來限制自定義使用RDS處理。注冊表中位置是:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo\
Keyname: HandlerRequired
Value: DWORD:1 (safe) or 0 (unsafe)
推薦是將它的數值改成1。這其實也是使用微軟提供的補丁'handsafe.exe/.reg'完成的。
現在,你可以保護你的系統不被遠程RDS攻擊了,但是你仍然存在被ODBC其他方式攻擊的可能性,
包括Excel, Word, 和 Access木馬文件等。所以這個解決方案也有一些不足。
-解決方案 #3: 升級你的MDAC 1.5 到 2.1
MDAC 2.1 將Jet 3.5 升級到Jet 4.0引擎,這個引擎不存在RDS攻擊安全漏洞。
但是同時也印證了一個亙古不變的法則,東西越安全它的兼容性能也就越差,
由于3.5和4.0之間存在太大的差異,許多人不愿意為了這些兼容性能而升級。
因為一旦升級后許多現在正在使用的程序將完全不能夠使用。具體細節是:
* 默認的數據庫引擎為Jet 4.0 (沒有這個安全漏洞)
* 支持自定義處理 (可以禁止匿名使用RDS)
但是,自定義處理默認的情況下并不是使用的。你同樣需要象上面一樣來修改注冊表。
-解決方案 #4: 升級你的MDAC 1.5到2.0,然后再到2.1
現在,如果你是一個優秀的管理員,你應該保證你一直升級你的系統。如果你經常升級,就應該服從按順序升級的次序。雖然同樣你需要修改注冊表使
能'HandlerRequired'
,同樣由于使用了2.1的Jet 4.0(沒有漏洞)作為默認的數據庫引擎。但是由于你是通過
從2。0的升級,所以你將擁有Microsoft.Jet.OLEDB.3.51.
這意味著你的運用程序(包括RDS)對數據庫的調用情況都能夠被日志記錄下來。而那些
老版本的OLEDB是實現不了的。
你應該從注冊表中將老的hooks/providers數值去掉。一個方法是刪除下面的鍵值入口:
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOT\Microsoft.Jet.OLEDB.3.51Errors
但是,你仍然需要面對的問題是兼容性能問題。
-解決方案 #5: 安裝JetCopkg.exe (見微軟發布的安全公告MS99-030)
JetCopkg.exe是一個修改過的Jet 3.5引擎,它增強了更多的安全特性來防止被攻擊。
它主要是對注冊表中下列鍵值的修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\engines\SandboxMode
它的值如下:
0 禁止一切
1 使能訪問ACCESS,但是禁止其它
2 禁止訪問ACCESS,但是使能其他
3 使能一切
(詳細的解釋可以參考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注意的是,默認的允許修改鍵值權限是不安全的。你必須只能夠讓有權限的
帳號才能夠修改該鍵值。不然該鍵值會帶來很多安全上的隱患。切記,切記。
只要將鍵值該成2或則3就可以將一切對RDS的攻擊拒絕了。所以,這個解決方案是最好的。
并且由于它仍然使用的是Jet 3.5引擎,所以你不用擔心兼容性能的問題。并且同時你還是可以
使用RDS的,雖然已經不能夠再使用RDS進行攻擊了,但是問題是匿名使用RDS還是會將你的數據庫中的信息給
泄露出去的。所以你需要對RDS有較深入的編程基礎,我可以建議你禁止使用RDS或則將ODBC升級到
MDAC 2.0,這樣你就可以只讓有權限的人才能夠使用RDS,而拒絕匿名用戶使用。
-解決方案 #6: 刪除/禁止RDS功能
就是我在本文最開始的位置提到的方法,刪除下面這個文件:
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的調用接口。下面是一些更詳細徹底清除RDS(如果你確信你的網站不需要該功能的話)的步驟:
* 從IIS控制臺刪除/msadc虛擬目錄
* 刪除下面的注冊表鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 刪除下面這個文件目錄
?:\Program Files\Common Files\System\Msadc
----[ 3. 情況
-情況 #1: 我確實需要RDS
首先你需要升級你的系統到MDAC 2.0。記住別忘了安裝JetCopkg,或者你直接升級到MDAC 2.1.
確保你修改了'HandlerRequired'注冊表中的數值,解釋見上。同時確保你已經刪除了所有的
RDS的例子程序。同時取消匿名帳號對/msadc目錄的訪問權限,而使用自定義帳號來進行處理。
詳細的步驟可以參考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
-情況 #2:我還是想使用那些例子該怎么辦?
那么唯一的方法就是你必須禁止匿名帳號對RDS的訪問權限。但是例子中的
VbBusObjcls會跳過自定義
訪問的限制,如果例子是安裝在
?:\Program Files\Common Files\System\Msadc\Samples
的話,那么你應該按照下面的步驟來解決:
*刪除下面這個目錄下所有的東西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 刪除注冊表中的鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls
"熊貓燒香"告一段落 資深黑客為"灰鴿子"支招防毒
[ 2007-03-25 02:39:29 | 作者: sun ]
黑色產業鏈”說引發恐慌
沸沸揚揚的“熊貓燒香”病毒事件剛剛告一段落,一個名叫“灰鴿子”的病毒及其變種再次引發恐慌。金山公司總裁雷軍日前在接受媒體采訪時表示,“灰鴿子”背后是一條制造、販賣、培訓病毒為一體的“黑色產業鏈”。雷軍此言一出,立刻引發網民集體恐慌。
晨報記者昨日與上海信息化服務熱線反病毒工程師汪浩取得聯系,他介紹,“目前‘灰鴿子’的投訴情況尚不嚴重,據我們所知,金山公司發表此次言論,與金山公司網站被黑有關,瑞星、江民等殺毒軟件公司并未對該軟件特別重視。”據悉,從3月14日晚10時開始,不明身份黑客組成龐大的“計算機僵尸網絡”,向金山毒霸官方網站進行了瘋狂攻擊。事發3小時之后,毒霸官網才恢復正常。
金山公司公關部黃菁昨日下午告訴晨報記者,事發后,有一不明身份男子致電金山公司,自稱來自“灰鴿子工作室”,威脅金山公司程序員說“(追查)再進行下去后果自負”。隨后,金山公司發表了針對遠程控制軟件商“灰鴿子”病毒的有關言論,該工作室隨即在主頁聲明相關病毒與自己無關,認為金山公司言論屬“公關宣傳”。金山公司針對該聲明,撰文《四問“灰鴿子工作室”》進行反駁。
汪浩認為,引發這次糾紛和恐慌的病毒,并非“灰鴿子工作室”的商用軟件,而是黑客將相關軟件改成變種病毒,對金山公司網站發動攻擊。
上海網民16萬元網上被盜
上海某美資軟件公司總經理蔡中3月10日發現,自己的網上銀行賬戶中16萬余元人民幣不翼而飛。經查,被盜的款項全部被轉入云南的一個賬戶,后又被多次轉賬,目前已經“蒸發”在茫茫網海之中。有關部門認為,蔡中的電腦可能被人“安放”木馬病毒,通過“網絡后門”盜走了資金。
網絡銀行用戶在使用網銀時,均安裝了銀行方面提供的控件,但在“灰鴿子”等網絡木馬病毒泛濫的今天,控件到底能否徹底保證用戶財產的安全?昨日下午,晨報記者撥通滬上一家銀行信用卡服務熱線,客服小姐針對這一問題的回應是:銀行的安全控件并不能完全保證網銀的安全,“用戶需要就電腦殺毒軟件安裝的相關問題咨詢技術人員,保證自己的電腦不被病毒感染,否則就可能被人盜竊財產。”
客服小姐介紹,如果客戶財產被黑客盜走,公司會對資金去向進行查證,如果確定是因為病毒盜號原因造成用戶財產損失,“會給予用戶一定程度補償”。她沒有透露具體的補償金額比例。
黑客描述“灰鴿子”的厲害
昨日傍晚,資深黑客“冰刀”面對晨報記者,解析了“灰鴿子”之類木馬軟件的使用方法。“我曾經看過‘灰鴿子’的部分代碼,這個軟件在目前基本算是最厲害的木馬程序,其設計已經到了‘所見即所得’的水平,與最初的一邊‘黑’別人,一邊還要輸代碼的木馬程序有很大不同。”
“冰刀”演示說,“灰鴿子”客戶端(黑客使用端)界面的主要內容有遠程文件、控制命令、注冊表、命令廣播等部分,黑客可以每過一段時間就掃描網上的IP地址,看有多少電腦已經感染了“灰鴿子”木馬程序,然后就可以實現遠程控制功能。“幾乎就像在本地使用別人家的電腦一樣,可以實現復制、粘貼、修改、刪除等許多功能。我在本地可以看到被感染電腦的屏幕,并操縱對方的QQ程序。有一次我關掉了對方的QQ,對方居然又打開了QQ并輸入密碼,此時他的密碼立刻被我安裝的鍵盤記錄軟件傳了過來……用同樣的方法,可以盜取用戶的網絡銀行賬號等信息。”
“冰刀”經歷了網絡木馬病毒的全部發展進程,“目前的木馬程序已經比最初厲害了很多,而且種類繁多,只要一種病毒開放了代碼,很快就會被其他黑客修改成變種,最后變得不可收拾。這種情況的一個重要原因,就是各大院校學程序設計的畢業生越來越多,有些年輕人的一大興趣就是黑別人的機器!”
[黑客忠告]
多種措施防御“灰鴿子”
黑客“冰刀”介紹,用戶加強安全防范意識,必須了解病毒傳播機理。他針對“灰鴿子”的傳播方式,向晨報讀者提出了幾點防御木馬建議。
●操作系統打補丁
由于WINDOWSXP等操作系統存在許多漏洞,很容易被木馬發布者利用,因此,用戶必須及時下載操作系統補丁,這可以有效防范“灰鴿子”等木馬病毒。
●對殺毒軟件進行科學搭配
在目前的網絡環境下,一種殺毒軟件往往不能徹底防御網絡入侵。需要科學搭配殺毒軟件,目前比較有效的防毒軟件搭配是卡巴斯基+360安全衛士。
●調整IE選項
由于目前許多病毒通過IE瀏覽器的臨時文件傳播,應該把IE“internet選項”的安全、隱私防御級別調到最高。
●提高防范意識
用戶最好學習一定的計算機知識,并以此為基礎提高防范意識。感染病毒后,鼠標出現莫明其妙的移動、機器運行緩慢、出現彈出窗口,都要引起警惕。下載程序時,如果實際下載的文件大小只有幾十K,應該考慮這是否是病毒。
善于利用代碼實現對 IP 的訪問限制
[ 2007-03-25 02:39:14 | 作者: sun ]
這是以前用ASP寫的,本想改成ASP.net的給大家,后來想大家能看懂算法就行了。IP比對的關鍵是IP地址的線性化,下面就是代碼。
'可以進入的ip
'218.7.44.0 - 218.7.45.253
'61.180.240.0 - 61.180.240.253
'202.118.208.0 - 202.118.223.253
'
'218.7.44.0 3657903103
'218.7.45.253 3657903612
'
'61.180.240.0 1035268095
'61.180.240.253 1035268348
'
'202.118.208.0 3396784127
'202.118.223.253 3396788220
ip=request.servervariables("remote_addr")
sip=split(ip,".")
num=cint(sip(0))*256*256*256+cint(sip(1))*256*256+cint(sip(2))*256+cint(sip(3))-1
response.write(ip)
response.write("<br>")
if ((num>=3657903103 and num<=3657903612) or (num>=1035268095 and num<=1035268348)
or (num>=3396784127 and num<=3396788220)) then
response.write("抱歉,您的ip不合法!")
response.End()
else
response.write("您的ip合法")
end if
預防為主 防范“熊貓燒香”病毒的方法
[ 2007-03-25 02:39:01 | 作者: sun ]
“熊貓燒香”病毒不但可以對用戶系統進行破壞,導致大量應用軟件無法使用,而且還可刪除擴展名為gho的所有文件,造成用戶的系統備份文件丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟件進程,大大降低用戶系統的安全性。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數的網民深受其害。對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。技術專家還總結了以下預防措施,幫你遠離“熊貓燒香”病毒的騷擾。
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊“我的電腦”,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4、時刻保持操作系統獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護本地計算機。
對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。
對于未感染的用戶,專家建議,不要登陸不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
這幾天“熊貓燒香”的變種更是表象異常活躍,近半數的網民深受其害。對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。技術專家還總結了以下預防措施,幫你遠離“熊貓燒香”病毒的騷擾。
1、立即檢查本機administrator組成員口令,一定放棄簡單口令甚至空口令,安全的口令是字母數字特殊字符的組合,自己記得住,別讓病毒猜到就行。
修改方法:右鍵單擊“我的電腦”,選擇管理,瀏覽到本地用戶和組,在右邊的窗中,選擇具備管理員權限的用戶名,單擊右鍵,選擇設置密碼,輸入新密碼就行。
2.、利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊的窗格中選擇關閉自動播放,該配置缺省是未配置,在下拉框中選擇所有驅動器,再選取已啟用,確定后關閉。最后,在開始,運行中輸入gpupdate,確定后,該策略就生效了。
3、修改文件夾選項,以查看不明文件的真實屬性,避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點工具菜單下文件夾選項,再點查看,在高級設置中,選擇查看所有文件,取消隱藏受保護的操作系統文件,取消隱藏文件擴展名。
4、時刻保持操作系統獲得最新的安全更新,建議用毒霸的漏洞掃描功能。
5、啟用windows防火墻保護本地計算機。
對于已經感染“熊貓燒香”病毒的用戶,建議參考《熊貓燒香病毒專殺及手動修復方案》,下載其中的專釘工具進行查殺,也可手動查殺。
對于未感染的用戶,專家建議,不要登陸不良網站,及時下載微軟公布的最新補丁,來避免病毒利用漏洞襲擊用戶的電腦,同時上網時應采用“殺毒軟件+防火墻”的立體防御體系。
焚燒系統里的木馬 徹底教你防殺木馬
[ 2007-03-25 02:38:48 | 作者: sun ]
“我想,我們應該燒掉這個東西。”3000多年前,面對希臘人突然遺留在戰場廢墟上的這只巨大的木馬,特洛伊王國的小王子帕里斯對他的父王說。因為他有一種不安的感覺,這個突然出現的物體會帶來厄運。然而沒有人聽他的話,整個軍隊固執的把這只龐然大物作為戰利品運回了城里。幾天后的夜里,藏在木馬里的希臘士兵從內部打開了特洛伊那堅不可摧的城門——特洛伊因此淪陷。如果帕里斯仍有靈魂存在的話,他也許會苦苦思索這個問題:如果當初我堅持把這個帶來厄運的東西焚燒掉,那么特洛伊將會是怎樣一種結局呢?請允許我改編情感作家姜湯的一句話:“二十一世紀的網絡是木馬橫行的世界,人類在解決病毒戰爭之后,最大的困惑就是木馬后門的攻防難題。”眾所周知,木馬(Trojan,或稱后門“BackDoor”)是一種危害巨大的程序,它們讓被害的計算機對著未知的入侵者敞開了大門,使得受害者的系統和數據暴露在混亂的網絡世界里。和病毒一樣,木馬也經歷了好幾代的演變,使得它越藏越深,成為另一種難以揪除的寄生蟲。——如果,我們趁早把木馬焚燒掉呢?
認識木馬
簡言之,信息領域的木馬,就是一種能潛伏在受害者計算機里,并且秘密開放一個甚至多個數據傳輸通道的遠程控制程序,它由兩部分組成:客戶端(Client)和服務器端(Server),客戶端也稱為控制端。木馬的傳播感染其實指的就是服務器端,入侵者必須通過各種手段把服務器端程序傳送給受害者運行,才能達到木馬傳播的目的。當服務器端被受害者計算機執行時,便將自己復制到系統目錄,并把運行代碼加入系統啟動時會自動調用的區域里,借以達到跟隨系統啟動而運行,這一區域通常稱為“啟動項”。當木馬完成這部分操作后,便進入潛伏期——偷偷開放系統端口,等待入侵者連接。到此為止,木馬還只處于被特洛伊的市民拉入城內的階段,是不會進行破壞行動的。當入侵者使用客戶端連接上木馬服務器端開放的端口后,特洛伊的城門就被打開了,到這里,木馬的噩夢才正式開始……所以,在木馬屠城的軍號吹響之前,如果帕里斯及時點燃了這只龐然大物,特洛伊也許就不會消失——至少,它不會是被一只木馬給毀掉的。
阻止木馬進城——不同時期的木馬形態與相應的系統保護
特洛伊被木馬計的前提是因為特洛伊人自己把藏有希臘士兵的木馬運進了城內,讓木馬計得以成功實施,換個角度,如果當初特洛伊人任憑木馬擱在海灘上發霉發臭,或者直接焚燒了這只裝載著厄運的東西,那么“特洛伊木馬”將會被作為與“馬奇諾防線”同樣性質的著名無效戰略而被列入史冊,而且后世可能再也不會采用這種攻擊手段。但是希臘人的木馬計成功了,正如現在數以千計的現代網絡木馬計成功了一樣。現代的希臘人——入侵者積極使用各種手段讓現代的特洛伊人——受害者把那只木馬程序高高興興的領回家去。早期的防病毒思想并不盛行,那時候的網民也比較單純,使用網絡防火墻的人也只有少數,所以那時候的入侵者可以算是幸福的,他們只需要一點簡單的社會工程學手段就能把木馬程序傳輸給對方執行,這一時期的木馬種植手段(如今的普遍稱謂為“下馬”)基本上不需要牽涉到技術,也許唯一需要的技術就是如何配置和使用一個木馬,因為那時候木馬也還是個新產物而已。那時候的網民,只能依靠自己的判斷和技術,才能免受或擺脫木馬之害。因此,當木馬技術剛在國內開始的時候,任意一個IP段都有可能存在超過40%的受害計算機開放著大門等待入侵者進攻,可以毫不夸張的說,那時候是木馬的第一黃金時期,唯一美中不足的制約條件就是當時的網絡速度普遍太慢了。隨著時間的流逝,木馬技術發展日益成熟,但網民的安全意識也普遍提高,更出現了初期的病毒防火墻概念,這個時期的入侵者必須掌握更高級的社會工程學手段和初期的入侵技術才能讓對方受害了,這時期的木馬雖然隱蔽性有了相對提高,但仍然是基于客戶端尋找連接服務器端的模式。由于出現了病毒防火墻,網民判斷和查殺木馬的效率大大提高,而且大部分人也知道“人心不古”了,不再輕易接收陌生人給的程序,使得木馬不再像上時期那樣肆無忌彈的橫行,但是因為病毒防火墻是個新興產物,仍然有相對多的人沒有安裝使用,以至于許多老舊的木馬依然可以橫行無忌。再后來,隨著網絡防火墻技術誕生和病毒防火墻技術的成熟,木馬作者被迫緊跟著防病毒廠商的腳步更新他們的作品以避免馬兒過早“殉職”,同時由于網絡防火墻技術的出現,讓計算機與網絡之間不再直接,尤其是網絡防火墻實現的“攔截外部數據連接請求”與“審核內部程序訪問網絡請求”的策略,導致大部分木馬紛紛失效,這時期的木馬逐漸分裂成兩個派別:一種依然采用客戶端連接服務器端的方式,只是改為了其他傳輸途徑,如E-MAIL、FTP等,或者在內部除掉網絡防火墻,以便自己暢通無阻;另一種則改變了入侵的思維,把“客戶端連接服務器端”變為“服務器端連接客戶端”,再加上一點社會工程學技術,從而突破了網絡防火墻的限制,也因此誕生了一種新的木馬技術——“反彈型”木馬。這一時期里,入侵者與受害者之間的戰爭終于提升到技術級別,若想保護自己,除了安裝網絡防火墻和病毒防火墻,以及接觸網絡攻防技術以外別無他法,這個“基礎互動”一直保持到今天的XP時代。到了XP時代,網絡速度有了質的飛躍,黑客攻防戰更是越來越多的浮上水面,因為系統變了,一個專門為網絡應用而誕生的操作系統,必定會存在與網絡有關的缺陷。沒錯,WinXP相對于Win9x的弱點就是它的網絡漏洞太多了,無論是利用MIME漏洞傳播的信件木馬,還是通過LSASS溢出而放下的木馬,都能在XP系統上分到一塊肉。你也許會說,Win9x同樣有許多漏洞,但是為什么它沒有XP的煩惱?這是因為Win9x的網絡功能太弱了,幾乎沒有什么系統組件需要依靠網絡運行!所以現在的用戶,除了使用網絡防火墻和病毒防火墻把自己包裹得嚴嚴實實以外,還要三天兩頭去微軟的系統更新站點安裝各種漏洞修復程序……
別讓士兵們下馬!——防止木馬啟動
話說藏在木馬里的希臘士兵入城以后,并沒有急著下馬屠城,而是待到夜深人靜之時,才出來打開了牢固的城門,為特洛伊的毀滅奏響了哀歌。而計算機內部沒有人類社會的地理和時間關系,即使你的硬盤里現在就存放著100個木馬程序,它們也比特洛伊海灘上那只大木馬的處境好不到哪里去,因為對于操作系統來說,任何有害程序只要沒有運行,它就可以等同于那些未能下馬的士兵,一律視為無害。要讓系統變成特洛伊城的黑夜,唯一的方法只能是啟動木馬的服務器端,而啟動木馬的最簡單途徑,就是通過“啟動項”加載運行。任何操作系統都會在啟動時自動運行一些程序,用以初始化系統環境或額外功能等,這些被允許跟隨系統啟動而運行的程序被放置在專門的區域里供系統啟動時加載運行,這些區域就是“啟動項”,不同的系統提供的“啟動項”數量也不同,對于Win9x來說,它提供了至少5個“啟動項”:DOS環境下的Autoexec.bat、Config.sys,Windows環境下的“啟動”程序組、注冊表的2個Run項和1個RunServices項,到了2000/XP系統時代,DOS環境被取消,卻新增了一種稱之為“服務”的啟動區域,這么多的啟動入口,木馬自然不會放過,于是我們經常在一些計算機的啟動項里發現陌生的程序名,這時候就只能交由你或者病毒防火墻來判斷了,畢竟系統自身會在這里放置一些必要的初始化程序,還有一些正常工具,包括病毒防火墻和網絡防火墻,它們也必須通過啟動項來實現跟隨系統啟動。此外還有一種不需要通過啟動項也能達到跟隨系統啟動的卑劣手法,那就是“系統路徑遍歷優先級欺騙”,Windows系統搜尋一個不帶路徑信息的文件時遵循一種“從外到里”的規則,它會由系統所在盤符的根目錄開始向系統目錄深處遞進查找,而不是精確定位的,這就意味著,如果有兩個同樣名稱的文件分別放在C:\和C:\Windows下,Windows會執行C:\下的程序,而不是C:\Windows下的。這樣的搜尋邏輯就給入侵者提供了一個機會,木馬可以把自己改為系統啟動時必定會調用的某個文件名,并復制到比原文件要淺一級以上的目錄里,Windows就會想當然的執行了木馬程序,系統的噩夢就此拉開序幕。這種手法常被用于“internat.exe”,因為無論哪個Windows版本的啟動項里,它都是沒有設置路徑的。要提防這種占用啟動項而做到自動運行的木馬,用戶必須了解自己機器里所有正常的啟動項信息,才能知道木馬有沒有混進來。至于利用系統路徑漏洞的木馬,則只能靠用戶自己的細心了。為什么它無法根除?——文件并聯型木馬的查殺某些用戶經常會很郁悶,自己明明已經刪除了木馬文件和相應的啟動項,可是不知道什么時候它自己又原封不動的回來了,這還不算,更悲慘的是有時候殺掉某個木馬后,系統也出了故障:所有應用程序都打不開了。這時候,如果用戶對計算機技術的了解僅限于使用殺毒軟件,那可只能哭哭啼啼的重裝系統了!為什么會這樣?難道這種木馬還惡意修改了系統核心?其實答案很簡單,因為這種木馬修改了應用
程序(EXE文件)的并聯方式。
什么是“并聯方式”呢?在Windows系統里,文件的打開操作是通過注冊表內相應鍵值指定的應用程序來執行的,這個部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內,當系統收到一個文件名請求時,會以它的后綴名為依據在這里識別文件類型,進而調用相應的程序打開。而應用程序自身也被視為一個文件,它也屬于一種文件類型,同樣可以用其他方式開啟,只不過Windows設置它的調用程序為“"%1" %*”,讓系統內核理解為“可執行請求”,它就會為使用這種打開方式的文件創建進程,最終文件就被加載執行了,如果有另外的程序更改了這個鍵值,Windows就會調用那個指定的文件來開啟它。一些木馬程序把EXE后綴名對應的exefile類型的“打開方式”改成了“木馬程序 "%1" %*”,運行程序時系統就會先為“木馬程序”創建進程,把緊跟著的文件名作為參數傳遞給它執行,于是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調用程序,使得它可以長期駐留內存,每次都能恢復自身文件,所以在一般用戶看來,這個木馬就做到了“永生不死”。然而一旦木馬程序被刪除,Windows就會找不到相應的調用程序,于是正常程序就無法執行了,這就是所謂的“所有程序都無法運行”的情況來源,并不是木馬更改了系統核心,更沒必要因此重裝整個系統。根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序,立即停止這個程序的進程,如果它還產生了其他木馬文件的話,也一起停止,然后在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會打不開了)刪除掉所有木馬文件,把exefile的“打開方式”項(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的“”%1” %*”即可。
如果刪除木馬前忘記把并聯方式改回來,就會發現程序打不開了,這時候不要著急,如果你是Win9x用戶,請使用“外殼替換大法”:重啟后按F8進入啟動菜單選擇MS-DOS模式,把Explorer.exe隨便改個名字,再把REGEDIT.EXE改名為Explorer.exe,再次重啟后會發現進入Windows只剩下一個注冊表編輯器了,趕快把并聯方式改回來吧!重啟后別忘記恢復以前的Explorer.exe。對于Win2000/XP用戶而言,這個操作更簡單了,只要在開機時按F8進入啟動菜單,選“命令提示符的安全模式”,系統就會自動調用命令提示符界面作為外殼,直接在里面輸入REGEDIT即可打開注冊表編輯器!XP用戶甚至不需要重啟,直接在“打開方式”里瀏覽到CMD.EXE就能打開“命令提示符”界面運行注冊表編輯器REGEDIT.EXE了。
偷梁換柱——追回被盜的系統文件
除了添加自己到啟動項、路徑欺騙和更改文件并聯以外,一般的木馬還有一種計倆可以使用,那就是替換系統文件。由于如今的操作系統都是由許多文件共同構造的,并不是所有用戶都能明白系統文件夾里每個文件的作用,這就給了木馬可乘之機,它們盯上了系統里那些不會危害到系統正常運行而又經常會被調用的程序文件,像輸入法指示程序internat.exe、讓動態鏈接庫可以像程序一樣運行的rundll32.exe等。木馬先把系統原來的文件改名成只有它們自己知道的一個偏僻文件名,再把自己改名成那個被替換的文件,這樣就完成了隱藏極深的感染工作,從此只要系統需要調用那個被替換的程序進行工作,木馬就能繼續駐留內存了。那么文件被替換會不會導致系統異常呢?只要木馬沒有被刪除,就不會造成系統異常,因為木馬在作為原來的程序而被系統啟動時,會獲得一個由系統傳遞來的運行參數,這就是系統要求該程序工作的關鍵所在,木馬會直接把這個參數傳遞給被改名的程序執行,像接力比賽那樣完成數據操作,這樣在系統看來就是命令被正常執行了,自然不會出現異常。但是也因為這樣的特性導致木馬被查殺后,系統的某些命令無法傳遞到本該執行操作的程序中,反而讓系統出錯了。
要修復它其實很簡單,只要記住這個木馬的文件名,在刪除它之后再從系統光盤復制一個“原配”文件就可以了,如果沒有系統光盤,就必須通過工具追蹤木馬傳遞參數的目標程序名,再把它改回來。
結束語
木馬的發展促進了安全技術的提高,而安全技術的提高又迫使木馬必須往更高的級別發展,到現在木馬已經形成了多個派系的共存,偵測它們的方法也不能再像以前那樣簡單了,例如檢測異常端口的方法對于反彈木馬而言是無效的,它并不在本機開放端口;就算防火墻能阻止內部未授權程序訪問網絡,但那只能針對TCP/UDP協議的木馬,別忘記了還有ICMP后門的存在,防火墻通常不會阻止這類報文的。雖然ICMP協議的數據報文能完成的事情相對較少,但是對于一般的命令控制,它已經足夠了……
蠕蟲是如何通過Email、漏洞、文件共享、P2P傳播?
[ 2007-03-25 02:38:34 | 作者: sun ]
蠕蟲傳播渠道:
1、Email
這似乎是網絡中永恒的主題。簡簡單單的操作,就讓IT世界大亂。
基本傳播流程是:在宿主機器上搜集Email地址,然后向這些地址發送自身。這個過程其實很簡單,病毒作者通常考慮最多的是怎樣隱藏,怎樣感染,怎樣構造有效的Social Engineer,而不是怎樣通過網絡傳播。這讓我想起了DOS時代的病毒,其實DOS就那么點東西,但病毒考慮的不是怎樣利用DOS進行感染,而是怎樣加密,反跟蹤。
2、Web server 漏洞
這種蠕蟲,與其說是計算機病毒,倒不如說是網絡漏洞的附庸。
基本傳播流程是:在宿主機器上掃描網絡(一般是隨機產生IP),然后對每個IP進行測試,如果發現該IP上有活著的有漏洞的Server,就利用漏洞把自身傳播到該IP的機器上。
這個過程要比發送mail復雜的多,但編寫者重點放在怎樣發包,怎樣構造ShellCode。
值得一提的是,這三種頗具威力的蠕蟲,都傳說是出自中國人之手。
3、LAN,文件共享
這種感染方式,最簡單不過了,原理上,可以把共享的磁盤當作本地磁盤一樣,可以對之Copy病毒自身,或者感染其上的文件。值得注意的是,隨著Internet上的文件共享的增加,現在有越來越多的蠕蟲通過文件共享傳播。
4、感染本地文件
由于蠕蟲感染文件的復雜性,一般的蠕蟲作者往往忽略了感染本地文件,結果在被感染的系統上只有孤零零的一個病毒程序。如果大量感染本地文件,我們普通用戶的清除病毒工作難度將加大。
1、Email
這似乎是網絡中永恒的主題。簡簡單單的操作,就讓IT世界大亂。
基本傳播流程是:在宿主機器上搜集Email地址,然后向這些地址發送自身。這個過程其實很簡單,病毒作者通常考慮最多的是怎樣隱藏,怎樣感染,怎樣構造有效的Social Engineer,而不是怎樣通過網絡傳播。這讓我想起了DOS時代的病毒,其實DOS就那么點東西,但病毒考慮的不是怎樣利用DOS進行感染,而是怎樣加密,反跟蹤。
2、Web server 漏洞
這種蠕蟲,與其說是計算機病毒,倒不如說是網絡漏洞的附庸。
基本傳播流程是:在宿主機器上掃描網絡(一般是隨機產生IP),然后對每個IP進行測試,如果發現該IP上有活著的有漏洞的Server,就利用漏洞把自身傳播到該IP的機器上。
這個過程要比發送mail復雜的多,但編寫者重點放在怎樣發包,怎樣構造ShellCode。
值得一提的是,這三種頗具威力的蠕蟲,都傳說是出自中國人之手。
3、LAN,文件共享
這種感染方式,最簡單不過了,原理上,可以把共享的磁盤當作本地磁盤一樣,可以對之Copy病毒自身,或者感染其上的文件。值得注意的是,隨著Internet上的文件共享的增加,現在有越來越多的蠕蟲通過文件共享傳播。
4、感染本地文件
由于蠕蟲感染文件的復雜性,一般的蠕蟲作者往往忽略了感染本地文件,結果在被感染的系統上只有孤零零的一個病毒程序。如果大量感染本地文件,我們普通用戶的清除病毒工作難度將加大。
系統安全之解決IE被惡意修改方法總結
[ 2007-03-25 02:38:17 | 作者: sun ]
【編者按:文中出于安全原因,將“http”替換為“hxxp”!】
經常聽到別人說自己電腦的IE被惡意修改了,我也曾經經常遇到過,做事做的好好,突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通,簡單總結了下他們的方法特在此版塊發給新手門,尤其是玩黑的!大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。IE首頁的注冊表文件是放在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是hxxp://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
經常聽到別人說自己電腦的IE被惡意修改了,我也曾經經常遇到過,做事做的好好,突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通,簡單總結了下他們的方法特在此版塊發給新手門,尤其是玩黑的!大概有下面幾種解決方法吧。
一、修改IE工具欄
在一般情況下,IE首頁的修改可以通過IE工具欄里的“工具”-“Internet選項”-“常規”-“主頁”功能模塊來實現。在彈出的窗口里,用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了;如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁;至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁,這樣便于輸入網址。
二、修改注冊表
很多情況下,由于受了惡意程序的控制,或中了木馬病毒,上面的方法根本不奏效,甚至有時候,“可更改主頁”的地址欄都變成了灰色,無法再進行調整;有時候,即使你把網址改回來了,再開啟IE瀏覽器,那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話,最通常的辦法就是修改注冊表文件。我們首先啟動Windows的注冊表編輯器,具體方法是點擊Windows界面左下角的“開始”按鈕,再選擇“運行”,在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。IE首頁的注冊表文件是放在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
下的,而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例,鍵值是hxxp://www.hao123.com,它是可以修改的,用戶可以改為自己常用的網址,或是改為“about: blank”,即空白頁。這樣,你重啟IE就可以看到效果了。如果這種方法也不能奏效,那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序,就算你通過修改注冊表恢復了IE首頁,但是你一重新啟動電腦,這個程序就會自動運行再次篡改。這時候,我們需要對注冊表文件進行更多的修改,運行“regedit”,然后依次展開
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
主鍵,然后將其下的不知明的啟動子鍵值刪除,然后對應刪除其不知明的自運行程序文件,最后從IE選項中重新設置起始頁就好了。除了上面的情況外,有些IE被改了首頁后,即使設置了“使用默認頁”仍然無效,這是因為IE起始頁的默認頁也被篡改啦。對于這種情況,我們同樣可以通過修改注冊表來解決,運行“regedit”展開:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\Default_Page_URL
子鍵,然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了,或者設置為IE的默認值。
三、使用IE修復軟件
雖然修改注冊表的方法十分有效,但是對于一般的電腦用戶來說較為專業,而且編輯過程中也涉及到了比較多的英語。因此,我們在這里介紹大家使用一些專門的修復工具。一般來說,IE修復工具有兩大類。一是商業機構提供的輔助性工具,如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等,這些軟件大多捆綁在商業軟件或是工具軟件中,有些還需要付費才能夠使用。其特點是,功能強大,建議經濟實力較強的用戶使用。其中瑞星的注冊表修復工具是可以免費單獨下載的,具體的使用辦法可以參考這些軟件的幫助文件。還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項,你在這里可以查到每次開機時訪問的網站URL地址,還有一種是在啟動欄中有一個連接到本機的連接,該連接有可能是連接到一個*.js的文件,查找時要細心,左邊的選勾去掉后,再按照路徑把*.JS文件刪除,然后重新啟動系統就可以了。
教你配置Linux操作系統安全管理服務
[ 2007-03-25 02:38:01 | 作者: sun ]
任何計算機安全措施的一個重要方面是維持實際控制服務的運行。本文向你展示了在Linux操作系統的PC機上如何配置安全服務管理。
任何計算機安全措施的一個重要方面是維持實際控制服務的運行,讓不必要的網絡服務接受請求將提高系統的安全風險。即使這些網絡服務對于服務器的某些功能是必要的也需要仔細管理,并且對其進行配置最小化不受歡迎的入侵和登錄的可能性。
為Linux系統配置安全性時,使用/etc/inittab文件、runlevels和一兩個服務管理“superdaemons”如inetd或xinetd直接管理服務。
inittab
/etc/inittab文件用于系統的初始化過程啟動系統服務。在一個配置好的系統上,雖然它一般都不會包括很多服務,但是在某些Linux系統的默認安裝中會加載很多其他服務。/etc/inittab文件內容有些模糊,它的重要之處在于讓服務管理變得相對簡單。
首先,可不要通過/etc/inittab文件方式向系統啟動項中添加服務。
第二,不要移除/etc/inittab文件中第一個冒號之前其第一個字段是單精度型的數字,或整個登錄服務的前面部分。以單精度數字開頭的行可以打開TTY控制臺,所有服務在它們打開之前都一一列出,甚至列出其更重要的功能。也許有些例外情況,在不改動它時是很安全的,尤其如果不確定的情況下請不要改動。
第三,/etc/inittab在導入和runlevel選擇的時候用于過程管理。一般不用于正常的系統操作。
第四,在導入時由rc系統開始添加步驟,而不是init系統。如果看看/etc/inittab的內容,將會注意到登錄以rc0到rc6這樣的字符結束。這是初始化系統如何處理runlevels的說明。
runlevels
基于Linux操作系統的運轉可以通過runlevels進行管理。不同的runlevels被定義成有不同的行為,就像Windows操作系統一樣,它有正常操作模式、安全模式、在某些情況下還有DOS模式。
Runlevel 0用于關閉系統,如果軟電源設置恰當,它能關閉系統電源。
Runlevel 1是單用戶無網絡的模式,它用于低水平的故障修復和管理操作。
Runlevel 2到Runlevel 5正常系統操作的多用戶模式。Runlevel2和3是命令行模式,3有網絡連接而2沒有網絡連接。Runlevel 5用于啟動X Windows提供圖形用戶接口。
Runlevel 6用于系統重啟,當整個init系統甚至bootloader 需要重啟時采用它。
其他runlevels由系統管理員進行定義,但是“傳統”UNIX系統沒有此功能。這種情況下,他們不能被定義也不能被使用。
在shell處,可以輸入runlevel命令找到以前的renlevel和當前runlevel。如果沒有更改系統 runlevel ,命令的輸出結果為大寫N后面跟runlevel的數字,這里的N表示沒有前runlevel,如果要更改runlevel,可以使用init命令,后面跟想要使用到的runlevel的數字。例如,輸入init 6表示重啟系統,或init 1 進入單用戶模式。
配置runlevel的過程每一版本的情況都不同。例如,在Debian GNU/Linux系統中,位于/etc/init.d的服務腳本有來自/etc/rcN.d的路徑與它們進行鏈接,這里的N表示需要配置的runlevel數字。以字母K開頭的symlinks指示在進入runlevel時被殺死的程序,而以字母 S開頭的symlinks指示在進入runlevel時被啟動的程序。字母后面的數字值越大,從1到99,表示啟動或殺死的時間愈靠后。
大多數基于RPM的版本都采用RedHat所用到的rc系統。比起基于Debian的系統,這一系統使用更復雜的路徑結構,并且不同的基于RPM的系統之間也有很大的不同。說明書上提供了更多的關于管理runlevel的信息。
inetd
一個用于Linux后臺程序管理的“superdaemon”是眾所周知的inetd,它是個用于服務管理的命令行工具。終止服務很簡單:首先,作為根用戶用文本編輯器打開/etc/inetd.conf文件。接下來,找到文件中需要終止的服務。最后,在服務所在行的最前面添加#符號(其他還有“尖頂符”和“英鎊符”),如下所示。“注釋掉”這一行,因此inted以后都不會啟動這一服務。
編輯之前服務登錄可能是下面這樣:
ident stream tcp wait identd /usr/sbin/identd identd
停止之后,服務登錄變成下面這個樣子:
# ident stream tcp wait identd /usr/sbin/identd identd
如果正在卸載被登錄參考的后臺程序,可以刪除文件中的某些行——是否通過包管理器進行卸載或刪除執行文件卸載(對于上面的例子是/usr/sbin/identd文件)。
編輯/etc/inetd.conf文件之后,保存它,inetd以后則可以使用更改。編輯和保存一旦完成,可以在根部輸入下面的命令使更改即時生效:
kill -HUP `pidofinetd`
使用修改(保存)后的配置文件會導致inetd重啟。
xinetd
另外一個稱為xinetd的superdaemon比inetd更新穎更復雜,能完成更多的功能。但是對于關閉服務來說,他們的使用方法相似。
使用xinetd時,必須在/etc/xinetd.conf文件中添加一行關閉服務。如果只想簡單的刪除服務,必須刪除好幾行代碼而不是一行。找到想要關閉的服務所在的那一塊,在塊的后面添加“disable = yes”這一行,或者刪除整個塊。例如,如果關閉telnet服務,需要像下面這樣做。(這里的省略號代表了塊的其他內容)
service telnet
{
. . .
disable = yes
}
在某些系統中,對于某些服務,服務配置并不在/etc/xinetd.conf文件中。例如,像telnet這樣的服務有可能在文件/etc/xinetd.d/telnet中,改變其服務配置方法與它在/etc/xinetd.conf文件中的方法是一樣的。
編輯保存了/etc/xinetd.conf文件后或者更改了服務文件后,可以輸入下面的命令讓修改即時生效:
kill -USR2 `pidofxinetd`
這將通知xinetd程序,使用更改后的配置。
Xinetd除了關閉或移除服務配置之外,還可以用于控制遠程主機登錄服務。這將通過幾個機制完成:
可以為服務指定一個允許的主機。例如:可以通過在服務配置文件中添加only_from = 192.168.0.101這一行限制主機登錄telnet服務。盡管使用了詞語“only”,但是它只能限制主機的數目,而不僅僅只一臺主機。也可以使用部分地址指定完整的網絡。例如:可以使用“only_from = 192.168.0.to”表示本地Class C的任何主機都能訪問這個服務。
可以在配置文件中為某個服務指定禁止的主機。例如:可以在配置文件中添加“no_access = 192.168.0.102”這一行禁止這個主機遠程訪問telnet服務。這個也可以使用多次而且也可以使用部分地址指定多個主機。萬一某個主機滿足only_from和no_access兩個限制,則會權衡確定其訪問權限。如果xinetd不能確定哪個限制能被應用,則系統默認更安全的選項——服務不會開啟。
超越服務管理
對于安全的遠程服務訪問,還有更多的事情可以做。應該恰當配置防火墻保護服務免受攻擊。代理服務器、通過網關服務器端口推進以及網絡地址轉移都能有效減少服務攻擊的風險。針對安全使用,那些用于登錄正在運行的服務工具也應進行配置,例如,如果使用安全shell進行遠程連接而沒有使用X Server時,在SSH中調低X forwarding是很重要的。直接進行安全管理是保證Linux系統安全的重要部分,但是它也只是全面安全計劃的一部分。
任何計算機安全措施的一個重要方面是維持實際控制服務的運行,讓不必要的網絡服務接受請求將提高系統的安全風險。即使這些網絡服務對于服務器的某些功能是必要的也需要仔細管理,并且對其進行配置最小化不受歡迎的入侵和登錄的可能性。
為Linux系統配置安全性時,使用/etc/inittab文件、runlevels和一兩個服務管理“superdaemons”如inetd或xinetd直接管理服務。
inittab
/etc/inittab文件用于系統的初始化過程啟動系統服務。在一個配置好的系統上,雖然它一般都不會包括很多服務,但是在某些Linux系統的默認安裝中會加載很多其他服務。/etc/inittab文件內容有些模糊,它的重要之處在于讓服務管理變得相對簡單。
首先,可不要通過/etc/inittab文件方式向系統啟動項中添加服務。
第二,不要移除/etc/inittab文件中第一個冒號之前其第一個字段是單精度型的數字,或整個登錄服務的前面部分。以單精度數字開頭的行可以打開TTY控制臺,所有服務在它們打開之前都一一列出,甚至列出其更重要的功能。也許有些例外情況,在不改動它時是很安全的,尤其如果不確定的情況下請不要改動。
第三,/etc/inittab在導入和runlevel選擇的時候用于過程管理。一般不用于正常的系統操作。
第四,在導入時由rc系統開始添加步驟,而不是init系統。如果看看/etc/inittab的內容,將會注意到登錄以rc0到rc6這樣的字符結束。這是初始化系統如何處理runlevels的說明。
runlevels
基于Linux操作系統的運轉可以通過runlevels進行管理。不同的runlevels被定義成有不同的行為,就像Windows操作系統一樣,它有正常操作模式、安全模式、在某些情況下還有DOS模式。
Runlevel 0用于關閉系統,如果軟電源設置恰當,它能關閉系統電源。
Runlevel 1是單用戶無網絡的模式,它用于低水平的故障修復和管理操作。
Runlevel 2到Runlevel 5正常系統操作的多用戶模式。Runlevel2和3是命令行模式,3有網絡連接而2沒有網絡連接。Runlevel 5用于啟動X Windows提供圖形用戶接口。
Runlevel 6用于系統重啟,當整個init系統甚至bootloader 需要重啟時采用它。
其他runlevels由系統管理員進行定義,但是“傳統”UNIX系統沒有此功能。這種情況下,他們不能被定義也不能被使用。
在shell處,可以輸入runlevel命令找到以前的renlevel和當前runlevel。如果沒有更改系統 runlevel ,命令的輸出結果為大寫N后面跟runlevel的數字,這里的N表示沒有前runlevel,如果要更改runlevel,可以使用init命令,后面跟想要使用到的runlevel的數字。例如,輸入init 6表示重啟系統,或init 1 進入單用戶模式。
配置runlevel的過程每一版本的情況都不同。例如,在Debian GNU/Linux系統中,位于/etc/init.d的服務腳本有來自/etc/rcN.d的路徑與它們進行鏈接,這里的N表示需要配置的runlevel數字。以字母K開頭的symlinks指示在進入runlevel時被殺死的程序,而以字母 S開頭的symlinks指示在進入runlevel時被啟動的程序。字母后面的數字值越大,從1到99,表示啟動或殺死的時間愈靠后。
大多數基于RPM的版本都采用RedHat所用到的rc系統。比起基于Debian的系統,這一系統使用更復雜的路徑結構,并且不同的基于RPM的系統之間也有很大的不同。說明書上提供了更多的關于管理runlevel的信息。
inetd
一個用于Linux后臺程序管理的“superdaemon”是眾所周知的inetd,它是個用于服務管理的命令行工具。終止服務很簡單:首先,作為根用戶用文本編輯器打開/etc/inetd.conf文件。接下來,找到文件中需要終止的服務。最后,在服務所在行的最前面添加#符號(其他還有“尖頂符”和“英鎊符”),如下所示。“注釋掉”這一行,因此inted以后都不會啟動這一服務。
編輯之前服務登錄可能是下面這樣:
ident stream tcp wait identd /usr/sbin/identd identd
停止之后,服務登錄變成下面這個樣子:
# ident stream tcp wait identd /usr/sbin/identd identd
如果正在卸載被登錄參考的后臺程序,可以刪除文件中的某些行——是否通過包管理器進行卸載或刪除執行文件卸載(對于上面的例子是/usr/sbin/identd文件)。
編輯/etc/inetd.conf文件之后,保存它,inetd以后則可以使用更改。編輯和保存一旦完成,可以在根部輸入下面的命令使更改即時生效:
kill -HUP `pidofinetd`
使用修改(保存)后的配置文件會導致inetd重啟。
xinetd
另外一個稱為xinetd的superdaemon比inetd更新穎更復雜,能完成更多的功能。但是對于關閉服務來說,他們的使用方法相似。
使用xinetd時,必須在/etc/xinetd.conf文件中添加一行關閉服務。如果只想簡單的刪除服務,必須刪除好幾行代碼而不是一行。找到想要關閉的服務所在的那一塊,在塊的后面添加“disable = yes”這一行,或者刪除整個塊。例如,如果關閉telnet服務,需要像下面這樣做。(這里的省略號代表了塊的其他內容)
service telnet
{
. . .
disable = yes
}
在某些系統中,對于某些服務,服務配置并不在/etc/xinetd.conf文件中。例如,像telnet這樣的服務有可能在文件/etc/xinetd.d/telnet中,改變其服務配置方法與它在/etc/xinetd.conf文件中的方法是一樣的。
編輯保存了/etc/xinetd.conf文件后或者更改了服務文件后,可以輸入下面的命令讓修改即時生效:
kill -USR2 `pidofxinetd`
這將通知xinetd程序,使用更改后的配置。
Xinetd除了關閉或移除服務配置之外,還可以用于控制遠程主機登錄服務。這將通過幾個機制完成:
可以為服務指定一個允許的主機。例如:可以通過在服務配置文件中添加only_from = 192.168.0.101這一行限制主機登錄telnet服務。盡管使用了詞語“only”,但是它只能限制主機的數目,而不僅僅只一臺主機。也可以使用部分地址指定完整的網絡。例如:可以使用“only_from = 192.168.0.to”表示本地Class C的任何主機都能訪問這個服務。
可以在配置文件中為某個服務指定禁止的主機。例如:可以在配置文件中添加“no_access = 192.168.0.102”這一行禁止這個主機遠程訪問telnet服務。這個也可以使用多次而且也可以使用部分地址指定多個主機。萬一某個主機滿足only_from和no_access兩個限制,則會權衡確定其訪問權限。如果xinetd不能確定哪個限制能被應用,則系統默認更安全的選項——服務不會開啟。
超越服務管理
對于安全的遠程服務訪問,還有更多的事情可以做。應該恰當配置防火墻保護服務免受攻擊。代理服務器、通過網關服務器端口推進以及網絡地址轉移都能有效減少服務攻擊的風險。針對安全使用,那些用于登錄正在運行的服務工具也應進行配置,例如,如果使用安全shell進行遠程連接而沒有使用X Server時,在SSH中調低X forwarding是很重要的。直接進行安全管理是保證Linux系統安全的重要部分,但是它也只是全面安全計劃的一部分。
如何防范自己的IP被攻擊
[ 2007-03-25 02:37:47 | 作者: sun ]
在正式進行各種“黑客行為”之前,黑客會采取各種手段,探測(也可以說“偵察”)對方的主機信息,以便決定使用何種最有效的方法達到自己的目的。來看看黑客是如何獲知最基本的網絡信息——對方的ip地址;以及用戶如何防范自己的ip泄漏。
獲取ip
“ip”作為net用戶的重要標示,是黑客首先需要了解的。獲取的方法較多,黑客也會因不同的網絡情況采取不同的方法,如:在局域網內使用ping指令,ping對方在網絡中的名稱而獲得ip;在internet上使用ip版的qq直接顯示。而最“牛”,也是最有效的辦法是截獲并分析對方的網絡數據包。這是用windows 2003的網絡監視器捕獲的網絡數據包,可能一般的用戶比較難看懂這些16進制的代碼,而對于了解網絡知識的黑客,他們可以找到并直接通過軟件解析截獲后的數據包的ip包頭信息,再根據這些信息了解具體的ip。
隱藏ip
雖然偵察ip的方法多樣,但用戶可以隱藏ip的方法同樣多樣。就拿對付最有效的“數據包分析方法”而言,就可以安裝能夠自動去掉發送數據包包頭ip信息的一些軟件。不過使用這些軟件有些缺點,譬如:它耗費資源嚴重,降低計算機性能;在訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶采用最普及隱藏ip的方法應該是使用代理,由于使用代理服務器后,“轉址服務”會對發送出去的數據包有所修改,致使“數據包分析”的方法失效。一些容易泄漏用戶ip的網絡軟件(qq、msn、ie等)都支持使用代理方式連接internet,特別是qq使用“ezproxy”等代理軟件連接后,ip版的qq都無法顯示該ip地址。這里筆者介紹一款比較適合個人用戶的簡易代理軟件——網絡新手ip隱藏器,只要在“代理服務器”和“代理服務器端”填入正確的代理服務器地址和端口,即可對http使用代理,比較適合由于ie和qq泄漏ip的情況。
不過使用代理服務器,同樣有一些缺點,如:會影響網絡通訊的速度;需要網絡上的一臺能夠提供代理能力的計算機,如果用戶無法找到這樣的代理服務器就不能使用代理(查找代理服務器時,可以使用“代理獵手”等工具軟件掃描網絡上的代理服務器)。
雖然代理可以有效地隱藏用戶ip,但高深的黑客亦可以繞過代理,查找到對方的真實ip地址,用戶在何種情況下使用何種方法隱藏ip,也要因情況而論。
另外防火墻也可以在某種程度上使用ip的隱藏,如zonealarm防火墻就有一個隱藏在網上的ip的功能。
獲取ip
“ip”作為net用戶的重要標示,是黑客首先需要了解的。獲取的方法較多,黑客也會因不同的網絡情況采取不同的方法,如:在局域網內使用ping指令,ping對方在網絡中的名稱而獲得ip;在internet上使用ip版的qq直接顯示。而最“牛”,也是最有效的辦法是截獲并分析對方的網絡數據包。這是用windows 2003的網絡監視器捕獲的網絡數據包,可能一般的用戶比較難看懂這些16進制的代碼,而對于了解網絡知識的黑客,他們可以找到并直接通過軟件解析截獲后的數據包的ip包頭信息,再根據這些信息了解具體的ip。
隱藏ip
雖然偵察ip的方法多樣,但用戶可以隱藏ip的方法同樣多樣。就拿對付最有效的“數據包分析方法”而言,就可以安裝能夠自動去掉發送數據包包頭ip信息的一些軟件。不過使用這些軟件有些缺點,譬如:它耗費資源嚴重,降低計算機性能;在訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶采用最普及隱藏ip的方法應該是使用代理,由于使用代理服務器后,“轉址服務”會對發送出去的數據包有所修改,致使“數據包分析”的方法失效。一些容易泄漏用戶ip的網絡軟件(qq、msn、ie等)都支持使用代理方式連接internet,特別是qq使用“ezproxy”等代理軟件連接后,ip版的qq都無法顯示該ip地址。這里筆者介紹一款比較適合個人用戶的簡易代理軟件——網絡新手ip隱藏器,只要在“代理服務器”和“代理服務器端”填入正確的代理服務器地址和端口,即可對http使用代理,比較適合由于ie和qq泄漏ip的情況。
不過使用代理服務器,同樣有一些缺點,如:會影響網絡通訊的速度;需要網絡上的一臺能夠提供代理能力的計算機,如果用戶無法找到這樣的代理服務器就不能使用代理(查找代理服務器時,可以使用“代理獵手”等工具軟件掃描網絡上的代理服務器)。
雖然代理可以有效地隱藏用戶ip,但高深的黑客亦可以繞過代理,查找到對方的真實ip地址,用戶在何種情況下使用何種方法隱藏ip,也要因情況而論。
另外防火墻也可以在某種程度上使用ip的隱藏,如zonealarm防火墻就有一個隱藏在網上的ip的功能。
安全的動力——殺毒軟件引擎技術之窺探
[ 2007-03-25 02:37:30 | 作者: sun ]
一. 群雄逐鹿的殺毒軟件市場
學校機房新購入了一批電腦,負責安裝應用程序的李老師在殺毒軟件的選擇上犯了難,由于機房環境的復雜,如果不安裝殺毒軟件,勢必會因為使用者帶來運行的媒體介質感染了病毒而造成系統癱瘓或交叉感染,無論出現哪種情況都會影響上課進度和效率;但是,如果安裝的殺毒軟件功能不夠強大,無法及時更新數據,一樣不能防止病毒造成破壞。李老師考慮再三,還是決定來到電腦市場購買正版殺毒軟件,但是面對市場上眾多品牌的殺毒軟件,他又犯了難:瑞星、金山、江民、Norton、趨勢、熊貓、卡巴斯基、McAfee……每一款殺毒產品都具備它自己的優缺點和特色,我該選擇哪一種呢?
二. 從病毒原理說開去
病毒的定義和行為特征
在這個年代里,計算機病毒(Computer Virus)已經是家喻戶曉的名詞了,而其在業界里也早已有了定義:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用,并能夠自我復制的一組計算機指令或者程序代碼,它可以是一個程序,一段執行代碼,像生物病毒一樣有獨特的復制能力,可以很快蔓延。他們能把自身附著在各種類型的文件上,隨文件的傳播而蔓延。現在隨著計算機網絡的發展,病毒和網絡技術結合,蔓延的速度更加迅速。計算機病毒具有可執行性、寄生性、傳染性、破壞性、欺騙性、隱蔽性、潛伏性、衍生性。
以上便是早期就已經定義好的計算機病毒概念,而如今可稱為病毒的,還有各種不會感染文件的特洛伊木馬程序(后門)等(Trojan、BackDoor),大部分特洛伊木馬除了不具備對文件的傳染性以外,其他特征均與病毒符合,而且一部分文件型特洛伊木馬還可感染文件。此外,還有一種通過系統漏洞進行傳播的惡意程序或“蠕蟲”(Worm),利用系統自帶的腳本語言功能實現破壞效果的宏病毒和惡意腳本(Macro Virus、Evil Script),因此,文中將把木馬后門、蠕蟲、宏病毒和傳統文件型病毒等統稱為“病毒”。
自我復制
病毒的基本動作是復制自身,文件型病毒會把自身插入正常程序文件內部以便程序每次執行時連病毒代碼也一并執行,惡意程序或木馬后門會將自身復制到系統目錄,然后通過多種途徑令系統在啟動時執行病毒體文件,但是無論是哪種病毒的復制行為,其最終目的都只有一個:潛伏到用戶計算機內,伺機執行各種危害操作。
病毒在執行復制行為時必須隱蔽,否則它會輕易被稍有經驗的用戶發現,因此不同的病毒都會采取各種手段來實現其隱蔽目的,但是無論它們的表現形式如何,最終都可歸納為兩種形式:寄生和欺騙。
寄生
這是文件型病毒的傳播方式,文件型病毒的成品一般沒有自己的獨立程序體,它們通過受感染的可執行文件進行傳播。當用戶執行一個感染了文件型病毒的程序時,由于原程序的執行入口已經被破壞,因此病毒代碼會首先得到執行,將自身載入內存中,成為一個“駐留程序”(TSR),根據病毒作者的破壞性差異,病毒可能僅僅停留在內存空間里等待用戶執行程序時進行感染操作,也可能會主動出擊,搜索用戶計算機上符合感染條件的可執行文件進行感染。
較普通的文件型病毒會將自身代碼放置到受感染文件的頭部或尾部,而后修改文件頭部的執行入口指向自身代碼起始段,以達到自身先于受感染程序執行的目的,當病毒在入內存后,才會去調用受感染文件的真正執行入口,讓受感染文件能夠運行,這樣用戶才不會起疑心。在早期的感染模式里,文件型病毒通常會主動搜索感染可執行文件,甚至因為感染失敗而導致文件損壞的事情也常有發生,而自從微軟在Windows 2000開始引入“系統文件校驗”技術后,主動搜索可執行文件進行感染的病毒寄生技術便因為導致系統不斷出現“系統文件遭遇替換”的警告而逐漸退出舞臺,繼而換成守株待兔類型的等待程序執行后進行感染的被動寄生方式。較新的文件型病毒還會采取不感染系統文件的政策,讓用戶無論如何都難以發現文件被感染的痕跡。
但是直接把自身簡單的插入文件首尾的寄生方式會導致文件體積和修改日期的變化,因此高級的病毒會自動根據目標文件內部的“無用”空間分配情況來將自身代碼分段插入文件體內,并修改文件日期為原始日期,如此一來便加大了檢測和查殺的難度。這一技術得以實現的原因是PE規范的特點:PE文件的每個節之間留有按簇大小對齊后的空洞,病毒體如果足夠小則可以將自身分成幾份并分別插入到每個節最后的空隙中,這樣就不必額外增加一個節,因而文件大小保持不變,能做到這種形式的病毒體積必須十分小巧,否則它會把文件破壞掉的。當文件被執行時,病毒通過初始化代碼的復雜計算將自身全部代碼恢復連貫載入內存,繼續完成下一次感染過程。
欺騙
并非所有病毒(注意此文的“病毒”所指范圍)都是文件型的,例如特洛伊木馬、蠕蟲和惡意程序等,那么它們如何將自身隱蔽呢?這就要用到欺騙了。所謂欺騙,就是利用各種手段將自身執行文件植入系統,而不被用戶輕易察覺,即使被發現,也難以判斷真偽或者無法徹底刪除,從最初的簡單設置文件屬性為隱藏,到現在的偽裝系統核心文件、DLL形式,甚至驅動程序類型的隱藏,病毒技術的不斷發展使得手工查殺增加了難度。
破壞
一個程序是否具備破壞性是衡量它是否屬于病毒的一個重要標準,病毒的破壞是多種多樣的,其實在它們進行寄生或欺騙操作時就已經對被感染的文件、以及受害計算機的環境完整性形成一定的破壞了,由于病毒需要駐留內存進行感染操作,直接導致的影響就是磁盤讀寫增加,計算機響應遲鈍,更有甚者為了取得最高的響應速度,而修改系統正常的優先級設置讓自己達到最高等級,從而導致系統效率嚴重下降。然而這還不是真正可怕的,當病毒發作時,可能會破壞你的文件檔案,或者敞開計算機大門讓入侵者隨意進出,甚至通過特殊的軟件讀寫達到破壞計算機硬件的目的。
三. 剖析殺毒軟件的心臟——引擎技術
病毒和反病毒產品是天生的冤家,由于病毒永無休止的存在,反病毒產品這片領域自然也會出現眾多廠商來分割的局面,因此也就銜生出了多種殺毒引擎技術。
殺毒引擎是決定一款殺毒軟件技術是否成熟可靠的關鍵,什么是殺毒引擎呢?簡言之,它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術機制,引擎不僅需要具備判斷病毒的能力,還必須擁有足夠的病毒清理技術和環境恢復技術,如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復,那它也只能是雞肋。為了達到查殺病毒的目的,殺毒引擎自身要實施的行為就要比病毒還病毒,例如,為了及時獲得環境變動的監控數據,一些殺毒引擎采用DLL的鉤子技術將自身注入系統進程中,這一行為和DLL木馬無異;而為了成功攔截查殺驅動級別木馬Rootkit,殺毒引擎更需要將自身的一部分作為驅動形式運行,以便進入系統內核領域……說到這里,一些計算機配置較低的用戶應該能明白,為什么自己安裝殺毒軟件后計算機速度明顯變慢了,這多半是因為殺毒軟件的“文件監控”等功能導致的,因為這一功能的實現原理就如文件型病毒的寄生過程一樣,只不過文件型病毒是守候在內存中伺機感染每一個打開的文件,而“文件監控”功能是時刻駐守在內存里檢查每一個打開的文件是否存在病毒,兩者導致的后果都是程序載入內存的時間增加,在低配置的計算機表現得比較明顯罷了。
由于以上提到的原因,殺毒軟件是會不可避免的對用戶計算機運行速度造成一定影響的,但是為了安全,大部分用戶只能犧牲一點工作效率來換取安全了,那么,殺毒引擎的具體實現過程又是如何呢?且讓我們來對其窺探一番。
1.守住每一個關卡——程序行為捕獲
每個程序運行時都需要進行各種交互動作,如收發網絡數據、響應某個觸發事件、文件讀寫操作等,這些交互都被稱為“行為”(Action),這個周期過程是可以被跟蹤記錄的,這就是殺毒引擎必須干涉的第一步,當殺毒軟件的環境監視模塊啟動后,它會嵌入系統的操作接口,使得任何非核心程序和除了殺毒軟件自身程序的運作過程都要被它實時監視,這一技術通常通過鉤子技術和驅動層掛載實現,每個殺毒軟件廠商都預先定義了一套病毒行為判斷規范,即在一個給定的范圍和置信度下,判斷相關操作是否為合法。例如一個代碼執行后被發現試圖將自己寫入用戶請求執行的程序文件體內、或進行特定的復制動作和添加注冊表操作,則可將其懷疑為病毒,移交給查毒過程的第二步進一步判斷處理。
為了實現行為捕獲操作,殺毒軟件引擎必須將自身模塊嵌入系統底層,在這個實現方法上,各大廠商都有自己的一套方案,一般廠商普遍采用的是中間件技術,即通過Hook掛鉤方式實現對每個進程的訪問,這種方案通過在系統底層與應用程序之間嵌入一個全局鉤子DLL模塊達到目的,從嚴格上來說,它的相對安全和穩定性較低,但是在源代碼不開放的操作系統層面上,這是最簡單的方法。
一部分廠商因為與操作系統廠商存在合作關系,因而獲得了較其他廠商殺毒產品要高的操作系統特權,所以他們采用的方案是基于系統最底層的系統核心驅動,這種實現方式是最安全的,或者說最高級的實現方式,至今只有Norton獲得了這個特權。隨著病毒技術逐漸滲透到Rootkit層次,過去的Hook技術逐漸有點力不從心,于是殺毒廠商開始轉入驅動方案,當然,由于沒有操作系統廠商的授權,他們并無法實現最底層的核心驅動解決方案,于是殺毒廠商編寫了一個稱為“軟件驅動”的中間件,用于在系統中產生一個虛擬硬件。眾所周知,在操作系統中,只有驅動模塊能通過一個“硬件抽象層(HAL)”的通訊接口而到達系統底層,如今流行的Rootkit木馬也是采用驅動形式進入系統核心的,因此殺毒廠商使用“軟件驅動”來實現底層監視的方案是要比一般的Hook技術效果顯著的,但是這也不可避免會出現一些問題,如果這個“軟件驅動”存在缺陷或者被某些程序異常終止(例如出現未預料的錯誤),在系統底層無任何保護措施的環境下,最直接的一個后果就是系統藍屏崩潰,造成可能的損失。
引用(小知識:系統的幾個“層”)
操作系統作為一個復雜的運作體系,其內部是必須實現一定的功能模塊來進行分工合作的,這些功能模塊像金字塔一樣層層堆積,形成了系統的幾個“層”,分別是系統核心層、硬件抽象層、用戶層。
系統核心層(Kernel Layer)位于整個操作系統的最底層,負責系統的基本運作,在這一層里的所有行為都由系統內置的指令來實現,所有外界因素都不會對這一處的行為造成影響。能直接進入這個層交互的程序不多,除了操作系統自身,第三方廠商若要能在此層直接工作,必須和系統廠商建立合作關系,使用系統廠商提供的接口函數才能進入。目前能在這個層面直接工作的殺毒軟件只有賽門鐵克的Norton AntiVirus。
硬件抽象層(Hardware Abstraction Layer)是美國微軟公司為了便于操作系統在不同硬件結構上進行移植而提出的將系統底層與硬件相關的部分獨立運作的思想,HAL為系統實現了“硬件無關性”,即在不同的硬件平臺上,硬件與操作系統的交互也不會有所差異,這樣一來,硬件廠商開發驅動的難度便能大大降低,HAL將硬件的接口細節隱藏起來,并為操作系統提供一個標準硬件交互接口,目前所有的硬件驅動都工作在這個層面上,當外界硬件存在指令請求時,驅動程序響應請求并將指令通過HAL轉換為系統核心層能理解的指令交給內核執行,如果未找到相應的驅動程序類型,則將其視為“默認硬件”(Default Hardware)處理,什么叫“默認硬件”呢?最簡單的例子就是進入安全模式,這時候大部分驅動程序不會被加載,此時的系統便是工作于“默認硬件”上。大部分使用“軟件驅動”解決方案的殺毒軟件就是在HAL層上虛擬了一個硬件來達到與核心層交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通過這個方案實現了內核交互。
用戶層(User Layer)就是平時我們直接看到的部分,例如桌面,大部分殺毒軟件也是在這一層運行的,主要用于用戶接口交互和將指令傳遞到殺毒引擎。一般運行于Ring3的程序行為也產生于此,一個應用程序產生的指令要求首先被傳遞到HAL層,HAL層將其解釋處理為核心層可以識別的指令串,然后提交給核心層最后進入CPU的指令處理循環,CPU處理完畢后將結果反向送回到用戶層上的應用程序,最終得到運算結果。
2.檢測的核心——基于引擎機制的規則判斷
這一步環節可以稱之為病毒判斷的核心階段,一個好的殺毒引擎能在這個階段識別出相當規模的病毒,其原理是在引擎中內置一部分病毒的特征代碼,稱為“基于特征碼的靜態掃描技術”,即殺毒引擎直接在文件中查找自身攜帶的特征代碼,力求盡量在這一步發現病毒。早期的計算機用戶應該記得,當初的殺毒產品并沒有非常大的病毒特征數據庫,甚至KV300+的所謂病毒特征數據庫還是ASCII格式的,并由用戶自己手工加入,僅僅作為一種簡單的擴充手段來運作而已,這是因為KV300+的主程序內就已經包含了當時各種流行病毒的特征碼。
但是如今由于網絡普及和計算機技術發展,病毒攻勢鋪天蓋地而來,如果單純靠殺毒引擎自身攜帶病毒特征代碼,將會造成主程序體積過于龐大而無法高效率運行,且升級麻煩等難點,因而殺毒引擎不得不將病毒特征庫從自身脫離開來,形成獨立的病毒數據庫結構來與自身保持聯系,這就是“基于特征碼的靜態掃描技術”的擴展產物:病毒特征代碼數據庫。
3.在翰林辭典中穿梭——引擎與病毒特征庫的交互
由于上述原因,如今的殺毒軟件已經不得不采用外部數據庫連接的方法來達到識別病毒的效果,病毒特征代碼數據庫中以特定格式儲存了各種病毒的行為標識和靜態代碼,在工作時,殺毒引擎需要將捕獲到的程序行為轉換為它自身可以識別的行為標識和靜態代碼,然后進入病毒特征代碼數據庫中查詢并期待其返回查詢結果,因此這個步驟是整個殺毒過程中最慢的,但是不可否認,當前的殺毒軟件對大量病毒的識別都是在這個階段完成的。因此一個足夠龐大的病毒庫往往能夠彌補殺毒引擎的不足之處,但是當今病毒越發復雜和繁多,如此長期以往,病毒特征庫將會有一天過于臃腫而導致不良后果,要解決這個問題,只能在核心技術上盡量實現將病毒檢測工作在第二步完成,只可惜在當前我們仍然沒有能夠實現這個想法的殺毒引擎技術,因此如今的殺毒軟件或多或少都依賴著一個幾十MB的病毒特征庫來維持工作,殺毒廠商在殺毒引擎核心未進行關鍵修改時發布的病毒更新其實也就是為了往這個特征數據庫中添加最新發現的病毒數據,以達到查殺新病毒的作用。
“基于特征碼的靜態掃描技術”的最大弱點在于它無法發現和查殺“未公開”或“未收錄”的病毒,由于它的大部分判斷依據來自病毒特征代碼數據庫,一旦用戶被感染了病毒中的“0day”或“私人后門”,殺毒軟件就無能為力,甚至落得個被病毒終結運行的下場,當然,由于殺毒軟件自身的校驗機制,一般不會有病毒愚蠢到去感染殺毒軟件,但是如果一個殺毒軟件被病毒終止了,它就無法對用戶的計算機實施病毒防護了,但是如何判斷阻止由病毒發出的關閉指令,而不影響用戶正常點擊殺毒軟件自身提供的“退出”功能,這也是個難題。
一部分殺毒引擎會通過自身的病毒行為判斷規范來“懷疑”某些未收錄在數據庫中的程序為病毒,并詢問用戶需要什么解決方案,一般情況下,殺毒軟件最折衷的默認解決方案是將被懷疑動機不純的程序文件改名備份到一個被稱為“隔離區”的文件夾中,然后將該原始文件銷毀。這樣做或許能達到查殺未知病毒的目的,但是我們也不能忽視其可能帶來的嚴重后果,例如某個關鍵文件或重要文檔感染了病毒,如果殺毒軟件不由分說就將其消滅,那就很可能引發系統崩潰甚至經濟損失,因為一個健全穩妥的查殺過程和環境恢復是很重要的。
4.月光寶盒——病毒查殺和系統環境恢復
當殺毒引擎檢測到病毒時,需要分為兩種情況對待,首先是尚未來得及進行感染或破壞行為的病毒,在這種情況下殺毒引擎只需要簡單刪除文件就可以了,但是日常操作中用戶面臨最多的還是已經被病毒實施感染破壞行為后的系統環境,在這種情況下,殺毒引擎必須在使用適當的方式查殺病毒后,根據病毒特征庫中記錄的病毒行為來智能判斷當前系統環境遭受破壞的情況并進行恢復,例如對于受病毒感染的文件,殺毒引擎必須根據一定的算法在文件體內找出病毒代碼寄生的部分并給予清除,這個過程必須非常謹慎,否則直接的后果就是導致原文件被破壞,這樣的殺毒就毫無意義了。而對于非文件型的木馬和惡意程序,由于它們會通過各種方式篡改系統注冊表甚至系統文件來達到加載自身之目的,殺毒引擎在清除了這些病毒后能否準確有效的恢復受破壞的系統環境,就是對殺毒引擎的最大挑戰。病毒隱藏技術已經從最初的簡單加載單一啟動項,演化到今天的多重啟動項、進程互相保護、線程監視、遠程注射、可執行文件關聯、服務項目加載、驅動形式加載等方式,甚至采用多項結合的方法,使得查殺工作變得十分困難,甚至只要遺漏了一個文件未能清除,病毒便能卷土重來,因此,如何有效準確的判斷和修復受損環境,也是衡量殺毒引擎技術是否成熟的關鍵。
以上說的是殺毒引擎完整工作過程的原理,那么,它所采取的技術有哪些呢?目前,主流的技術有兩種:虛擬機技術、實時監控技術。除此之外,還有兩種最新的技術仍在試驗階段,分別是智能碼標識技術和行為攔截技術。
1.虛擬機技術
一提起虛擬機,部分讀者可能就會聯想到VMWare去了,然而這里提到的虛擬機并非如此。在反病毒界里,虛擬機也被稱為通用解密器,已經成為反病毒軟件中最重要的部分之一。殺毒引擎的虛擬機技術并非是為病毒提供一套計算機仿真系統,讓其在內部折騰直到暴露出病毒行為特征,在這里的虛擬機是指殺毒引擎模擬出一個仿真CPU,這個“CPU”具備和真正CPU等同的指令分析功能,殺毒引擎將待檢測的程序代碼讀入“CPU”中逐條指令循環執行,直到出現特定情況才結束工作,在這個過程中探知程序是否具備病毒行為特征或者暴露出病毒特征碼。這就是殺毒引擎的“虛擬機技術”,它的目的就是讓程序文件在沒有實際運行的情況下得到運行后的結果,最初虛擬機技術是為了對付變形病毒而產生的,因為變形病毒會將自身代碼以一定的方式進行多次變換,這樣傳統靜態特征碼掃描技術就對其無能為力,因為它根本無法確認特征碼,但是即使再強悍的變形病毒也不可避免在運行時出現一段相對固定的機器碼,否則它自身也無法正常運行完成變形過程,而由于這段機器碼只有在運行時才能被捕獲到,因此工程師開發了“虛擬機技術”誘使病毒在殺毒引擎產生的“CPU”里盡情運行,而后根據其固定機器碼匹配病毒特征數據庫中的靜態特征來判斷這個程序是否病毒。雖然這個技術可能會導致誤報,但是仍不能否認其是一種有效的方法。
2.實時監控技術
實時監控技術,說白了其實就是一個文件監視器,它會在文件打開、關閉、修改等操作時將其攔截并送入查毒模塊進行分析,而在如今的操作系統中要實現對所有文件操作的攔截并非易事,這需要涉及系統核心,因此,這里所采取的方案原型,就是“軟件驅動”。通過驅動進入核心,便能獲知每個文件的操作情況并做出反應了。這項技術的難度在于驅動代碼的編寫,由于內核沒有異常處理過程,在這里執行的代碼稍有一點錯漏都能直接導致系統崩潰,且驅動與用戶層的實時交互也需要一套復雜的實現方案,因此只有一定實力的廠家才實現這項技術,且實現了這項技術的廠家大部分都會連同虛擬機技術、靜態特征碼掃描技術一起結合起來,最終形成自己的產品。
四. 結語
許多用戶都在挑選殺毒軟件時犯難,實際上,如果拋開許多表面上的東西,殺毒軟件的引擎實現技術也就那么幾個,關鍵在于殺毒廠商的研發能力和實際工作效率,也不能只憑殺毒軟件在對付某種病毒的差別上就斷定它們之間的地位差異。符合自己使用的,就是最好的。
學校機房新購入了一批電腦,負責安裝應用程序的李老師在殺毒軟件的選擇上犯了難,由于機房環境的復雜,如果不安裝殺毒軟件,勢必會因為使用者帶來運行的媒體介質感染了病毒而造成系統癱瘓或交叉感染,無論出現哪種情況都會影響上課進度和效率;但是,如果安裝的殺毒軟件功能不夠強大,無法及時更新數據,一樣不能防止病毒造成破壞。李老師考慮再三,還是決定來到電腦市場購買正版殺毒軟件,但是面對市場上眾多品牌的殺毒軟件,他又犯了難:瑞星、金山、江民、Norton、趨勢、熊貓、卡巴斯基、McAfee……每一款殺毒產品都具備它自己的優缺點和特色,我該選擇哪一種呢?
二. 從病毒原理說開去
病毒的定義和行為特征
在這個年代里,計算機病毒(Computer Virus)已經是家喻戶曉的名詞了,而其在業界里也早已有了定義:計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據影響計算機使用,并能夠自我復制的一組計算機指令或者程序代碼,它可以是一個程序,一段執行代碼,像生物病毒一樣有獨特的復制能力,可以很快蔓延。他們能把自身附著在各種類型的文件上,隨文件的傳播而蔓延。現在隨著計算機網絡的發展,病毒和網絡技術結合,蔓延的速度更加迅速。計算機病毒具有可執行性、寄生性、傳染性、破壞性、欺騙性、隱蔽性、潛伏性、衍生性。
以上便是早期就已經定義好的計算機病毒概念,而如今可稱為病毒的,還有各種不會感染文件的特洛伊木馬程序(后門)等(Trojan、BackDoor),大部分特洛伊木馬除了不具備對文件的傳染性以外,其他特征均與病毒符合,而且一部分文件型特洛伊木馬還可感染文件。此外,還有一種通過系統漏洞進行傳播的惡意程序或“蠕蟲”(Worm),利用系統自帶的腳本語言功能實現破壞效果的宏病毒和惡意腳本(Macro Virus、Evil Script),因此,文中將把木馬后門、蠕蟲、宏病毒和傳統文件型病毒等統稱為“病毒”。
自我復制
病毒的基本動作是復制自身,文件型病毒會把自身插入正常程序文件內部以便程序每次執行時連病毒代碼也一并執行,惡意程序或木馬后門會將自身復制到系統目錄,然后通過多種途徑令系統在啟動時執行病毒體文件,但是無論是哪種病毒的復制行為,其最終目的都只有一個:潛伏到用戶計算機內,伺機執行各種危害操作。
病毒在執行復制行為時必須隱蔽,否則它會輕易被稍有經驗的用戶發現,因此不同的病毒都會采取各種手段來實現其隱蔽目的,但是無論它們的表現形式如何,最終都可歸納為兩種形式:寄生和欺騙。
寄生
這是文件型病毒的傳播方式,文件型病毒的成品一般沒有自己的獨立程序體,它們通過受感染的可執行文件進行傳播。當用戶執行一個感染了文件型病毒的程序時,由于原程序的執行入口已經被破壞,因此病毒代碼會首先得到執行,將自身載入內存中,成為一個“駐留程序”(TSR),根據病毒作者的破壞性差異,病毒可能僅僅停留在內存空間里等待用戶執行程序時進行感染操作,也可能會主動出擊,搜索用戶計算機上符合感染條件的可執行文件進行感染。
較普通的文件型病毒會將自身代碼放置到受感染文件的頭部或尾部,而后修改文件頭部的執行入口指向自身代碼起始段,以達到自身先于受感染程序執行的目的,當病毒在入內存后,才會去調用受感染文件的真正執行入口,讓受感染文件能夠運行,這樣用戶才不會起疑心。在早期的感染模式里,文件型病毒通常會主動搜索感染可執行文件,甚至因為感染失敗而導致文件損壞的事情也常有發生,而自從微軟在Windows 2000開始引入“系統文件校驗”技術后,主動搜索可執行文件進行感染的病毒寄生技術便因為導致系統不斷出現“系統文件遭遇替換”的警告而逐漸退出舞臺,繼而換成守株待兔類型的等待程序執行后進行感染的被動寄生方式。較新的文件型病毒還會采取不感染系統文件的政策,讓用戶無論如何都難以發現文件被感染的痕跡。
但是直接把自身簡單的插入文件首尾的寄生方式會導致文件體積和修改日期的變化,因此高級的病毒會自動根據目標文件內部的“無用”空間分配情況來將自身代碼分段插入文件體內,并修改文件日期為原始日期,如此一來便加大了檢測和查殺的難度。這一技術得以實現的原因是PE規范的特點:PE文件的每個節之間留有按簇大小對齊后的空洞,病毒體如果足夠小則可以將自身分成幾份并分別插入到每個節最后的空隙中,這樣就不必額外增加一個節,因而文件大小保持不變,能做到這種形式的病毒體積必須十分小巧,否則它會把文件破壞掉的。當文件被執行時,病毒通過初始化代碼的復雜計算將自身全部代碼恢復連貫載入內存,繼續完成下一次感染過程。
欺騙
并非所有病毒(注意此文的“病毒”所指范圍)都是文件型的,例如特洛伊木馬、蠕蟲和惡意程序等,那么它們如何將自身隱蔽呢?這就要用到欺騙了。所謂欺騙,就是利用各種手段將自身執行文件植入系統,而不被用戶輕易察覺,即使被發現,也難以判斷真偽或者無法徹底刪除,從最初的簡單設置文件屬性為隱藏,到現在的偽裝系統核心文件、DLL形式,甚至驅動程序類型的隱藏,病毒技術的不斷發展使得手工查殺增加了難度。
破壞
一個程序是否具備破壞性是衡量它是否屬于病毒的一個重要標準,病毒的破壞是多種多樣的,其實在它們進行寄生或欺騙操作時就已經對被感染的文件、以及受害計算機的環境完整性形成一定的破壞了,由于病毒需要駐留內存進行感染操作,直接導致的影響就是磁盤讀寫增加,計算機響應遲鈍,更有甚者為了取得最高的響應速度,而修改系統正常的優先級設置讓自己達到最高等級,從而導致系統效率嚴重下降。然而這還不是真正可怕的,當病毒發作時,可能會破壞你的文件檔案,或者敞開計算機大門讓入侵者隨意進出,甚至通過特殊的軟件讀寫達到破壞計算機硬件的目的。
三. 剖析殺毒軟件的心臟——引擎技術
病毒和反病毒產品是天生的冤家,由于病毒永無休止的存在,反病毒產品這片領域自然也會出現眾多廠商來分割的局面,因此也就銜生出了多種殺毒引擎技術。
殺毒引擎是決定一款殺毒軟件技術是否成熟可靠的關鍵,什么是殺毒引擎呢?簡言之,它就是一套判斷特定程序行為是否為病毒程序或可疑程序的技術機制,引擎不僅需要具備判斷病毒的能力,還必須擁有足夠的病毒清理技術和環境恢復技術,如果一款殺毒產品能查出病毒但是卻無法清除、或者無法將被病毒破壞的系統環境成功恢復,那它也只能是雞肋。為了達到查殺病毒的目的,殺毒引擎自身要實施的行為就要比病毒還病毒,例如,為了及時獲得環境變動的監控數據,一些殺毒引擎采用DLL的鉤子技術將自身注入系統進程中,這一行為和DLL木馬無異;而為了成功攔截查殺驅動級別木馬Rootkit,殺毒引擎更需要將自身的一部分作為驅動形式運行,以便進入系統內核領域……說到這里,一些計算機配置較低的用戶應該能明白,為什么自己安裝殺毒軟件后計算機速度明顯變慢了,這多半是因為殺毒軟件的“文件監控”等功能導致的,因為這一功能的實現原理就如文件型病毒的寄生過程一樣,只不過文件型病毒是守候在內存中伺機感染每一個打開的文件,而“文件監控”功能是時刻駐守在內存里檢查每一個打開的文件是否存在病毒,兩者導致的后果都是程序載入內存的時間增加,在低配置的計算機表現得比較明顯罷了。
由于以上提到的原因,殺毒軟件是會不可避免的對用戶計算機運行速度造成一定影響的,但是為了安全,大部分用戶只能犧牲一點工作效率來換取安全了,那么,殺毒引擎的具體實現過程又是如何呢?且讓我們來對其窺探一番。
1.守住每一個關卡——程序行為捕獲
每個程序運行時都需要進行各種交互動作,如收發網絡數據、響應某個觸發事件、文件讀寫操作等,這些交互都被稱為“行為”(Action),這個周期過程是可以被跟蹤記錄的,這就是殺毒引擎必須干涉的第一步,當殺毒軟件的環境監視模塊啟動后,它會嵌入系統的操作接口,使得任何非核心程序和除了殺毒軟件自身程序的運作過程都要被它實時監視,這一技術通常通過鉤子技術和驅動層掛載實現,每個殺毒軟件廠商都預先定義了一套病毒行為判斷規范,即在一個給定的范圍和置信度下,判斷相關操作是否為合法。例如一個代碼執行后被發現試圖將自己寫入用戶請求執行的程序文件體內、或進行特定的復制動作和添加注冊表操作,則可將其懷疑為病毒,移交給查毒過程的第二步進一步判斷處理。
為了實現行為捕獲操作,殺毒軟件引擎必須將自身模塊嵌入系統底層,在這個實現方法上,各大廠商都有自己的一套方案,一般廠商普遍采用的是中間件技術,即通過Hook掛鉤方式實現對每個進程的訪問,這種方案通過在系統底層與應用程序之間嵌入一個全局鉤子DLL模塊達到目的,從嚴格上來說,它的相對安全和穩定性較低,但是在源代碼不開放的操作系統層面上,這是最簡單的方法。
一部分廠商因為與操作系統廠商存在合作關系,因而獲得了較其他廠商殺毒產品要高的操作系統特權,所以他們采用的方案是基于系統最底層的系統核心驅動,這種實現方式是最安全的,或者說最高級的實現方式,至今只有Norton獲得了這個特權。隨著病毒技術逐漸滲透到Rootkit層次,過去的Hook技術逐漸有點力不從心,于是殺毒廠商開始轉入驅動方案,當然,由于沒有操作系統廠商的授權,他們并無法實現最底層的核心驅動解決方案,于是殺毒廠商編寫了一個稱為“軟件驅動”的中間件,用于在系統中產生一個虛擬硬件。眾所周知,在操作系統中,只有驅動模塊能通過一個“硬件抽象層(HAL)”的通訊接口而到達系統底層,如今流行的Rootkit木馬也是采用驅動形式進入系統核心的,因此殺毒廠商使用“軟件驅動”來實現底層監視的方案是要比一般的Hook技術效果顯著的,但是這也不可避免會出現一些問題,如果這個“軟件驅動”存在缺陷或者被某些程序異常終止(例如出現未預料的錯誤),在系統底層無任何保護措施的環境下,最直接的一個后果就是系統藍屏崩潰,造成可能的損失。
引用(小知識:系統的幾個“層”)
操作系統作為一個復雜的運作體系,其內部是必須實現一定的功能模塊來進行分工合作的,這些功能模塊像金字塔一樣層層堆積,形成了系統的幾個“層”,分別是系統核心層、硬件抽象層、用戶層。
系統核心層(Kernel Layer)位于整個操作系統的最底層,負責系統的基本運作,在這一層里的所有行為都由系統內置的指令來實現,所有外界因素都不會對這一處的行為造成影響。能直接進入這個層交互的程序不多,除了操作系統自身,第三方廠商若要能在此層直接工作,必須和系統廠商建立合作關系,使用系統廠商提供的接口函數才能進入。目前能在這個層面直接工作的殺毒軟件只有賽門鐵克的Norton AntiVirus。
硬件抽象層(Hardware Abstraction Layer)是美國微軟公司為了便于操作系統在不同硬件結構上進行移植而提出的將系統底層與硬件相關的部分獨立運作的思想,HAL為系統實現了“硬件無關性”,即在不同的硬件平臺上,硬件與操作系統的交互也不會有所差異,這樣一來,硬件廠商開發驅動的難度便能大大降低,HAL將硬件的接口細節隱藏起來,并為操作系統提供一個標準硬件交互接口,目前所有的硬件驅動都工作在這個層面上,當外界硬件存在指令請求時,驅動程序響應請求并將指令通過HAL轉換為系統核心層能理解的指令交給內核執行,如果未找到相應的驅動程序類型,則將其視為“默認硬件”(Default Hardware)處理,什么叫“默認硬件”呢?最簡單的例子就是進入安全模式,這時候大部分驅動程序不會被加載,此時的系統便是工作于“默認硬件”上。大部分使用“軟件驅動”解決方案的殺毒軟件就是在HAL層上虛擬了一個硬件來達到與核心層交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通過這個方案實現了內核交互。
用戶層(User Layer)就是平時我們直接看到的部分,例如桌面,大部分殺毒軟件也是在這一層運行的,主要用于用戶接口交互和將指令傳遞到殺毒引擎。一般運行于Ring3的程序行為也產生于此,一個應用程序產生的指令要求首先被傳遞到HAL層,HAL層將其解釋處理為核心層可以識別的指令串,然后提交給核心層最后進入CPU的指令處理循環,CPU處理完畢后將結果反向送回到用戶層上的應用程序,最終得到運算結果。
2.檢測的核心——基于引擎機制的規則判斷
這一步環節可以稱之為病毒判斷的核心階段,一個好的殺毒引擎能在這個階段識別出相當規模的病毒,其原理是在引擎中內置一部分病毒的特征代碼,稱為“基于特征碼的靜態掃描技術”,即殺毒引擎直接在文件中查找自身攜帶的特征代碼,力求盡量在這一步發現病毒。早期的計算機用戶應該記得,當初的殺毒產品并沒有非常大的病毒特征數據庫,甚至KV300+的所謂病毒特征數據庫還是ASCII格式的,并由用戶自己手工加入,僅僅作為一種簡單的擴充手段來運作而已,這是因為KV300+的主程序內就已經包含了當時各種流行病毒的特征碼。
但是如今由于網絡普及和計算機技術發展,病毒攻勢鋪天蓋地而來,如果單純靠殺毒引擎自身攜帶病毒特征代碼,將會造成主程序體積過于龐大而無法高效率運行,且升級麻煩等難點,因而殺毒引擎不得不將病毒特征庫從自身脫離開來,形成獨立的病毒數據庫結構來與自身保持聯系,這就是“基于特征碼的靜態掃描技術”的擴展產物:病毒特征代碼數據庫。
3.在翰林辭典中穿梭——引擎與病毒特征庫的交互
由于上述原因,如今的殺毒軟件已經不得不采用外部數據庫連接的方法來達到識別病毒的效果,病毒特征代碼數據庫中以特定格式儲存了各種病毒的行為標識和靜態代碼,在工作時,殺毒引擎需要將捕獲到的程序行為轉換為它自身可以識別的行為標識和靜態代碼,然后進入病毒特征代碼數據庫中查詢并期待其返回查詢結果,因此這個步驟是整個殺毒過程中最慢的,但是不可否認,當前的殺毒軟件對大量病毒的識別都是在這個階段完成的。因此一個足夠龐大的病毒庫往往能夠彌補殺毒引擎的不足之處,但是當今病毒越發復雜和繁多,如此長期以往,病毒特征庫將會有一天過于臃腫而導致不良后果,要解決這個問題,只能在核心技術上盡量實現將病毒檢測工作在第二步完成,只可惜在當前我們仍然沒有能夠實現這個想法的殺毒引擎技術,因此如今的殺毒軟件或多或少都依賴著一個幾十MB的病毒特征庫來維持工作,殺毒廠商在殺毒引擎核心未進行關鍵修改時發布的病毒更新其實也就是為了往這個特征數據庫中添加最新發現的病毒數據,以達到查殺新病毒的作用。
“基于特征碼的靜態掃描技術”的最大弱點在于它無法發現和查殺“未公開”或“未收錄”的病毒,由于它的大部分判斷依據來自病毒特征代碼數據庫,一旦用戶被感染了病毒中的“0day”或“私人后門”,殺毒軟件就無能為力,甚至落得個被病毒終結運行的下場,當然,由于殺毒軟件自身的校驗機制,一般不會有病毒愚蠢到去感染殺毒軟件,但是如果一個殺毒軟件被病毒終止了,它就無法對用戶的計算機實施病毒防護了,但是如何判斷阻止由病毒發出的關閉指令,而不影響用戶正常點擊殺毒軟件自身提供的“退出”功能,這也是個難題。
一部分殺毒引擎會通過自身的病毒行為判斷規范來“懷疑”某些未收錄在數據庫中的程序為病毒,并詢問用戶需要什么解決方案,一般情況下,殺毒軟件最折衷的默認解決方案是將被懷疑動機不純的程序文件改名備份到一個被稱為“隔離區”的文件夾中,然后將該原始文件銷毀。這樣做或許能達到查殺未知病毒的目的,但是我們也不能忽視其可能帶來的嚴重后果,例如某個關鍵文件或重要文檔感染了病毒,如果殺毒軟件不由分說就將其消滅,那就很可能引發系統崩潰甚至經濟損失,因為一個健全穩妥的查殺過程和環境恢復是很重要的。
4.月光寶盒——病毒查殺和系統環境恢復
當殺毒引擎檢測到病毒時,需要分為兩種情況對待,首先是尚未來得及進行感染或破壞行為的病毒,在這種情況下殺毒引擎只需要簡單刪除文件就可以了,但是日常操作中用戶面臨最多的還是已經被病毒實施感染破壞行為后的系統環境,在這種情況下,殺毒引擎必須在使用適當的方式查殺病毒后,根據病毒特征庫中記錄的病毒行為來智能判斷當前系統環境遭受破壞的情況并進行恢復,例如對于受病毒感染的文件,殺毒引擎必須根據一定的算法在文件體內找出病毒代碼寄生的部分并給予清除,這個過程必須非常謹慎,否則直接的后果就是導致原文件被破壞,這樣的殺毒就毫無意義了。而對于非文件型的木馬和惡意程序,由于它們會通過各種方式篡改系統注冊表甚至系統文件來達到加載自身之目的,殺毒引擎在清除了這些病毒后能否準確有效的恢復受破壞的系統環境,就是對殺毒引擎的最大挑戰。病毒隱藏技術已經從最初的簡單加載單一啟動項,演化到今天的多重啟動項、進程互相保護、線程監視、遠程注射、可執行文件關聯、服務項目加載、驅動形式加載等方式,甚至采用多項結合的方法,使得查殺工作變得十分困難,甚至只要遺漏了一個文件未能清除,病毒便能卷土重來,因此,如何有效準確的判斷和修復受損環境,也是衡量殺毒引擎技術是否成熟的關鍵。
以上說的是殺毒引擎完整工作過程的原理,那么,它所采取的技術有哪些呢?目前,主流的技術有兩種:虛擬機技術、實時監控技術。除此之外,還有兩種最新的技術仍在試驗階段,分別是智能碼標識技術和行為攔截技術。
1.虛擬機技術
一提起虛擬機,部分讀者可能就會聯想到VMWare去了,然而這里提到的虛擬機并非如此。在反病毒界里,虛擬機也被稱為通用解密器,已經成為反病毒軟件中最重要的部分之一。殺毒引擎的虛擬機技術并非是為病毒提供一套計算機仿真系統,讓其在內部折騰直到暴露出病毒行為特征,在這里的虛擬機是指殺毒引擎模擬出一個仿真CPU,這個“CPU”具備和真正CPU等同的指令分析功能,殺毒引擎將待檢測的程序代碼讀入“CPU”中逐條指令循環執行,直到出現特定情況才結束工作,在這個過程中探知程序是否具備病毒行為特征或者暴露出病毒特征碼。這就是殺毒引擎的“虛擬機技術”,它的目的就是讓程序文件在沒有實際運行的情況下得到運行后的結果,最初虛擬機技術是為了對付變形病毒而產生的,因為變形病毒會將自身代碼以一定的方式進行多次變換,這樣傳統靜態特征碼掃描技術就對其無能為力,因為它根本無法確認特征碼,但是即使再強悍的變形病毒也不可避免在運行時出現一段相對固定的機器碼,否則它自身也無法正常運行完成變形過程,而由于這段機器碼只有在運行時才能被捕獲到,因此工程師開發了“虛擬機技術”誘使病毒在殺毒引擎產生的“CPU”里盡情運行,而后根據其固定機器碼匹配病毒特征數據庫中的靜態特征來判斷這個程序是否病毒。雖然這個技術可能會導致誤報,但是仍不能否認其是一種有效的方法。
2.實時監控技術
實時監控技術,說白了其實就是一個文件監視器,它會在文件打開、關閉、修改等操作時將其攔截并送入查毒模塊進行分析,而在如今的操作系統中要實現對所有文件操作的攔截并非易事,這需要涉及系統核心,因此,這里所采取的方案原型,就是“軟件驅動”。通過驅動進入核心,便能獲知每個文件的操作情況并做出反應了。這項技術的難度在于驅動代碼的編寫,由于內核沒有異常處理過程,在這里執行的代碼稍有一點錯漏都能直接導致系統崩潰,且驅動與用戶層的實時交互也需要一套復雜的實現方案,因此只有一定實力的廠家才實現這項技術,且實現了這項技術的廠家大部分都會連同虛擬機技術、靜態特征碼掃描技術一起結合起來,最終形成自己的產品。
四. 結語
許多用戶都在挑選殺毒軟件時犯難,實際上,如果拋開許多表面上的東西,殺毒軟件的引擎實現技術也就那么幾個,關鍵在于殺毒廠商的研發能力和實際工作效率,也不能只憑殺毒軟件在對付某種病毒的差別上就斷定它們之間的地位差異。符合自己使用的,就是最好的。
