BBSxp/LeadBBS后台上传Webshell的防范
[ 2007-03-25 02:57:28 | 作者: sun ]
关于BBSxp/LeadBBS的后台上传Webshell的防范
作者:kEvin1986 更新日期:2005-04-01 类别:网络安全->安全防御 总浏览/今日:650/1
最近弄了两个BBS系统,发现后台传/改Webshell的时候都做了一定限度的防范,使得很多新手不知道如何去传Webshell控制主机.其实这个问题很简单......几分钟就能解决
1.BBSXP
昨天朋友弄进去一个BBSXP的论坛,这个论坛以前问题多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且对脚本安全基本知识缺乏了解,导致了很多漏洞,而现在已经不是是很流行了.但是新版的还是新版的,也要看看...
后台大致浏览了一下发现可以和Dvbbs的后台一样通过备份数据库来获取Webshell,可是问题是如果备份成ASP的话,后台有一个验证,提示不能备份成.ASP文件.其实这个东西是个名副其实的鸡肋防范策略,因为我们还知道有CdxCerAsaHtr等格式也可以执行ASP脚本.而BBSXP并没有想到.......所以,我们把备份的改为.asa等就可以传了.........BBSXP还是那么菜啊.....
2.LeadBBS.
LeadBBS总体来说还是个强悍的论坛,但是最近还是被Lin给发现了Cookie欺骗漏洞.呵呵.那么在很多人利用的时候,都发现没办法传WebShell.其中包括Sniper .哈哈/
其实我们可以编辑后台的一个ASP文件,而这个文件是检测server和<%这两个字符的.看起来是做了不错的防范,可是还是有问题的.
我们可以通过include来写一个ASP木马.
首先从论坛上传一个JPG后缀的ASP木马,这个木马最好是直接使用FSO或ADODB.STREAM在当前目录生成一个Newmm.ASP这样的代码.因为Include是无法接收数据的.
然后在后台的编辑文件那里写上
然后访问这个文件,最后访问生成的ASP木马地址就可以了.......
作者:kEvin1986 更新日期:2005-04-01 类别:网络安全->安全防御 总浏览/今日:650/1
最近弄了两个BBS系统,发现后台传/改Webshell的时候都做了一定限度的防范,使得很多新手不知道如何去传Webshell控制主机.其实这个问题很简单......几分钟就能解决
1.BBSXP
昨天朋友弄进去一个BBSXP的论坛,这个论坛以前问题多多,制作人(好象是yuzi工作室)很不注意安全的防范,而且对脚本安全基本知识缺乏了解,导致了很多漏洞,而现在已经不是是很流行了.但是新版的还是新版的,也要看看...
后台大致浏览了一下发现可以和Dvbbs的后台一样通过备份数据库来获取Webshell,可是问题是如果备份成ASP的话,后台有一个验证,提示不能备份成.ASP文件.其实这个东西是个名副其实的鸡肋防范策略,因为我们还知道有CdxCerAsaHtr等格式也可以执行ASP脚本.而BBSXP并没有想到.......所以,我们把备份的改为.asa等就可以传了.........BBSXP还是那么菜啊.....
2.LeadBBS.
LeadBBS总体来说还是个强悍的论坛,但是最近还是被Lin给发现了Cookie欺骗漏洞.呵呵.那么在很多人利用的时候,都发现没办法传WebShell.其中包括Sniper .哈哈/
其实我们可以编辑后台的一个ASP文件,而这个文件是检测server和<%这两个字符的.看起来是做了不错的防范,可是还是有问题的.
我们可以通过include来写一个ASP木马.
首先从论坛上传一个JPG后缀的ASP木马,这个木马最好是直接使用FSO或ADODB.STREAM在当前目录生成一个Newmm.ASP这样的代码.因为Include是无法接收数据的.
然后在后台的编辑文件那里写上
然后访问这个文件,最后访问生成的ASP木马地址就可以了.......
针对ASP类网站的Win 2003硬盘安全设置
[ 2007-03-25 02:57:15 | 作者: sun ]
C:分区部分:
c:
administrators 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:inetpubmailroot
administrators 全部
system 全部
service 全部
c:inetpubftproot
everyone 只读和运行
c:windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
c:Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:Program FilesCommon Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
如果安装了我们的软件:
c:Program FilesLIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
c:Program FilesDimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:Program FilesComPlus Applications (如果有)
administrators 全部
c:Program FilesGflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取
c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部
c:Program FilesWindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
D:分区部分:
d: (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 全部权限
E:分区部分:
从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(如果这个网站用这个用户来运行)
不是继承的
只有子文件夹
读取权限
E:WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE 全部
IUSR_*,默认的Internet来宾帐户 全部权限(如果这个网站用这个用户来运行)
关于IUSR_*,我们不建议用这个用户来运行Webeasymail,应该用平台开一个虚拟主机来运行Webeasymail。
----------------不知道2000是不是一样设置
针对PHP木马攻击的防御之道操作系统常遇木马的预防技巧
[ 2007-03-25 02:56:58 | 作者: sun ]
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。
木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL.所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL.所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
针对PHP木马攻击的防御之道
[ 2007-03-25 02:56:44 | 作者: sun ]
本文通过介绍一些技巧介绍了针对PHP木马攻击的防御之道,通过这些方面你可以更好的防范木马程序。 1、防止跳出web目录 首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache/htdocs 这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
2、防止php木马执行webshell 打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
2、防止php木马执行webshell 打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选
教你如何用手工迅速剿灭QQ广告弹出木马
[ 2007-03-25 02:56:32 | 作者: sun ]
将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。
具体的不知道从哪天起,我的Maxthon浏览器好像不能拦截一些网站的广告了,屏幕的右下角也不时的出现如QQ广告一样的东西,一开始以为是网站和QQ的广告。但越用越不对劲,仔细一看,右下角的根本就不是QQ的广告,出来的整个广告就是一个链接,不像QQ广告外面还有一个框,鼠标放在上面是不会变成手形的,而这个广告,无论鼠标放在什么地方都是手形的。我开始怀疑我中招了,将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。
1、常规操作
打开任务管理器,查看进程,并没有发现什么不良进程。
2、深入挖掘
运行Regedit,依次展开
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C:\WINDOWS\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:\WINDOWS\Downloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl键不放直到启动菜单出现)。
在第三步之前,我曾尝试直接用第四步的方法删除木马文件,但发现重启之后木马并没有消失,因此初步判断该木马存在备份文件。
3、清除木马备份文件
打开“我的电脑”进入C:\Windows目录,发现一个可疑目录Backup,进去一看,果然启动项加载的Dll文件也在里面,但启动项加载的却不是这个目录中的文件,很显然这个目录就是木马的备份,先删除这个备份目录再说,但刚刚删除,大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾,竟然在安全模式还能自动加载且监视备份文件,一旦备份文件被删除,马上又会建立。正所谓“以彼之道还施彼身”,它能监视且能自动建立备份目录,我如果能先将目录删除,然后抢在它的前面建立目录不就行了吗?因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了,手工肯定是不行的,那么就用Dos时代的批处理吧!先建立如下的批处理文件,命名为Kill.bat,双斜杠之后是注释,实际操作时无需输入。Move c:\windows\backup c:\windows\bak //将Backup目录重命名为BakMd c:\windows\backup //在C:\windows下建立Backup目录这时再打开“我的电脑”,依次进入C:\windows目录,将Bak目录删除,即完成了木马备份文件的删除。
4、清除木马文件
重新建立一个批处理文件,命名为Kill2.bat,内容如下。cd c:\ //将当前路径改为C:盘的根目录cd C:\WINDOWS\Downloaded Program Files //将当前路径改为C:\WINDOWS\Downloaded Program Filesmove _IS_0518 c:\bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak打开“我的电脑”,进入C:\,删除Bak目录,再进入C:\windows目录,删除Backup目录,即完成了木马文件的清除。
5、清理注册表
运行Regedit,分别将下面所列的键删除。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32
HKEY_CURRENT_USER/Software/advapi32
至此,Advapi32木马(因为在网上也没查到此木马的名字,所以就用它的自启动项键名来代替了)手工清理完毕。注:
1.第三步和第四步顺序千万不能对调,因为只有先删除备份文件,再删除木马文件,这时因为木马文件没有了,备份文件也没有了,所以木马也就没办法重新建立文件了。
2.以前也在报刊上看到过手工清除木马的例子,但大部分都是一些利用进程查看工具结束进程来实现的,由于此木马进程伪装隐蔽,笔者曾用IceSword查看,虽能初步判断木马隐藏在Svchost.exe进程中,但由于Windows XP中Svchost.exe进程比较多,所以不好判断其具体的隐藏位置,结束进程的方法也就不好实现了,反而用本文所提的方法就能轻松将木马剿灭。
3.本方法在Windows XP Pro + SP2下测试通过。
做自己的救世主--系统安全保卫战
[ 2007-03-25 02:56:21 | 作者: sun ]
一. 谁是救世主
相信看过《黑客帝国》系列的朋友都不会对主人公尼奥感到陌生,这位闯入虚拟世界的程序员一次又一次演绎了“救世主”的角色,保护了城市居民,其形象早已深入人心。
而离开电影后,我们广大的计算机用户要面对的又是另一种亦真亦假的数字虚拟世界——网络,这里同样潜伏着许多危险,同样存在“黑客帝国”,但这里却没有尼奥这个人的存在,我们能看到的,只有形形色色的安全厂商和他们所提供的安全工具,除此之外,似乎已经没有别的选择。
于是乎,许多用户把各种安全工具看成了这个世界中的“救世主”,我们看到许多关于安全工具的广告,我们购买市面上流行的防病毒软件,我们在听闻每周一次的“新病毒预警”时赶紧升级病毒特征库,我们每周都对电脑进行一次漫长的病毒扫描……许多人都这样做,许多人不得不这样做,因为我们把一切都交给杀毒工具了,我们什么都不需要做了,我们只管肆无忌弹的上网聊天看电影下软件,因为我们有杀毒工具,这些工具都具备一个“实时监测”的功能,它每时每刻都会检查我们刚下载的文件,我们感到自己很安全,我们以为这就是网络中的防御。
然而,事实真的如此美好吗?依稀记得有一句话好像是这么说的,“无论你做什么事情,你都不可避免要付出一定的代价”,在我们安然自得的享受由杀毒工具带来的安全防御的同时,我们也在付出相应的代价。为什么呢?因为杀毒工具是一套在系统启动的时候就开始运行直到关机或者用户退出它的时候才会停止运行的程序,它们的检测和防御机制的效率是不能和尼奥相比的。举个简单例子,学过编程的人大概都知道,象棋程序是最难写得完美的,因为象棋的走法从来都没有一个固定的模式,我们能创造出许多花样,但是程序不能,它只能按照有限的判断机制去决定每一步棋怎么走,这就是为什么如今的许多象棋程序看起来像个傻瓜的原因。有人也许会说,做一个强大的象棋程序把尽可能遇到的走法都写进去就可以了,这个象棋程序必然无敌。这样是可行的,但是由此带来的代价就是每个和它下棋的人可能都要花一辈子的时间了,因为程序在每走一步棋之前都要把所有尽可能遇到的情况都“思考”一遍,这样是要付出时间作为代价的,如果要缩短时间,就要让程序在同一时刻思考多种走法,但着时候,代价就变成庞大的系统资源消耗了——你能忍受么?
同样的缺陷正在杀毒软件身上发生,我们知道,大部分杀毒软件是采用“特征码”技术去搜索病毒的,就是说,杀毒软件引擎读取一个程序或文件内容,并与自身数据库里储存的已被确认为病毒程序体内某段特定代码进行匹配,一旦两者相同,杀毒软件就“确认”此文件为病毒。随着病毒家族的庞大,这个数据库体积的增长也到了不可忽视的地步,加载的速度也就慢了。而且数据库每增加一个病毒特征码,杀毒引擎的判断分支就要增多一条,相应的时间也会延长,为了避免出现扫描一个文件需要半小时的尴尬情况,杀毒软件会采用各种提高匹配速度的方案,但这些方案无一例外都要疯狂剥削用户的系统资源,如果一台电脑的配置并不是很高,那么在用户查毒的时候,他基本上已经不能正常做其他工作了,找个电视台慢慢看连续剧吧,这就是尼奥的代价。
那么,谁才是我们的救世主?答案就是——你自己。能信任的人永远只有自己,只要肯努力,每个人都可以做尼奥,不过这也是有代价的,因为它把系统资源的消耗转变为脑子的消耗,把判断分支和经验写入脑子里,在处理分支的效率上,人永远比程序要灵活,而且这样一来就不会出现依赖的恶性循环了,离开了杀毒软件,我们要学会靠自己来保护自己不被这个虚拟世界伤害到。现在,就让我们来做自己的救世主吧。
二. 做自己的救世主
小时候曾经看过一个故事《另一种侵略》,被人类打败的宇宙侵略者送给人类一种水晶,只要人类拿起它想一种物品,这个物品就会出现在自己面前,于是每个人都开始沉浸于无尽的享受中,再也没人去钻研科技国防了,几十年后,人类开始出现退化现象。这时候,宇宙侵略者又来访问地球了,这次它们只用了一条条鞭子就征服了地球,在最后一个人类被驱逐进囚笼之前,他回头含糊不清的说了句什么话——连他的舌头都退化得差不多了,也许他是说:“地球完了。”
以上的故事或许只是虚无的幻想,但类似的行为却正在当代发生,如果一个用户怀疑自己的电脑感染了后门,他的第一个反应大概会是打开杀毒工具。故事里的人类太依赖水晶的魔力,现实中的我们太依赖杀毒软件的方便快捷!也许有人会反对,既然能使用工具方便快捷的保护计算机安全,我又何必自寻烦恼学习安全防御?会这样想的用户没有想到网络的复杂,能闯进计算机的“客人”并非就是在各大安全工具厂商通缉名单上的成员,因为网络中还流传着一部分小规模使用而且没有被公开的“私人后门”(例如大部分DDoS后门工具其实都是自己写自己用的),有能力的人都可以自己写“私人后门”,然后通过多种途径放到别人的计算机上执行。这时候,“病毒库特征码”技术的局限性就开始显露了,被感染了“私人后门”的用户偶尔会察觉到计算机异常,然后他会开始查毒,结果因为渗透进系统的后门程序并没有在病毒特征库里“登记”过,杀毒软件就认不出它了,用户只能在浪费大量时间后看着杀毒软件报告的“没有发现病毒”消息继续“享受”被入侵的感觉。这个事实可笑吗?我们只能在自己信赖的尼奥面前被敌人杀死——甚至这个尼奥也不复存在了,如果后门能把它踢出内存并删除掉的话。
还是那句话,能信任的人只有自己,更何况这是网络。所以,我们不能再战战兢兢的躲在掩体里等待救世主消灭所有敌人了,我们要做自己的救世主!
三. 捕获不请自来的“客人”
“600型机器人包裹的是橡胶外皮,很容易被认出来,但现在的101型机器人是生化技术制造的,有真实皮肤,会呼吸、流血、甚至口臭,一切都和人类一样,直到它开始攻击,你才能知道它不是人类。”
“那你们怎么办?”
“我们用狗识别终结者。”
——《终结者》
在《终结者》里,狗是唯一可以区分敌我的工具,因为它判断对方的方式并不仅仅靠眼睛——眼睛是可以被欺骗的,但是气息不能,一个机器人无论伪装得再怎么逼真,都不能具备生命体的气息,但是它能欺骗人类的视觉和听觉,这就足够了。
后门技术从诞生到现在,已经发展了好几代,对自身的伪装技术也越来越成熟了,从最初的启动项结合隐藏进程方式,到最新的Ring0驱动方式,我们越来越难发现这些“客人”的痕迹,当它开始破坏的时候,已经来不及做补救措施了,所以,我们需要一种可以嗅出后门气息的“狗”。
1.准备工作
在进行一切工作之前,用户需要对系统有点了解,例如注册表、启动项、服务、常见的程序和进程名等,这是学习手工查毒最基本的要求,在初期可以多参考一些介绍系统概念的文章如到处都流传的“系统进程详解”、“WinXP系统服务简介及优化措施”等,并做一点笔记,力求日积月累尽快记住一些最常见的系统程序和相关工具的使用方法,如果过不了这个门槛,后面的工作也就无从谈起。
首先,我们必须了解Windows系统的三大知识点:注册表(Registry)、进程(Process)和权限(Privilege)。
“注册表”是出现在Windows 95及以后版本的一种数据库。在这之前,用户要对软硬件工作环境进行配置,就要修改一种被称为“配置设置”(INI)的文件来完成,但是由于每种设备或应用程序都得有自己的INI文件,无形中增加了管理难度,为了解决这个问题,微软开始统一标准并将各种信息资源集中起来存储,最终形成了将应用程序和计算机系统配置信息容纳在一起的“注册表”,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等,注册表维持着整个系统的正常运作。
注册表采用一种类似文件目录的结构树来描述配置信息,最顶端的5个项目称为“根键”(ROOT_KEY),系统能识别的所有的数据都是从它们这里展开的,这5个根键分别是:
HKEY_CLASSES_ROOT(负责各种组件注册类别和文件并联信息)
HKEY_CURRENT_USER(当前登录用户的环境信息)
HKEY_LOCAL_MACHINE(整个系统的公共环境信息)
HKEY_USERS(所有用户的环境配置信息)
HKEY_CURRENT_CONFIG(当前的配置信息)
其中,我们主要关注的是前面三个根键里的数据,它们是后门最爱篡改的地方,分别是三个启动项目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后门都要通过修改这里加入自己的配置信息以达到跟随系统启动的目的;除此之外就是文件并联信息“HKEY_CLASSES_ROOT”,并联型后门最爱更改这里的.exe、.bat、.scr、.com等可执行文件的注册信息,让自己抢先一步运行。更多涉及到的注册表内容以后会提到,现在让我们来看看进程是什么。
“进程”,是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块,系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限,任何程序都必须拥有至少一个进程,否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像,它通常和某个在磁盘上的文件保持着对应关系,一个完整的进程信息包括很多方面的数据,我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题,而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等,其中“进程文件名”和“进程标识符”是必须掌握的关键,“进程标识符”是系统分配给进程内存空间时指定的唯一数字,进程从载入内存到结束运行的期间里这个数字都是保持不变的,而“进程文件名”则是对应着的介质存储文件名称,根据“进程文件名”我们就可以找到最初的可执行文件位置。
最后是“权限”,这里涉及的权限是指80386模式的Ring权限。操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,内核负责一切实际的工作,包括CPU任务调度、内存分配管理、设备管理、文件操作等,外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。由于内核和外壳负责的任务不同,它们的处理环境也不同,因此处理器提供了多个不同的处理环境,把它们称为运行级别(Ring),Ring让程序指令能访问的计算机资源依次逐级递减,目的在于保护计算机遭受意外损害——内核运行于Ring 0级别,拥有最完全最底层的管理功能,而到了外壳部分,它只能拥有Ring 3级别,这个级别能操作的功能极少,几乎所有指令都需要传递给内核来决定能否执行,一旦发现有可能对系统造成破坏的指令传递(例如超越指定范围的内存读写),内核便返回一个“非法越权”标志,发送这个指令的程序就有可能被终止运行,这就是大部分常见的“非法操作”的由来,这样做的目的是为了保护计算机免遭破坏,如果外壳和内核的运行级别一样,用户一个不经意的点击都有可能破坏整个系统。但是现在,Ring已经屡屡被后门木马利用成为一个令人头痛的凶器。
2.进程伪装型后门的歼灭
最初的后门靠注册“系统服务”的方法在Win9x系统里隐藏自己的运行信息,到了NT架构里,这个方法失效了——NT家族自带的任务管理器(Task Manager,TaskMgr.exe)把所有普通进程都一视同仁的显示出来,连初级用户都能轻易发现后门运行的痕迹,于是后门制造者开始攻克心理学和障眼法,让后门进程在任务管理器里把自己标榜为“系统关键进程”,达到欺骗用户的目的。
我们都知道,任务管理器列出的众多进程里包含着一部分“关键进程”,它们是无法通过任务管理器中止的,而且许多文章也会提到相关进程名,久而久之,我们又养成一个习惯:查看进程信息时,只要看到熟悉甚至类似的进程名就忽略不计了,仅仅去寻找不熟悉的进程名,于是后门制造者就直接利用这个心理暗角配合路径遍历法则,让后门进程显示为“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等关键进程名就欺骗了用户和任务管理器。
在这种情况下,系统自己的任务管理器已经不能信任了,因为它遗漏了最重要的路径信息,后门就利用了这一点——它可以把自己伪装成svchost.exe放到Windows目录下,然后在注册表启动项里加上不带路径信息的“svchost.exe”信息,系统在根据目录遍历法则一层层深入寻找svchost.exe时会在Windows目录里发现并执行它,而真正的关键进程svchost.exe是在SYSTEM32里的,而且它也必须通过“服务管理器”(Service Control Manager,SCM)加载,于是任务管理器会显示多个svchost.exe进程,但是由于缺乏路径指示,我们根本不知道系统已经多了一个假的svchost.exe。即使我们发现了它是假的,也无法用任务管理器终止它的运行,因为任务管理器只是简单的判断了文件名就认为它是“关键进程”了,自然不会让你终止。类似的后门伪装文件名还有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架构里根本没有rundll.exe这个程序)、“SYSTEMservices.exe”等,要发现并歼灭这些后门,除了要求我们对常见的系统关键进程有所了解以外,还需要第三方提供的扩展任务管理器协助,例如Windows优化大师携带的进程查看器,用它便可迅速发现路径不对的“假兄弟”。
其实最迅速的查找方法是运行“系统配置实用程序”(MSCONFIG.EXE),切换到“启动项”,如果在这里发现了“系统关键程序”的信息,那它一定是假的。
3.服务欺骗型后门的战役
Windows的任务管理器不可终止两种程序的运行:一种是关键进程,另一种是通过服务管理器SCM启动的系统服务程序(NT-Service),所以一部分后门制造者设法把后门做成服务形式,让SCM直接帮助启动服务进程,不再借用注册表启动项加载,这样即使是对注册表启动项有一定了解的用户也难以发现异常,而且就算他想终止任务管理器里显示的奇怪进程,也会被拒绝,如果用户对服务管理器的了解不深,那他将会在眼花缭乱的服务面前变得束手无策。
这时候,我们又需要请“系统配置实用程序”出山了,切换到“服务”选项卡,把“隐藏所有Microsoft服务”,这里就只显示非微软开发的普通服务程序列表了,包括服务欺骗型后门的服务项,一般它会包含欺骗性质的字符或者伪装成某厂商的服务名,如“Rising Virus Monitor”(瑞星监控)、“Macromedia License”等,记住这里显示的列表名称,接着运行“服务管理器”(Services.msc)找到对应的项目,看看属性里的文件和路径是不是真的,如果你并没有安装KAV、MCAFEE这些杀毒软件而SCM里却找到对应项目的话,它就是狡猾的后门没错了。一些间谍软件还会自作主张的把自己命名为“Windows Print Controller”,简直就是无视系统自身的“Print Spooler”服务。
找到这类后门后,不要急着终止它的运行,既然后门作者知道SCM能直接停止它们,就必然会做一些复活措施,所以我们必须先把后门服务的“启动类型”设置为“禁止”,然后重启一次确保后门程序无法跟随系统启动,这时候才能开始清理后门。其中文件的路径信息SCM已经提供给我们了,直接在磁盘上找到删除即可,但是服务项目不能直接用SCM删除,要删除这个残留的服务项,首先要对系统服务有个最初的概念。
官方对系统服务的定义如下:
在NT架构系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是底层(接近硬件)程序。通过网络提供服务时,服务可以在Active Directory中发布,从而促进了以服务为中心的管理和使用。服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 既然服务自身也是独立出来的程序,它就必须有一个加载的入口,我们可以把这个入口理解为第二个启动项,这个入口是由SCM负责的,无论是什么身份的用户进入系统,SCM启动服务的位置都固定在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找这个分支就可以发现所有服务——也许你会说,这里显示的名字似乎都毫无意义,我怎么知道哪个是我正在找的?其实很简单,我们回到SCM,查看一个服务的属性,例如“DNS Client”服务,它的属性里写着“显示名称:DNS Client 服务名称:Dnscache”,现在回到注册表分支,查找“Dnscache”,就会看到它是CurrentControlSet ServicesDnscache,这就是我们在SCM里看到的“DNS Client”服务,如果你删除掉“Dnscache”项目,那么整个“DNS Client”服务也就消失了。以此类推,很快就可以清理掉服务欺骗型后门。
4.最艰难的寻找:Ring 0后门
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——Ring 0。
位于Ring 0层的是系统核心模块和各种驱动程序模块,所以位于这一层的木马也是以驱动的形式生存的,而不是一般的EXE。后门作者把后门写成符合WDM规范(Windows Driver Model)的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件EXE的信息,所以通过驱动模块和执行文件结合的后门程序便得以生存下来,由于它运行在Ring 0级别,拥有与系统核心同等级的权限,因此它可以更轻易的把自己隐藏起来,无论是进程信息还是文件体,甚至通讯的端口和流量也能被隐藏起来,在如此强大的隐藏技术面前,无论是任务管理器还是系统配置实用程序,甚至系统自带的注册表工具都失去了效果,我们不得不借助于更强大的第三方工具。幸好,一部分持有编写Ring 0程序能力的人并没有加入Ring 0木马的阵营,而是把技术用到了安全检查方面,于是我们有了IceSword、RootkitRevealer、knlsc等优秀的检测工具。
一般的进程工具是运行在Ring 3级别的,它们读取的依据来自Ring 0层,这些数据是可以被运行于Ring 0级别的木马修改的,所以它们根本无法得知木马程序信息,而IceSword等检测工具不同,它们和Ring 0木马一样,也是通过驱动的模式进入Ring 0层工作的,不再需要从Ring 0层获取信息,所以它们能得到未被木马篡改的原始链表数据,例如最原始的进程信息,它是不能被更改的,如果木马把它自身从原始进程信息里删除,就意味着它要自我终结了。所以一旦有进程工具从 Ring 0层直接读取了原始数据,再把这个数据和Ring 3层获取到的进程列表比较一下,就能迅速发现哪个是拼命隐藏自身的木马程序了。很巧合的是,驱动程序和系统服务共享同一个加载入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相应的Ring 0木马文件名,就会发现它,删除掉注册表的加载数据后重新启动计算机,再删除掉木马文件就可以解决了。
5.清理不受欢迎的附属产品
“21世纪什么最贵?人才!”
——《天下无贼》
黎叔说的这句话固然无可厚非,只是他大概不知道,在21世纪的网络上,网民最恨的就是一部分利用歪点子制造“广告软件”(Adware)和“流氓/间谍软件”(Spyware)的“人才”。如今的网络已经被这些不受欢迎的软件使用捆绑战术给占领了,随便下载个共享工具,有点良心的会在安装界面里默认打上“安装附属产品”的勾,更多的则是一口气给你把所有附属工具都装上了,许多用户在安装了一些共享软件后,突然发现浏览器多了一堆这个条那个霸的,想要卸载时却发现所谓的卸载程序只是个把用户当小孩来哄的界面!可以说,这些恶意软件才是当今网络最令人厌恶的东西,“流氓软件猛于后门也”!
与各种后门木马的意图不同,恶意捆绑软件的立场是自家公司的利益,它们一般不会携带破坏性质的代码(但不代表没有),通常还会拥有一些号称“服务大众”的功能,这些功能或许可以让它得到一些用户的拥戴,但是这种光环并不能掩盖其“服务大众”背后的暴利黑幕。首先,恶意捆绑软件可以轻易收集到用户信息,任何一台被安装了“X手X霸X猪X搜”的计算机都不再与“个人隐私”这个词语有缘。其次,恶意捆绑软件可以借用广大计算机作为它无偿弹出公司广告的殖民地,如果每条广告都能给该软件背后的公司带来一点利润,那么一年下来这个公司就已经从广大用户群的身上搜刮到一大笔可观的钱财了。天下并没有免费的午餐,在你使用这些捆绑软件提供的“快捷服务”时,你就已经付出了代价。
最初,捆绑软件都比较单纯,仅仅使用BHO技术(Browser Helper Objects,浏览器辅助模块)把自己安家在浏览器上而已,但是现在,也许因为被用户清理得多了,一些公司恼羞成怒把ring 0级别的木马技术应用在了自家产品上,配合一种令人厌恶的强制安装技术,再利用金钱开路,让一些网站加载自己的产品,只要用户浏览某个页面,就会不知不觉被安装上一堆BHO,这已经不是一般的强盗行为了,而由于商业关系,一般的杀毒程序是不能去查杀它们的,即使它们与木马后门的特征无异,这时候,用户就要靠自己来了。
首先,浏览器的BHO加载项目是固定在系统目录的“Downloaded Program Files”文件夹里的,对于在浏览器上出现的栏目,只要简单的在这个文件夹里选中删除即可,但是其余残留文件就只能自行寻找了,由于制作恶意捆绑BHO的公司太多,文件存放位置也不同,这里无法给出很全面的删除方法,所以只能推荐两个工具:Upiea和RogueCleaner,使用它们即可快速卸载掉惹人讨厌的附属产品。
四. 生存法则
在森林里,鹿妈妈会警告小鹿不要去到太偏僻或者太远的地方玩耍,因为那里可能隐藏着恶狼。在网络上有更多的恶狼存在,但是却没有人能收到有效的警告。要成为自己的救世主,必须把那一份多余的好奇心收起来,直到已经掌握了清理“不速之客”的技术以后,方可放开好奇心到处看看,否则一不小心被自己的好奇心弄得系统出毛病了,又没法判断清理,最终恐怕还是会回到依赖杀毒软件的用户群去。最后还有一句恒古不变的真理:网络充满风险,勤打系统补丁。
相信看过《黑客帝国》系列的朋友都不会对主人公尼奥感到陌生,这位闯入虚拟世界的程序员一次又一次演绎了“救世主”的角色,保护了城市居民,其形象早已深入人心。
而离开电影后,我们广大的计算机用户要面对的又是另一种亦真亦假的数字虚拟世界——网络,这里同样潜伏着许多危险,同样存在“黑客帝国”,但这里却没有尼奥这个人的存在,我们能看到的,只有形形色色的安全厂商和他们所提供的安全工具,除此之外,似乎已经没有别的选择。
于是乎,许多用户把各种安全工具看成了这个世界中的“救世主”,我们看到许多关于安全工具的广告,我们购买市面上流行的防病毒软件,我们在听闻每周一次的“新病毒预警”时赶紧升级病毒特征库,我们每周都对电脑进行一次漫长的病毒扫描……许多人都这样做,许多人不得不这样做,因为我们把一切都交给杀毒工具了,我们什么都不需要做了,我们只管肆无忌弹的上网聊天看电影下软件,因为我们有杀毒工具,这些工具都具备一个“实时监测”的功能,它每时每刻都会检查我们刚下载的文件,我们感到自己很安全,我们以为这就是网络中的防御。
然而,事实真的如此美好吗?依稀记得有一句话好像是这么说的,“无论你做什么事情,你都不可避免要付出一定的代价”,在我们安然自得的享受由杀毒工具带来的安全防御的同时,我们也在付出相应的代价。为什么呢?因为杀毒工具是一套在系统启动的时候就开始运行直到关机或者用户退出它的时候才会停止运行的程序,它们的检测和防御机制的效率是不能和尼奥相比的。举个简单例子,学过编程的人大概都知道,象棋程序是最难写得完美的,因为象棋的走法从来都没有一个固定的模式,我们能创造出许多花样,但是程序不能,它只能按照有限的判断机制去决定每一步棋怎么走,这就是为什么如今的许多象棋程序看起来像个傻瓜的原因。有人也许会说,做一个强大的象棋程序把尽可能遇到的走法都写进去就可以了,这个象棋程序必然无敌。这样是可行的,但是由此带来的代价就是每个和它下棋的人可能都要花一辈子的时间了,因为程序在每走一步棋之前都要把所有尽可能遇到的情况都“思考”一遍,这样是要付出时间作为代价的,如果要缩短时间,就要让程序在同一时刻思考多种走法,但着时候,代价就变成庞大的系统资源消耗了——你能忍受么?
同样的缺陷正在杀毒软件身上发生,我们知道,大部分杀毒软件是采用“特征码”技术去搜索病毒的,就是说,杀毒软件引擎读取一个程序或文件内容,并与自身数据库里储存的已被确认为病毒程序体内某段特定代码进行匹配,一旦两者相同,杀毒软件就“确认”此文件为病毒。随着病毒家族的庞大,这个数据库体积的增长也到了不可忽视的地步,加载的速度也就慢了。而且数据库每增加一个病毒特征码,杀毒引擎的判断分支就要增多一条,相应的时间也会延长,为了避免出现扫描一个文件需要半小时的尴尬情况,杀毒软件会采用各种提高匹配速度的方案,但这些方案无一例外都要疯狂剥削用户的系统资源,如果一台电脑的配置并不是很高,那么在用户查毒的时候,他基本上已经不能正常做其他工作了,找个电视台慢慢看连续剧吧,这就是尼奥的代价。
那么,谁才是我们的救世主?答案就是——你自己。能信任的人永远只有自己,只要肯努力,每个人都可以做尼奥,不过这也是有代价的,因为它把系统资源的消耗转变为脑子的消耗,把判断分支和经验写入脑子里,在处理分支的效率上,人永远比程序要灵活,而且这样一来就不会出现依赖的恶性循环了,离开了杀毒软件,我们要学会靠自己来保护自己不被这个虚拟世界伤害到。现在,就让我们来做自己的救世主吧。
二. 做自己的救世主
小时候曾经看过一个故事《另一种侵略》,被人类打败的宇宙侵略者送给人类一种水晶,只要人类拿起它想一种物品,这个物品就会出现在自己面前,于是每个人都开始沉浸于无尽的享受中,再也没人去钻研科技国防了,几十年后,人类开始出现退化现象。这时候,宇宙侵略者又来访问地球了,这次它们只用了一条条鞭子就征服了地球,在最后一个人类被驱逐进囚笼之前,他回头含糊不清的说了句什么话——连他的舌头都退化得差不多了,也许他是说:“地球完了。”
以上的故事或许只是虚无的幻想,但类似的行为却正在当代发生,如果一个用户怀疑自己的电脑感染了后门,他的第一个反应大概会是打开杀毒工具。故事里的人类太依赖水晶的魔力,现实中的我们太依赖杀毒软件的方便快捷!也许有人会反对,既然能使用工具方便快捷的保护计算机安全,我又何必自寻烦恼学习安全防御?会这样想的用户没有想到网络的复杂,能闯进计算机的“客人”并非就是在各大安全工具厂商通缉名单上的成员,因为网络中还流传着一部分小规模使用而且没有被公开的“私人后门”(例如大部分DDoS后门工具其实都是自己写自己用的),有能力的人都可以自己写“私人后门”,然后通过多种途径放到别人的计算机上执行。这时候,“病毒库特征码”技术的局限性就开始显露了,被感染了“私人后门”的用户偶尔会察觉到计算机异常,然后他会开始查毒,结果因为渗透进系统的后门程序并没有在病毒特征库里“登记”过,杀毒软件就认不出它了,用户只能在浪费大量时间后看着杀毒软件报告的“没有发现病毒”消息继续“享受”被入侵的感觉。这个事实可笑吗?我们只能在自己信赖的尼奥面前被敌人杀死——甚至这个尼奥也不复存在了,如果后门能把它踢出内存并删除掉的话。
还是那句话,能信任的人只有自己,更何况这是网络。所以,我们不能再战战兢兢的躲在掩体里等待救世主消灭所有敌人了,我们要做自己的救世主!
三. 捕获不请自来的“客人”
“600型机器人包裹的是橡胶外皮,很容易被认出来,但现在的101型机器人是生化技术制造的,有真实皮肤,会呼吸、流血、甚至口臭,一切都和人类一样,直到它开始攻击,你才能知道它不是人类。”
“那你们怎么办?”
“我们用狗识别终结者。”
——《终结者》
在《终结者》里,狗是唯一可以区分敌我的工具,因为它判断对方的方式并不仅仅靠眼睛——眼睛是可以被欺骗的,但是气息不能,一个机器人无论伪装得再怎么逼真,都不能具备生命体的气息,但是它能欺骗人类的视觉和听觉,这就足够了。
后门技术从诞生到现在,已经发展了好几代,对自身的伪装技术也越来越成熟了,从最初的启动项结合隐藏进程方式,到最新的Ring0驱动方式,我们越来越难发现这些“客人”的痕迹,当它开始破坏的时候,已经来不及做补救措施了,所以,我们需要一种可以嗅出后门气息的“狗”。
1.准备工作
在进行一切工作之前,用户需要对系统有点了解,例如注册表、启动项、服务、常见的程序和进程名等,这是学习手工查毒最基本的要求,在初期可以多参考一些介绍系统概念的文章如到处都流传的“系统进程详解”、“WinXP系统服务简介及优化措施”等,并做一点笔记,力求日积月累尽快记住一些最常见的系统程序和相关工具的使用方法,如果过不了这个门槛,后面的工作也就无从谈起。
首先,我们必须了解Windows系统的三大知识点:注册表(Registry)、进程(Process)和权限(Privilege)。
“注册表”是出现在Windows 95及以后版本的一种数据库。在这之前,用户要对软硬件工作环境进行配置,就要修改一种被称为“配置设置”(INI)的文件来完成,但是由于每种设备或应用程序都得有自己的INI文件,无形中增加了管理难度,为了解决这个问题,微软开始统一标准并将各种信息资源集中起来存储,最终形成了将应用程序和计算机系统配置信息容纳在一起的“注册表”,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等,注册表维持着整个系统的正常运作。
注册表采用一种类似文件目录的结构树来描述配置信息,最顶端的5个项目称为“根键”(ROOT_KEY),系统能识别的所有的数据都是从它们这里展开的,这5个根键分别是:
HKEY_CLASSES_ROOT(负责各种组件注册类别和文件并联信息)
HKEY_CURRENT_USER(当前登录用户的环境信息)
HKEY_LOCAL_MACHINE(整个系统的公共环境信息)
HKEY_USERS(所有用户的环境配置信息)
HKEY_CURRENT_CONFIG(当前的配置信息)
其中,我们主要关注的是前面三个根键里的数据,它们是后门最爱篡改的地方,分别是三个启动项目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”,一般的后门都要通过修改这里加入自己的配置信息以达到跟随系统启动的目的;除此之外就是文件并联信息“HKEY_CLASSES_ROOT”,并联型后门最爱更改这里的.exe、.bat、.scr、.com等可执行文件的注册信息,让自己抢先一步运行。更多涉及到的注册表内容以后会提到,现在让我们来看看进程是什么。
“进程”,是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块,系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限,任何程序都必须拥有至少一个进程,否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像,它通常和某个在磁盘上的文件保持着对应关系,一个完整的进程信息包括很多方面的数据,我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题,而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等,其中“进程文件名”和“进程标识符”是必须掌握的关键,“进程标识符”是系统分配给进程内存空间时指定的唯一数字,进程从载入内存到结束运行的期间里这个数字都是保持不变的,而“进程文件名”则是对应着的介质存储文件名称,根据“进程文件名”我们就可以找到最初的可执行文件位置。
最后是“权限”,这里涉及的权限是指80386模式的Ring权限。操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,内核负责一切实际的工作,包括CPU任务调度、内存分配管理、设备管理、文件操作等,外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。由于内核和外壳负责的任务不同,它们的处理环境也不同,因此处理器提供了多个不同的处理环境,把它们称为运行级别(Ring),Ring让程序指令能访问的计算机资源依次逐级递减,目的在于保护计算机遭受意外损害——内核运行于Ring 0级别,拥有最完全最底层的管理功能,而到了外壳部分,它只能拥有Ring 3级别,这个级别能操作的功能极少,几乎所有指令都需要传递给内核来决定能否执行,一旦发现有可能对系统造成破坏的指令传递(例如超越指定范围的内存读写),内核便返回一个“非法越权”标志,发送这个指令的程序就有可能被终止运行,这就是大部分常见的“非法操作”的由来,这样做的目的是为了保护计算机免遭破坏,如果外壳和内核的运行级别一样,用户一个不经意的点击都有可能破坏整个系统。但是现在,Ring已经屡屡被后门木马利用成为一个令人头痛的凶器。
2.进程伪装型后门的歼灭
最初的后门靠注册“系统服务”的方法在Win9x系统里隐藏自己的运行信息,到了NT架构里,这个方法失效了——NT家族自带的任务管理器(Task Manager,TaskMgr.exe)把所有普通进程都一视同仁的显示出来,连初级用户都能轻易发现后门运行的痕迹,于是后门制造者开始攻克心理学和障眼法,让后门进程在任务管理器里把自己标榜为“系统关键进程”,达到欺骗用户的目的。
我们都知道,任务管理器列出的众多进程里包含着一部分“关键进程”,它们是无法通过任务管理器中止的,而且许多文章也会提到相关进程名,久而久之,我们又养成一个习惯:查看进程信息时,只要看到熟悉甚至类似的进程名就忽略不计了,仅仅去寻找不熟悉的进程名,于是后门制造者就直接利用这个心理暗角配合路径遍历法则,让后门进程显示为“smss.exe”、“svchost.exe”、“lsass.exe”、“csrss.exe”、“winlogon.exe”等关键进程名就欺骗了用户和任务管理器。
在这种情况下,系统自己的任务管理器已经不能信任了,因为它遗漏了最重要的路径信息,后门就利用了这一点——它可以把自己伪装成svchost.exe放到Windows目录下,然后在注册表启动项里加上不带路径信息的“svchost.exe”信息,系统在根据目录遍历法则一层层深入寻找svchost.exe时会在Windows目录里发现并执行它,而真正的关键进程svchost.exe是在SYSTEM32里的,而且它也必须通过“服务管理器”(Service Control Manager,SCM)加载,于是任务管理器会显示多个svchost.exe进程,但是由于缺乏路径指示,我们根本不知道系统已经多了一个假的svchost.exe。即使我们发现了它是假的,也无法用任务管理器终止它的运行,因为任务管理器只是简单的判断了文件名就认为它是“关键进程”了,自然不会让你终止。类似的后门伪装文件名还有“SYSTEM undll32.exe”、“SYSTEM32 undll.exe”(NT架构里根本没有rundll.exe这个程序)、“SYSTEMservices.exe”等,要发现并歼灭这些后门,除了要求我们对常见的系统关键进程有所了解以外,还需要第三方提供的扩展任务管理器协助,例如Windows优化大师携带的进程查看器,用它便可迅速发现路径不对的“假兄弟”。
其实最迅速的查找方法是运行“系统配置实用程序”(MSCONFIG.EXE),切换到“启动项”,如果在这里发现了“系统关键程序”的信息,那它一定是假的。
3.服务欺骗型后门的战役
Windows的任务管理器不可终止两种程序的运行:一种是关键进程,另一种是通过服务管理器SCM启动的系统服务程序(NT-Service),所以一部分后门制造者设法把后门做成服务形式,让SCM直接帮助启动服务进程,不再借用注册表启动项加载,这样即使是对注册表启动项有一定了解的用户也难以发现异常,而且就算他想终止任务管理器里显示的奇怪进程,也会被拒绝,如果用户对服务管理器的了解不深,那他将会在眼花缭乱的服务面前变得束手无策。
这时候,我们又需要请“系统配置实用程序”出山了,切换到“服务”选项卡,把“隐藏所有Microsoft服务”,这里就只显示非微软开发的普通服务程序列表了,包括服务欺骗型后门的服务项,一般它会包含欺骗性质的字符或者伪装成某厂商的服务名,如“Rising Virus Monitor”(瑞星监控)、“Macromedia License”等,记住这里显示的列表名称,接着运行“服务管理器”(Services.msc)找到对应的项目,看看属性里的文件和路径是不是真的,如果你并没有安装KAV、MCAFEE这些杀毒软件而SCM里却找到对应项目的话,它就是狡猾的后门没错了。一些间谍软件还会自作主张的把自己命名为“Windows Print Controller”,简直就是无视系统自身的“Print Spooler”服务。
找到这类后门后,不要急着终止它的运行,既然后门作者知道SCM能直接停止它们,就必然会做一些复活措施,所以我们必须先把后门服务的“启动类型”设置为“禁止”,然后重启一次确保后门程序无法跟随系统启动,这时候才能开始清理后门。其中文件的路径信息SCM已经提供给我们了,直接在磁盘上找到删除即可,但是服务项目不能直接用SCM删除,要删除这个残留的服务项,首先要对系统服务有个最初的概念。
官方对系统服务的定义如下:
在NT架构系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是底层(接近硬件)程序。通过网络提供服务时,服务可以在Active Directory中发布,从而促进了以服务为中心的管理和使用。服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 既然服务自身也是独立出来的程序,它就必须有一个加载的入口,我们可以把这个入口理解为第二个启动项,这个入口是由SCM负责的,无论是什么身份的用户进入系统,SCM启动服务的位置都固定在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里,所以只要找这个分支就可以发现所有服务——也许你会说,这里显示的名字似乎都毫无意义,我怎么知道哪个是我正在找的?其实很简单,我们回到SCM,查看一个服务的属性,例如“DNS Client”服务,它的属性里写着“显示名称:DNS Client 服务名称:Dnscache”,现在回到注册表分支,查找“Dnscache”,就会看到它是CurrentControlSet ServicesDnscache,这就是我们在SCM里看到的“DNS Client”服务,如果你删除掉“Dnscache”项目,那么整个“DNS Client”服务也就消失了。以此类推,很快就可以清理掉服务欺骗型后门。
4.最艰难的寻找:Ring 0后门
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——Ring 0。
位于Ring 0层的是系统核心模块和各种驱动程序模块,所以位于这一层的木马也是以驱动的形式生存的,而不是一般的EXE。后门作者把后门写成符合WDM规范(Windows Driver Model)的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件EXE的信息,所以通过驱动模块和执行文件结合的后门程序便得以生存下来,由于它运行在Ring 0级别,拥有与系统核心同等级的权限,因此它可以更轻易的把自己隐藏起来,无论是进程信息还是文件体,甚至通讯的端口和流量也能被隐藏起来,在如此强大的隐藏技术面前,无论是任务管理器还是系统配置实用程序,甚至系统自带的注册表工具都失去了效果,我们不得不借助于更强大的第三方工具。幸好,一部分持有编写Ring 0程序能力的人并没有加入Ring 0木马的阵营,而是把技术用到了安全检查方面,于是我们有了IceSword、RootkitRevealer、knlsc等优秀的检测工具。
一般的进程工具是运行在Ring 3级别的,它们读取的依据来自Ring 0层,这些数据是可以被运行于Ring 0级别的木马修改的,所以它们根本无法得知木马程序信息,而IceSword等检测工具不同,它们和Ring 0木马一样,也是通过驱动的模式进入Ring 0层工作的,不再需要从Ring 0层获取信息,所以它们能得到未被木马篡改的原始链表数据,例如最原始的进程信息,它是不能被更改的,如果木马把它自身从原始进程信息里删除,就意味着它要自我终结了。所以一旦有进程工具从 Ring 0层直接读取了原始数据,再把这个数据和Ring 3层获取到的进程列表比较一下,就能迅速发现哪个是拼命隐藏自身的木马程序了。很巧合的是,驱动程序和系统服务共享同一个加载入口,即HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,只要查找相应的Ring 0木马文件名,就会发现它,删除掉注册表的加载数据后重新启动计算机,再删除掉木马文件就可以解决了。
5.清理不受欢迎的附属产品
“21世纪什么最贵?人才!”
——《天下无贼》
黎叔说的这句话固然无可厚非,只是他大概不知道,在21世纪的网络上,网民最恨的就是一部分利用歪点子制造“广告软件”(Adware)和“流氓/间谍软件”(Spyware)的“人才”。如今的网络已经被这些不受欢迎的软件使用捆绑战术给占领了,随便下载个共享工具,有点良心的会在安装界面里默认打上“安装附属产品”的勾,更多的则是一口气给你把所有附属工具都装上了,许多用户在安装了一些共享软件后,突然发现浏览器多了一堆这个条那个霸的,想要卸载时却发现所谓的卸载程序只是个把用户当小孩来哄的界面!可以说,这些恶意软件才是当今网络最令人厌恶的东西,“流氓软件猛于后门也”!
与各种后门木马的意图不同,恶意捆绑软件的立场是自家公司的利益,它们一般不会携带破坏性质的代码(但不代表没有),通常还会拥有一些号称“服务大众”的功能,这些功能或许可以让它得到一些用户的拥戴,但是这种光环并不能掩盖其“服务大众”背后的暴利黑幕。首先,恶意捆绑软件可以轻易收集到用户信息,任何一台被安装了“X手X霸X猪X搜”的计算机都不再与“个人隐私”这个词语有缘。其次,恶意捆绑软件可以借用广大计算机作为它无偿弹出公司广告的殖民地,如果每条广告都能给该软件背后的公司带来一点利润,那么一年下来这个公司就已经从广大用户群的身上搜刮到一大笔可观的钱财了。天下并没有免费的午餐,在你使用这些捆绑软件提供的“快捷服务”时,你就已经付出了代价。
最初,捆绑软件都比较单纯,仅仅使用BHO技术(Browser Helper Objects,浏览器辅助模块)把自己安家在浏览器上而已,但是现在,也许因为被用户清理得多了,一些公司恼羞成怒把ring 0级别的木马技术应用在了自家产品上,配合一种令人厌恶的强制安装技术,再利用金钱开路,让一些网站加载自己的产品,只要用户浏览某个页面,就会不知不觉被安装上一堆BHO,这已经不是一般的强盗行为了,而由于商业关系,一般的杀毒程序是不能去查杀它们的,即使它们与木马后门的特征无异,这时候,用户就要靠自己来了。
首先,浏览器的BHO加载项目是固定在系统目录的“Downloaded Program Files”文件夹里的,对于在浏览器上出现的栏目,只要简单的在这个文件夹里选中删除即可,但是其余残留文件就只能自行寻找了,由于制作恶意捆绑BHO的公司太多,文件存放位置也不同,这里无法给出很全面的删除方法,所以只能推荐两个工具:Upiea和RogueCleaner,使用它们即可快速卸载掉惹人讨厌的附属产品。
四. 生存法则
在森林里,鹿妈妈会警告小鹿不要去到太偏僻或者太远的地方玩耍,因为那里可能隐藏着恶狼。在网络上有更多的恶狼存在,但是却没有人能收到有效的警告。要成为自己的救世主,必须把那一份多余的好奇心收起来,直到已经掌握了清理“不速之客”的技术以后,方可放开好奇心到处看看,否则一不小心被自己的好奇心弄得系统出毛病了,又没法判断清理,最终恐怕还是会回到依赖杀毒软件的用户群去。最后还有一句恒古不变的真理:网络充满风险,勤打系统补丁。
武装到牙齿 07个人电脑安全配置手册
[ 2007-03-25 02:56:05 | 作者: sun ]
前言
几年前在社区中也发过类似的帖子,但是之后时间由于各种原因并没更新重发。今年由于熊猫的原因我决定发布新版本的安全手册。
本贴仅面相普通的计算机使用用户,说以我尽量避免使用复杂的系统设置图解而是尽可能用第三方软件代替。软件的使用宗旨也是尽量使用免费软件和中文软件。
思路我的重点并没有放到查杀上,而是注重防上。一切都围绕这个主题进行。
由于这是一个很庞杂的帖子,一次不可能完成所以帖子会不断进行更新,某些内容可能来源其它网友我会尽可能署上作者姓名,如有 相关问题请联系我:)更新前后会效仿软件的版本号的形式注明。我已经向社区的版主征集相关的稿件,并会把相关的内容及时更新上来。
面相对象
目前本贴仅面相单机普通个人用户的系统安全。但是考虑到很多朋友已经拥有二台或两台以上的计算机设备,而且多机联网可以有更大的安全空间,和更多安全选择以及更好的安全效果。说以相关的内容会在后面的时间更新(已经在朋友那里组建完毕三机〔两台式一笔记本〕测试平台,目前正在测试并收集相关的数据)
系统安装前
分区应该是大家在安装系统前最先碰到的一个问题,也是第一个被大家忽略的问题。给大家的意见就是系统盘也就是大家说的c盘应该在10G左右考虑到新系统(VISTA)可适当的扩展到15G。而工具盘也是说的D盘也应该在10G左右的空间。剩下的盘符大家可以自便,但是最后一个区空间应该适当的大一些因为我们用它来作资料备份使用。
磁盘格式的选择
强烈建议大家的把C,D两个盘符分成NTFS格式。因为WINDOWS的安全全都是建立在NTFS基础之上的。抛弃了NTFS也就不要谈什么安全了(大家注意的是使用NTFS格式后在 DOS下是 看不到NTFS分区的,你看到的C:应该是NTFS分区之后的那FAT32个区,但是借助其它软件也可以查看DOS下的 NTFS的 数据)但是我也不推荐全部分区都使用NTFS,因为这样你备份以及一些其它的操作可能会受到一些影响。所以个人的意见是把最后一个区也就是备份区分成FAT32。
系统选择
微软的VISTA系统已经上市了,但是由于其极高的硬件要求更因为第三方软件软件兼容性上的问题。我们暂时没有选择VISTA而是选择成熟的 WINDOWS XP SP2 PRO。(放弃了2003是因为其设置上对于很多用户是巨大的瓶颈,而且2003对很多软件尤其是安全软件都存在兼容性的问题。但是在以后涉及到多机安全上我们将涉及2003或服务器版本的 VISTA)
系统安装
对于普通用户来说系统安装是最简单的问题了,看似没有说的必要。但是往往问题都是出在我们忽略的小事情上。比如系统,补丁,驱动等的安装顺序上。我的建议是系统→SP补丁(当然目前的XPSP2已经没有必要)→Microsoft .NET Framework,IE, Windows Media Player更新包→安全更新→驱动的顺序进行安装。当然并不是说你不安这个顺序安装有什么问题,但是这样作做少会降低很多不必要的隐患。
首次备份时间点
这样安装完驱动后,我们的系统就基本本宣告安装完毕了。此时建议你使用备份软件对系统进行备份,并最好把备份文件进行光盘存档。
软件提示
由于众所周知的问题,在进行以上安装的时候用户会碰到第一个棘手的问题。就是无法下载WINDOWS的安全更新!此时建议相关的用户安装Windows Updates Downloader,该软件是免费软件,首次使用需要到其官方网站下载相应语言版本的文件(有WINDOWS和OFFICE二种)之后就可以点击DOWNLOAD更新,它不仅仅提供安全更新,还提供SERVICE PACKS(也就是SP)更新和FRAMEWORK更新。唯一需要注意的就是该软件不会检测你 系统中已经安装的补丁,它之会把所有更新全部列出,所以用户下载时请酌情下载相应的补丁。它还会下载非关键更新OTHER:)但是不一定没有用,很有意思哦!
操作系统设置
以前是非常难说的问题,也是最费笔墨的一个部分。但是现在有了XP-ANTISPY这个软件一切都变的非常简单了!它同样也是一个免费软件,它将系统设置的各个的方面以选项的的 形式放在用户面前,最让人兴奋的的 是每个选项作者都给出了详细说明,用户根据提示就可以把为复杂的系统的设置变成简单的点击。
非管理员账户的创建及设置
说VISTA的安全性的 提高,一个重要的原因就是。微软借鉴LINUX的对管理员账户进行严格管制的思路,不让用户直接进入管理员账户即使要进入也输入密码……其实我们在非VISTA系统也可以这样作。(由于时间的关系该内容以后更新)
密码管理
前言
为什么要设置密码,很多用户都不去设置密码或设置简单得罪你密码都是为了方便。但是在实际情况中,用户拥有什么权限病毒木马就有什么样的权限。没有权限控制的的计算机也就对病毒木马全开绿灯。最关键是用户不要以为有了安全软件和防火墙就可以不设置密码了因为这是完全没有关系的二个安全体系。由于密码设置的特使原因我无法对所有的密码管理都进行详尽的设置,用户最好根据自己的软、硬件使用说明以及自己的使用情况进行设置!但是唯一要提醒用户你自己最好不要忘记自己设置的密码:)
系统账户密码
首先我们必须要对ADMINISTRATOR账户进行密码设置而且密码应该是12位以上(因为木马病毒都带有弱口令密码字典,而且黑客账户都带有各种密码字典在可接受的时间内它们可以暴力破解95%以上的用户密码)。而且在我的电脑→管理→计算机管理→“本地用户和组”中用户应该停用除ADMINISTRATOR账外的所有账户比如GUEST账户,即使用户需要某些账户也应该对这些账户设置足够强健的密码。
请给你的安全软件设置密码
在安全软件中很多软件都有密码控制的选项,用户很多时候都没有理会。但是为了这些软件自身的安全以及保护你的软件设置请给你的安全软件设置密码。
硬件密码
ADSL MODEM在默认情况下都有默认的出厂密码,一些别有用心的人就可以通过这个“漏洞”控制并攻击用户!所以请参照你的硬件说明更改密码!
安全软件的选择
前言
对于防病毒软件来说,没有什么完美的软件。甚至在一线和二线厂商之间也没有什么大的分别。因为几乎每一个我们知道或不知道的厂商都有自己独特的反病毒技术,正是因为这种理念的不同就使的各个软件在不同方面都有自己的优点及缺陷。对于用户来说没有最好的,只有最适合自己的。当然这种分寸拿捏是需要用户对自己系统了解,以及对各个软件长时间反复测试才能的出。对于普通用户来说这显然是很困难的。所以我给出是一个最大众化的配置,它在各个方面都不会是最出色的配置,但是它也应该是综合性能最优秀的一个。
普通用户方案
主杀毒软件
瑞星二??七
并非是因为我是IKAKA的版主或因为本贴是在社区首发,而推荐瑞星二??七的。因为这个版本的瑞星改进的脱壳程序完善了网友对瑞兴诟病最多的木马查杀环节,使用“碎甲”技术,完善了启发查毒以及对虚拟机的成功应用,这一切都让瑞星成了用户的不二选择。而且只要对瑞星进行合理的设置就基本可以抵御用户面对安全问题。
安全建议:社区有不少二??七优化方案的 帖子大家最好看看:)
辅助杀毒
这里的杀毒软件仅仅是对 主杀毒软件的一个补充,因为目前的安全形式已经很难让用户用单一的安全手段面对日益增长威胁。辅助杀毒一般不会有实时监控程序即使有也建议用户取消,仅仅只在下载新软件后手动调用辅助杀毒程序进行查杀(也就是鼠标右键)
推荐1
Cureit它是鼎鼎大名的Dr.web的 免费版。Dr.web是俄科学院研制供俄罗斯军方专业的杀毒软件,其引擎对木马脱壳能力应该是众多杀毒软件中最强大的,即使是卡巴斯基单从引擎上 说也逊色三分。Cureit根Dr.web的 区别仅仅是没有实时监控程序,其它诸如引擎和病毒库上都是完全相同的。
优点:完全免费,资源占用少 缺点:没有中文版。
推荐二
**
**就不用说了,其根瑞星的渊源我也不用细细道来了,选用**的理由很简单就是其设计的初衷!一款主动防御软件。具体的 说明大家有兴趣可以到其官方网站了解。
优点:国货!对主杀毒程序兼容好 缺点:付费软件,资源占用稍大。
防火墙
前言
没有安全的墙!目前大家对防火墙评测基本都是国外网站的测试的结果,而且流行的无非都是那几款。但是非常遗憾的告诉大家这些墙都有或大或小的安全BUG,而且即使是ZA这种被网友“力捧”的墙在其设计构架中都存在致命的缺陷。最关键不是你看别人说什么墙好,而是你了解什么墙你会用什么墙。
瑞星二??七防火墙
又是瑞星?没错!首先它是瑞星杀毒软件标准版中就附带,而且经过不断的改进瑞星防火墙已经成为一款成熟的产品。瑞星杀毒软件+瑞星防火墙+注册表监控,用户只要运用好这3样工具就基本可以从容的应付常见的安全威胁。
社区有网友提供瑞星防火墙规则包建议大家安装,不错的:)有时间我可能会更新一个新包上来:)
花絮:一样的外衣不一样的心
很多人都关系某某部门用了什么软件或军方用了什么软件,其实这完全没有什么意义因为首先你不可能享受到想这些部门一样的服务。其次这些杀毒软件的DAT或防火墙的规则你是根本就接触甚至看不到的。编译好自己的规则才时最关键的。
HIPS一
什么是HIPS
HIPSPS(主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系(比如瑞星的注册表监控), File Defend(简称FD)文件防御体系三类。
第一次使用HIPS时用户进行各种操作软件都会有提示,用户安提示操作就可以了以后只要文件没有被病毒或木马破坏就不会有相关的提示,但是这也要求使用HIPS一定要不怕麻烦,并能认真阅读HIPS的提示信息。否则HIPS对你不但没有什么帮助,也会徒增你的烦恼
推荐
System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD(正因为瑞星又RD功能,所以我推荐SSM作为普通用户方案HIPS的搭配)
注意:SSM有付费和免费两种版本,免费版仅缺少几项项监控。用户可根据自己的情况选择!建议大家用免费版本:)
第二次备份时间点
使用上述软件对 系统进行完全扫描后,用户就可以进行第二次的备份操作!备份文件直接备份备份区分即可刻在光盘上也不错:)
免费方案
免费软件已经不是一个陌生的名词,免费的安全盛宴也不可不称“丰富”。用好这些免费软件你同样可以拥有安全。还是那句话没有最好的软件,只有最合理的使用方法。
PS:根据免费软件的使用协议,您如果使用后依然中毒,或导致系统冲突,进而引起数据损毁甚至硬件损坏等不良后果一概由您自行承担。因此如果您对软件尚不甚了解,请到论坛各专区学习,或请专人指导,或发帖求助。同样出于时间的问题我也无法给出这些软件的兼容性测试。建议用户首次使用时仅用在学习交流测试中。
主杀毒软件
推荐1
AntiVir PersonalEdition Classic就是网友说的“小红伞”。一款来自德国的安全产品今年在瑞星参加过的德国的AV-test测试上基本保持第一第二的地位。它的免费版杀毒软件也只是少了很少功能,引擎和病毒库和收费版本完全相同。在国际上非常有名,在国内更是有着不小的影响。在免费杀毒软件首推AntiVir是因为其是以出色的启发”查毒。
PS: Classic是免费版本Premiun是付费版本,还有免费版也显示有时限日期不用理会到时软件会自动更新新的授权。
优点:免费难道不是最大优点吗?缺点:没有中文版
推荐2
捷克的AVG Anti-Virus是欧洲著名的杀毒软件,今年发布的7.5版本功能全面,无论是启发还是特征码杀毒技术都很成熟。它可能是提供了功能缩水最少的免费版杀毒软件,只是有部分功能无法设定,其它都和收费版本相同!
优点:同上 缺点:同上
PS:免费的国产杀毒软件有“东方卫士”抵抗英文的朋友可以用一下。
辅助杀毒
推荐一
罗马尼亚BitDefender Antivirus 8 Free Edition其实它也很有明,其付费版我 也曾经试用过,感觉很不错:)号称世界上病毒库最多的安全软件
PS: 繁体中文版下www.bitdefender.com.hk/site/Main/view/Download-Free-Products.html
优点:繁体中文也是中文呀! 缺点:没有监控所以用在辅助杀毒也不是问题了……
推荐二
Novatix Cyberhawk这个是什么什么东东?嘿嘿!它就是美国版的WEIDIAN但是人家是免费的!
优点:免费的主动防御工具 缺点:没有中文版
防火墙
前言
免费的防火墙实在是太多太多了,热评排名的帖子有很多但是针对免费防火墙测试帖子还没有看到。但是就是有谁又能知道其权威性呢?还是那句最关键不是你看别人说什么墙好,而是你了解什么墙你会用什么墙。
推荐一
费尔防火墙3.0
我个人力推的免费软件,最近更新了3.0界面和性能都有很大的提高,极力推荐大家试用一下。其它国产防火墙风云,傲盾等等都有自己令人称道一面大家可以根据自己的需要试用。
优点:国产软件
推荐二
Comodo Personal Firewall Pro来自英国的功能强大、高效而容易使用的防火墙,提供了针对网络和个人用户的最高级别的保护,从而阻挡黑客的进入和个人资料的泄露。以上都是官方的说法……但是推荐的理由完全是另一个原因,因为科摩多防火墙是第一个在内置国际语言中有中文的软件!!!
优点:新墙,老外的但是支持中文没有什么理由不试一试。
HIPS二
ProSecurity是今年发布的新东东,当前的是1.25版。它占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。稳定也不错,对于AD控制采用了先进的SHA效验技术,也提供了免费版本。用够了SMM吗?用ProSecurity吧!
优点:免费而且有直接支持中文哦!
虚拟还原
有社区的朋友说上面的方法都非常的麻烦,使用杀毒软件+防火墙+虚拟机的组合,的确目前还是没有可以感染虚拟机的病毒,但是个人认为这样组合在某些方面是不错但是仍有些问题让人挠头。我依旧给出一个软件但是比虚拟机要方便一些。
推荐
PowerShadow Master。它是原联想部门经理鲍禹卿开发的,它开发出影子系统后,在国内共享软件难以见到收益的环境下,暂时放弃国内市场,开发英文版并在欧美市场采用代理方式销售后,现在软件认知度很高,国内渐渐也有很多用户。在2006年底,鲍禹卿决定将这款优秀软件打入中国市场,以获得更庞大的用户群,如果是个人用户使用,它还是免费的!
它有两种模式:一种是保护系统分区,一切对系统的更改在下次启动后全部无效,对非系统分区的更改是有效的,一种是全盘保护模式。它独创的影子模式让真正的系统具有隐身的能力,使你拥有一个真正自修复免维护的系统。
全面了解各种反垃圾邮件的解决方案
[ 2007-03-25 02:55:41 | 作者: sun ]
自2000年后,互联网技术飞速发展,邮件技术已经逐步成为了现代社会最重要的沟通工具之一。然而,予生俱来的是垃圾邮件对邮件用户的侵扰;到2006年末,这种侵扰已经成为公认的最大的互联网应用威胁之一。有许多数字让人触目惊心:每天全球产生的垃圾邮件达1000封;用户收到的邮件之中,有94%是垃圾邮件;美国、中国是全世界最大的两个垃圾邮件生产国家和消费国;中国网民每周收到的垃圾邮件数平均达到了19.4封。这些垃圾邮件充斥着各种非请求的商业广告、色情与反动内容、政治敏感话题传播、甚至计算机病毒与恶意代码,给我们正常的邮件收发增加困难,使企业的网络与邮件资源被恶意浪费,甚至有可能对组织与个人的硬件资产遭受入侵、破坏等损失。垃圾邮件最新的形式是钓鱼邮件,Spammer通过传播类似银行及会员机构邮件的方式,来骗去用户的用户名和密码,直接获取非法利益;而有些则通过恶意代码控制计算机,使网络用户的计算机变成Zombie PC,利用这些PC来发送大量广告等垃圾邮件以获取商业价值。可以说,反垃圾邮件的斗争以及到了白热化的程度。
中国的反垃圾邮件技术研究几乎和国外同步,但产品化进程比较慢,基本上到2003年后才有初步能够应用的专业级产品与系统方案。在国际上,有两大开源社区比较权威,目前世界上大部分垃圾邮件的核心技术都来源这两个社区,一个是著名的SpamAssassin,一个是,Razor。而中国目前还没有形成比较成规模的反垃圾邮件技术开源社区。在技术上,特别是产品结构上都借鉴这些著名的先行者。
说到反垃圾邮件的技术方案,一般有三种类型的解决方案。
第一种是初级的用户级客户端方案。
大部分人都认为客户端方案效果不好,这里面其实有个误区,很多说法是包含了商业利益在里面的,所以就不能够客观的评价。客户端方案,有些人就认为是Foxmail、Outlook之类的邮件客户端自带的简单的黑白名单判别垃圾邮件功能,其实这是有误的。真正的客户端方案,不仅包含这些黑白名单功能,也包括其他类型方案一样的一些手段,象实时RBL、指纹检查、信任网络、甚至包含内容过滤等技术,由于它服务的对象是“客户端个人用户”,没有关注邮件服务器而已,然后它仍然是专业级别的反垃圾邮件防方案。关键是,需要找到专业的产品,而且这种方案在50人以下应用环境时具有很好的经济价值,在超过50人的应用环境下,这种方案就没有其他的方案更具竞争力。代表产品是全球知名的反垃圾邮件技术公司Cloudmark公司的个人版反垃圾邮件产品。
第二类技术方案是反垃圾邮件网关方案。
这种方案是目前应用最广泛,也是应用最简便的企业级反垃圾邮件方案。这种方案是各种反垃圾邮件技术综合到一台设备或者软件系统当中去,放在邮件服务器的前端,对进出邮件系统的所有邮件进行过滤、审查,对违反规则或者具有明显垃圾邮件特征的邮件予以处置。 网关型的反垃圾邮件方案,其形态可以是专用硬件产品,也可能是软件形式。需要特别强调的是,传统上认为硬件产品比软件产品好,这种认识也是有很大偏差的,需要差别的看:如果反垃圾邮件网关软件能够与邮件系统实现真正意义上的无缝结合的化,是能够大大提升系统的整体性能的,而不是象部分商业公司宣称的那样,硬件产品一定是最好的;原因很简单: 这中间节省了两个计算环节(反垃圾邮件系统在将邮件系统解包检后,可以不用打包就可以直接转给邮件系统接受;而邮件系统不需要先对邮件进行解包,就可以直接接受--减少动作,就意味着性能的提高)。
网关方案做为最主要的企业级反垃圾邮件方案,因各商业和研究机构的技术路线不同,主要有3种:
(1)基于经验规则和内容检查技术的技术路线。这类反垃圾邮件网关,以内容检查为主,主要的检查手段包括关键字过滤、贝叶斯过滤、基于规则的评分系统、邮件指纹检查、黑白名单技术、速率控制等等。需要的是提取样本、提取内容特征等信息,来检查与过滤垃圾邮件。代表的产品是梭子鱼反垃圾邮件系统。 需要注意的是,这类产品大多数需要进行大量的内容检查计算,对产品的系统结构和硬件平台的系统资源要求比较,性能峰值不是很高,特别是部分产品是用pear编写的,程序的限制,使得性能成为其最主要的瓶颈。 这点用户在选择时是需要关注的,选型时尽量采用高一点的型号,以应对突然的邮件高峰。
(2)智能行为识别技术路线。由于认识到基于规则与内容技术路线在性能上的局限性,有部分技术人士摈弃了内容检查,而是将产品方案的主要检查手段放在了邮件的协议分析。 这类技术通过总结和分析垃圾邮件发送者的各种共性行为,比如用客户端群发软件发送、高频率发送、Dns伪装、IP欺骗等等方法,解析出这些“垃圾行为”的特征并形成规则,用这写规则来判别一封邮件是否合法。这类技术,同时包括了众多的邮件合规性认证机制;同时也包含了部分杀病毒等内容层技术。 同样需要大家注意的是,这类技术针对的是大规模的、以群发为特征的垃圾邮件,而针对单个、无规律的、甚至是合法来源发送非法内容的邮件,没有很好的解决方案。因为它不强调内容检查,而对对垃圾邮件判定最重要的标准是“内容”非法! 但,这种技术已经能够拒绝大部分垃圾邮件了,因为绝大部分垃圾邮件确实是通过群发的方式产生的。 这类产品的代表厂商是敏讯科技,以及来自台湾的硕奇公司反垃圾邮件产品(该公司更宣称完全运用行为识别技术来反垃圾邮件)。
(3)混合模式路线。这种技术路线强调过程化处理技术,利用过程化处理技术整合各种反垃圾邮件技术,既包括基于协议分析的智能行为识别,也包括基于规则与内容检查的模式对比路线。反垃圾邮件网关在智能过程化处理平台的控制下,有次序的让邮件接受各个层次的合规性检查与内容检查。综合应用行为识别技术,在协议层对TCP/IP进行分析规范发件连接行为、在SMTP层对邮件从Hello、Auth、From、To、Data等各个层次进行合规性检查,对违发正常规则的邮件进行重点分析,对明显的群发行为予以处置。而内容检查阶段,也是严格按照“过程”来进行的,病毒查杀、用户级黑白名单、关键字、贝叶斯过滤、指纹检查、以及其他的基于内容检查的技术。 这类网关的设计架构比较好,“过程化”的处理办法,让大量的垃圾邮件在“前端”就被过滤掉,而在内容阶段系统的工作量非常的少,能够大幅度的提升系统的整体工作性能和垃圾处理能力。 这类产品的代表是Commontouch反垃圾引擎,以及智海华程CyanFilter反垃圾邮件引擎。 他们共同的特点是过程化处置,都拥有自己核心的反垃圾邮件引擎。Coummontouch的反垃圾引擎采用实时检查技术,轮回检查信任网络;而CyanFilter反垃圾邮件引擎则包含了中文分词、特征进化引擎技术等等,使得青莲Cyanlotus反垃圾网关更具有强大的中文垃圾能力。 另外,Cloudmark公司的电信级反垃圾邮件网关也同样拥有这中能力,其基因算法与全球最大“可信任用户网络”更是无与伦比。
第三类是ASP反垃圾邮件服务方案
这种方案主要针对用户数量少于500人的中小企业环境。反垃圾邮件服务提供商首先建立一个反垃圾邮件服务中心,这个中心的系统拥有同时向多域、多服务器提供反垃圾服务的能力。用户在购买了反垃圾邮件服务后,将自己邮件地址的MX记录指向该服务中心,该服务中心同时添加该用户域名,这样用户的邮件在到达用户的邮件系统(不管是购买的空间的方式,还是有独立服务器)前,首先达到ASP反垃圾邮件服务中心进行过滤检查,达到净化垃圾的目的。这种方案比较经济、不受地域和部署方式的限制。 但,目前为止,国内还没有实际投入运营的反垃圾邮件ASP出现。
用户,不管是个人用户还是企业级用户,在选择反垃圾邮件方案时,都需要认真考虑一下几个因素:
(1)经济性。个人用户和数量比较少的企业,可以选择采用专业客户端或者ASP反垃圾邮件服务的解决方案,既节省投资也具有同样的反垃圾效果,而且免去了后期维护之类。
(2)反垃圾系统的反垃圾效果。对反垃圾系统效果的评价一般包括垃圾邮件识别率、漏报率,同时更需要关注垃圾邮件误报率,特别是将正常邮件判别为垃圾邮件的“假阳性”误报问题,这是反垃圾邮件系统的最关键的参考因素。我们可以容忍一天收到若干垃圾邮件(当然是数量不多的情况下),但所有人都不能忍受有正常的邮件被错误的判定为“垃圾”而遭受“丢弃”!而评价反垃圾邮件系统反垃圾效果的方法,就是实际试用! 因为每个用户受的垃圾邮件类别是不一样的,有的用户垃圾邮件主要是英文垃圾、有的是中文垃圾、有的是图片的、有的则是广告文字的、还有的是钓鱼类的、而有的则是以病毒垃圾为住。不同的垃圾邮件特征,需要采用不同的反垃圾邮件产品方案:如英文垃圾多,则我们可以首选国外专业产品;如果中文垃圾多,则首先要考虑国内的,特别是有中文分词技术(由于中、日、韩三国语言的双字节及不分词的特殊性,一般反垃圾产品能难有效应对);而对病毒垃圾多的,则可以考虑主要由杀病毒公司提供的反垃圾邮件产品。
(3)注重系统的整体性能。反垃圾邮件产品,如果性能不过关,随着业务的增长和垃圾邮件泛滥问题的日益严重,可能会有很大问题,另外性能问题有可能会影响我们正常的邮件收发效率;由于产品在设计和硬件配置上的缺陷(特别是产品结构与设计语言的缺陷),导致邮件堵塞、溢出、正常邮件丢失、系统瘫痪等等,将会使我们损失惨重!
(4)管理简便与灵活性。一般来讲,灵活性与简便的要求是矛盾。我们的原则是,逐步减少网管人员和用户的工作量,同时又给予网管和用户最大限度的个性化需求。如每个用户都应该拥有自己的个性化黑白名单、自己个性化的关键字过滤策略等等,以使得我们反垃圾邮件系统更具有针对性和效率。选择产品时,一般要考虑web管理、参数设置简单、管理维护工作量少、拥有智能(特别是有自学习能力)的产品。同时,产品的升级要及时,特别是病毒库的升级。
综合以上的一些所述,用户在进行反垃圾邮件工作时,要全面了解各种反垃圾邮件方案与自己的实际需要想对应的程度,我们不能一味的听**厂家或者组织宣称自己是最好的和唯一好的解决方案,最好与最合适只有我们自己说了算。 品牌和市场保有量在中国没有参考意义(大部分品牌都是通过大量的宣传得来的,而中国用户是出名的“随大众,爱面子”),建议的做法是“试用”用实际效果说话!特殊的,在中国反垃圾,首先要把重点放在“中文”垃圾上、图片垃圾、钓鱼垃圾上! 同时,还要看该反垃圾方案是否具有完备的“挽回”机制,有全面的日志包括垃圾邮件日志、阻断邮件日志(大部分产品没有此功能)、病毒邮件日志以及收发的正常邮件日志。
反垃圾邮件是一件任重道远的事业,需要我们大家的共同努力。
防止雇员遭受社会工程学攻击
[ 2007-03-25 02:55:29 | 作者: sun ]
虽然我们确实在继续受到病毒、蠕虫、间谍软件和其它各种形式的恶意软件的威胁,但是,整个安全的状况在改善。防火墙已经取得了进步,更多的企业采取了更好的补丁管理措施,而且入侵防御和入侵检测等技术正在更广泛的应用。随着安全的这种增长,黑客在做什么呢?
黑客被迫在做攻击者过去做过的事情:把目标对准薄弱的环节。这个薄弱环节就是社会工程学的所在。社会工程学是一种危险的攻击机制,因为它不直接对目标实施攻击。社会工程学在IT领域被定义为一种说服人的技巧。据市场研究公司Gartner的一篇研究报告称,70%的以上的非授权访问信息系统是内部雇员所为,95%的以上的这种入侵导致了严重的金融损失。
你也许会想,这些数字表明许多遭受这种损失的公司都有坏雇员。但是,实际情况并非如此。许多雇员都是社会工程学攻击的受害者。一个社会工程学攻击者能够以多种方式向雇员展开攻击。Robert Cialdini撰写的“劝说的科学与实践”一书介绍了这些方法。这本书列出了社会工程学使用的六种主要方法。这些方法包括:
·经验不足:通过建立紧迫感操纵雇员。
·权威:根据权威的承诺欺骗雇员。例如,“你好,是服务台吗?我是为高级副总裁工作的,他需要立即重新设置他的口令。”
·一致性:人们喜欢平衡和秩序。例如,当人们问我们过的如何时,我们一般都回答说“很好!”。
·社会确认:根据这种想法,一个人可以做这个事情,其他人也可以做。例如,你曾看到酒吧服务员的装满了钱的罐子吗?这也许会让你想到如果每一个人都在往里放钱,你也应该那样做!
·回报:如果有人给你一个纪念品或者一个小礼物,你就要考虑回赠一些东西。
采取什么措施才能防止你的雇员被利用呢?第一,制定政策和程序。政策应该解决设置账户的规则、如何批准访问和改变口令的批准程序等问题。政策还应该解决人们担心的一些物理方面的问题,如碎纸片、锁、访问控制和如何陪同和监视访问者等。
第二,进行教育和培训。如果雇员不了解政策规定或者没有对这些政策规定的应用进行过培训,政策就毫无用处。如果雇员理解安全政策的目的以及忽略这些安全政策可能给公司带来的负面影响,雇员就会更好地遵守公司的这些政策。必须要对雇员进行培训,让他们知道如何报告安全突破事件。
最后,检验和监督遵守政策的情况。审计和定期检验有助于使政策结构更有效率。经常巡查各个部门并且寻找暴露的口令或者敏感的信息。检验也许还可以包括给雇员或者服务台打电话,看看是否能够强迫他们向你提供口令。当雇员遵守政策的时候,应该对于他们良好的安全行为给予奖励。通过遵守上述三个简单的步骤,你将极大的提高粉碎社会工程学攻击的能力。
黑客被迫在做攻击者过去做过的事情:把目标对准薄弱的环节。这个薄弱环节就是社会工程学的所在。社会工程学是一种危险的攻击机制,因为它不直接对目标实施攻击。社会工程学在IT领域被定义为一种说服人的技巧。据市场研究公司Gartner的一篇研究报告称,70%的以上的非授权访问信息系统是内部雇员所为,95%的以上的这种入侵导致了严重的金融损失。
你也许会想,这些数字表明许多遭受这种损失的公司都有坏雇员。但是,实际情况并非如此。许多雇员都是社会工程学攻击的受害者。一个社会工程学攻击者能够以多种方式向雇员展开攻击。Robert Cialdini撰写的“劝说的科学与实践”一书介绍了这些方法。这本书列出了社会工程学使用的六种主要方法。这些方法包括:
·经验不足:通过建立紧迫感操纵雇员。
·权威:根据权威的承诺欺骗雇员。例如,“你好,是服务台吗?我是为高级副总裁工作的,他需要立即重新设置他的口令。”
·一致性:人们喜欢平衡和秩序。例如,当人们问我们过的如何时,我们一般都回答说“很好!”。
·社会确认:根据这种想法,一个人可以做这个事情,其他人也可以做。例如,你曾看到酒吧服务员的装满了钱的罐子吗?这也许会让你想到如果每一个人都在往里放钱,你也应该那样做!
·回报:如果有人给你一个纪念品或者一个小礼物,你就要考虑回赠一些东西。
采取什么措施才能防止你的雇员被利用呢?第一,制定政策和程序。政策应该解决设置账户的规则、如何批准访问和改变口令的批准程序等问题。政策还应该解决人们担心的一些物理方面的问题,如碎纸片、锁、访问控制和如何陪同和监视访问者等。
第二,进行教育和培训。如果雇员不了解政策规定或者没有对这些政策规定的应用进行过培训,政策就毫无用处。如果雇员理解安全政策的目的以及忽略这些安全政策可能给公司带来的负面影响,雇员就会更好地遵守公司的这些政策。必须要对雇员进行培训,让他们知道如何报告安全突破事件。
最后,检验和监督遵守政策的情况。审计和定期检验有助于使政策结构更有效率。经常巡查各个部门并且寻找暴露的口令或者敏感的信息。检验也许还可以包括给雇员或者服务台打电话,看看是否能够强迫他们向你提供口令。当雇员遵守政策的时候,应该对于他们良好的安全行为给予奖励。通过遵守上述三个简单的步骤,你将极大的提高粉碎社会工程学攻击的能力。
教你十种方法 轻轻松松远离垃圾邮件
[ 2007-03-25 02:55:16 | 作者: sun ]
去年的最后一个月,美国调查表明垃圾邮件数量破了历史纪录,占所有邮件的94%。垃圾邮件已经成了除病毒木马之外,网络的另一大“公害”。ITsecurity整理了十种对付垃圾邮件的方法,让我们来看一下,因为是国外网站,是否符合我国情况还需斟酌。
1.使用邮件过滤系统
这应该是很多人常用的方法,大型邮件服务商也会提供此类服务,但是仍不够精确。
2.使用病毒过滤系统
很多垃圾邮件利用了木马病毒,你把病毒拒之门外,相关的垃圾邮件也就无机可乘了。
3.保护自己的邮件地址
最好把不同用途的邮箱分开,注册那些不重要的网站论坛之类的,可以专门申请一个“杂物箱”,你不随处暴露自己的邮箱地址,垃圾邮件通过猜测找到你的机会还是不大的。
4.测试谁在“扔垃圾”给你
如果怀疑某些站点在给你发送垃圾邮件,你可以用不同的邮箱注册试验一下,找出源头之后屏蔽之
5.收到垃圾邮件之后应该怎么做
首先不要打开它,因为很可能含病毒,然后退信,这样可能会让有些垃圾邮件服务器端认为你的信箱已经不可用。
6.退订(Opt-out)信件
美国的一项法案是:用户对于任何商业邮件可采用opt-out的方式退出,而发送商业邮件的公司必须按规定明确提示该邮件属于商业或广告性质,并提供可让收件人选择退出的方式,包括可回复的地址或可进入的网站。邮件发送者一旦收到用户的opt-out要求,必须在10天内响应,停止向该用户继续发送邮件。在国内可能不管用……
7.注意邮件的注册名
一个远离垃圾邮件的方法是选择合适的用户名。很多人喜欢用自己的名字或者aaa123之类的地址,这样很容易被字典破解出来。
8.远离危险区域
据统计,邮件病毒最多的三类站点分别是赌博、游戏和成人站,对于这些网站,要特别注意。
9.举报
将你发现的垃圾邮件发送者举报给相关机构,国内这一区域似乎空白,但是也可以向国外机构反映试试。
10.报复?
俗话说,君子报仇十年不晚,可以考虑用一些手段向垃圾邮件发送者发送垃圾邮件:P,当然你得小心,这种行为也可能会使你遭到法律的制裁。
1.使用邮件过滤系统
这应该是很多人常用的方法,大型邮件服务商也会提供此类服务,但是仍不够精确。
2.使用病毒过滤系统
很多垃圾邮件利用了木马病毒,你把病毒拒之门外,相关的垃圾邮件也就无机可乘了。
3.保护自己的邮件地址
最好把不同用途的邮箱分开,注册那些不重要的网站论坛之类的,可以专门申请一个“杂物箱”,你不随处暴露自己的邮箱地址,垃圾邮件通过猜测找到你的机会还是不大的。
4.测试谁在“扔垃圾”给你
如果怀疑某些站点在给你发送垃圾邮件,你可以用不同的邮箱注册试验一下,找出源头之后屏蔽之
5.收到垃圾邮件之后应该怎么做
首先不要打开它,因为很可能含病毒,然后退信,这样可能会让有些垃圾邮件服务器端认为你的信箱已经不可用。
6.退订(Opt-out)信件
美国的一项法案是:用户对于任何商业邮件可采用opt-out的方式退出,而发送商业邮件的公司必须按规定明确提示该邮件属于商业或广告性质,并提供可让收件人选择退出的方式,包括可回复的地址或可进入的网站。邮件发送者一旦收到用户的opt-out要求,必须在10天内响应,停止向该用户继续发送邮件。在国内可能不管用……
7.注意邮件的注册名
一个远离垃圾邮件的方法是选择合适的用户名。很多人喜欢用自己的名字或者aaa123之类的地址,这样很容易被字典破解出来。
8.远离危险区域
据统计,邮件病毒最多的三类站点分别是赌博、游戏和成人站,对于这些网站,要特别注意。
9.举报
将你发现的垃圾邮件发送者举报给相关机构,国内这一区域似乎空白,但是也可以向国外机构反映试试。
10.报复?
俗话说,君子报仇十年不晚,可以考虑用一些手段向垃圾邮件发送者发送垃圾邮件:P,当然你得小心,这种行为也可能会使你遭到法律的制裁。
