2007年5月28日星期一
注意:网上流传Office 2007算号器已经无法通过正版验证
最近,Office Genuine Advantage更新了。上网验证,需要下载新版本的验证软件。我发现,我原本使用去年底“Melinda”放出的算号器计算出的Office 2007 Pro VLK,原先一直能通过正版验证,而现在则不能通过此验证了。经过多次重新算号,依然无法通过正版验证。于是上Google查找资料,发现国内外都有人发现了这个算号器已经被微软封掉,无法再通过验证。此外,微软对待CD-KEY的策略也有所更改。
2007年5月27日星期日
Live Spaces 与K-Meleon打架?
4月以来,我发现我用K-Meleon浏览器无法直接进入Windows Live Space了。我得到了一个如下提示:
XML Parsing Error?怎么Spaces主页是XML来着?奇怪了。怎么可能是XML?我用IE和Win下的Firefox,没一点问题。一看源代码,显然不是XML而是HTML。
不过在页面的最下方,我看到:
Object?这好像是IE专用的对象吧。。我在一边打开了Firefox,看是否也能找到这段代码。结果找了半天,没找到。再翻回网页头部,赫然发现:
Firefox 用户框架?看来M$是死不愿意自己的站完全符合W3C,做了个双重标准。但是就算是IE专用的代码,也不至于被浏览器弄成XML吧?一看包头:Content-Type: application/xhtml+xml
难怪了。。。。
xhtml+xml,IE6SP2/IE7支持的标准。放到任何版本的Gecko里都是不会支持的。但是为什么对于明显是Gecko引擎的
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.7) Gecko/20060917 K-Meleon/1.02
M$的服务器竟然认不出来?怪了。。。
尝试改useragent为Firefox 1.5的
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11
这下居然返回了Content-Type: text/html,也返回了ClientFramework Firefox。正常了。
看来M$在对User-agent的处理上,有些不对,只看Firefox而不看Gecko.....
这不知是Spaces的那些工程师们懒惰(很少用IE以外的浏览器),还是微软故意为之?另外Safari上上Spaces也存在相当多的兼容问题,KDE的Konqueror上去返回也是IE的xhtml+xml,唉。。。微软还是原来那微软。搞多重标准,兼容都只是“被迫”。
XML Parsing Error?怎么Spaces主页是XML来着?奇怪了。怎么可能是XML?我用IE和Win下的Firefox,没一点问题。一看源代码,显然不是XML而是HTML。
不过在页面的最下方,我看到:
<script type="text/javascript">//<![CDATA[ if(null==window["Live"]) window["Live"] = new Object(); Live.Footer = new Object(); Live.Footer.Custom = "";Live.Footer.Custom+=' <li dir="ltr" class="sep">|</li> <li><a target="_new" id="footerCustom1" href="http://support.live.com/default.aspx?productKey=wlspacesabuse">Report Abuse</a></li>';Live.Footer.Custom+=' <li dir="ltr" class="sep">|</li> <li><a target="_new" id="footerCustom2" href="http://yksoft1.spaces.live.com/feed.rss">Subscribe to RSS feed</a></li>';Live.Header.rf(); //]]></script>
Object?这好像是IE专用的对象吧。。我在一边打开了Firefox,看是否也能找到这段代码。结果找了半天,没找到。再翻回网页头部,赫然发现:
<html xmlns:spaces xmlns:Web class="ClientFramework Firefox" web:culture="zh-CN">
Firefox 用户框架?看来M$是死不愿意自己的站完全符合W3C,做了个双重标准。但是就算是IE专用的代码,也不至于被浏览器弄成XML吧?一看包头:Content-Type: application/xhtml+xml
难怪了。。。。
xhtml+xml,IE6SP2/IE7支持的标准。放到任何版本的Gecko里都是不会支持的。但是为什么对于明显是Gecko引擎的
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.7) Gecko/20060917 K-Meleon/1.02
M$的服务器竟然认不出来?怪了。。。
尝试改useragent为Firefox 1.5的
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11
这下居然返回了Content-Type: text/html,也返回了ClientFramework Firefox。正常了。
看来M$在对User-agent的处理上,有些不对,只看Firefox而不看Gecko.....
这不知是Spaces的那些工程师们懒惰(很少用IE以外的浏览器),还是微软故意为之?另外Safari上上Spaces也存在相当多的兼容问题,KDE的Konqueror上去返回也是IE的xhtml+xml,唉。。。微软还是原来那微软。搞多重标准,兼容都只是“被迫”。
2007年5月18日星期五
Windows Server 2008将不会是最后一个32位Windows?
Windows Server 2008将不会是最后一个32位Windows?
据neowin报道,微软服务器部门的一名经理称Windows Server 2008将是最后一个32位的服务器操作系统。但和某些人的误解并不相同,目前的Windows Vista并不一定是微软客户端操作系统的最后一个32位版本。但当64位Vista系统的驱动程序集逐渐扩大之后,微软将会考虑在客户端操作系统上跟进实施全面64位。
yksoft1评论:全面64位?2010年以前显然不现实。很多即使是2006年的计算机都不能支持64位计算,比如所有迅驰3及以前的移动平台;许多设备在目前64位的XP和Vista下的表现,同样非常令人失望。而且,全面转向64位的代价是牺牲无数老硬件和老软件,升级成本是一个很严重的问题。
2007年5月15日星期二
转自国内某杀毒软件论坛的几个观点
1、就从这里的发贴求助的系统中,可以看出,大多中毒的,是通过浏览网页中的。 我知道会有人立即说:“不对,也有不少是通过移动存储设备中的毒。”
呵呵!!! 别急,那移动存储设备里的毒哪来的呢? 绝大多数,还不是在另一个浏览网页中毒的电脑上感染的嘛!!! 源头,绝大多数还是聚拢在浏览网页。 被人为故意黑了的,有!! 不是大多数哦。 因为真如你们所说的,黑一个系统必须是固定的IP才好黑,或黑一个没有任何防护的开放的系统。 这不是大多数的。 真正要强调的是,浏览网页中毒!!!!! 重中之重哦。 很多网页只含恶意代码,利用的是网页的脚本或任何网页中可以在点击网页后自动运行的任何口令来执行,这是现今的任何单机方法,不能完全阻止的,例如一个动画的图,在用户点击网页以后,这个动画动起来的口令都可能成为黑客挂恶意代码的专营方向。 想阻止这些漏洞,除非你不上网浏览网页。 现在的毒,大多是为了利益,下载木马才是最主要的,现在的杀软大多能干掉好多木马,这就迫使作恶的人必须想法,现在大多这样,一股脑塞进很多东西,其中只夹少量新变种的木马,大多用户是只依赖杀软的,无法彻底清除木马,导致很多网民利益损失。 那么这越来越多的木马怎么下来的,这也是很多求助的贴里常喊的、常问的、常骂的。 呵呵!! 这就得说说漏洞了,网页一旦放有恶意代码,有相应漏洞的系统使用者在点击网页后,系统将执行其恶意代码,大多是简单的去恶意代码指定的地址下载大量的木马病毒。并在下载后执行运行指令。 这一套下来,系统就哈哈了.............. 我们真正应该关心的,就是怎样阻止这些,现在看来,打补丁和上防火墙监控欲连接网络的东西,上一些能监控进程运行的小软件,例如一些具有主动防御的软件。都是必须的。 至于怎么做,这就得各位会家,各位版主们出出主意啦。 本人很菜啦,没大主意咯。
评论:这个东西是真言。但是这个太片面了。你怎么知道对手的系统和浏览器?
2、 任何安全软件 运行在 修改/精简/美化的版本的系统上面 都是不能100%发挥的这也就是为什么某些人装了卡巴会出现假死的现象,而有些人就不会. 区别在于系统 微软每月的补丁 都是基于原版的系统.对于修改/精简/美化的版本的系统修补漏洞的区别效果还是比较明显的.也就是曾经在魔波肆虐的时候,卡卡会出现 有人打了补丁却依旧中招的现象. 用户的系统选择权在用户好比 吸烟有害健康,是否吸烟 选择权依旧在你的手中. 作为测试 来说 必须有一个标准,当然要选择原版的系统.修改/精简/美化的版本可能会出现意外的现象. 好比在某些修改/精简/美化的版本 安装卡巴会有假死的现象,你说这是卡巴的错么?显然不是. 修改/精简/美化的版本的系统在加载安全软件不是没用,而是效果比不上原版系统,这点要区别开来!!! 对于窗口防御的帖子,我原先没看见,现在看见了我还是要说. 1 抛开 虚拟IE 对系统低层的影响不说,此类非虚拟硬件 在I/O端口 写代码就废了.也就是说 前段时间 有人说影子被穿透了道理是一样的.玩毒的碰上sandboxie 被穿透是常事.为何 几乎没听说 VPC虚拟机被穿透? 区别在于 虚拟机是虚拟硬件而影子之类是虚拟磁盘. 2 对于LinkScanner 仅仅局限在部分搜索引擎.甚至baidu也不支持. 3 对于反钓鱼插件我要说的是,MSR Strider URL Tracer 碰上一个新的钓鱼网址呢?Generate types for 就没用了. 4 随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外) 最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了. 在加上一大堆的窗口防御的软件,其易用性又有多少??又有多少用户懂得英文?
评论:几乎没听说 VPC虚拟机被穿透?一样要小心,additions的共享目录,桥接网络。。。。
任何安全软件 运行在 修改/精简/美化的版本的系统上面 都是不能100%发挥的
而且中文杀软在日本语甚至英语系统下也一样。
3、也去看了窗口防御的文章。taylor已经说了很多了,我觉得还有一点:进行更为全面的窗口防御就要依靠非IE核心的浏览器。我觉得这样说不完全正确。我也可以说“要拒绝病毒更为全面的措施就是放弃Windows系统”。 Firefox、 Opera等非IE内核浏览器,的确不会受IE漏洞的影响。但这也只是因为人家针对IE漏洞而已。至于非IE而完全是系统的漏洞如ANI漏洞,之所以 Opera不受影响,不是因为没漏洞,而是因为Opera不支持动态设置鼠标光标图案的代码!也就是说,恶意的畸形图片文件不会发作,正常的鼠标动态光标也不能设置。 Firefox和Opera等非IE内核浏览器,对网页各种各样的代码的支持,都不如IE这样全面。所以当我们用非IE内核浏览器的时候,其实是在牺牲功能而希望因此少一点被威胁的可能。更何况非IE内核浏览器不是没漏洞。甚至有利用它们处理javascript上的弱点,利用一个特殊的网页就可以让Firefox出错崩溃的例子。 如果的确是抱着不惜牺牲功能而确保安全的思想,那么有一种方法更彻底,那就是注销WSH脚本宿主,这样大多数恶意脚本皆不能起作用了。 当然,对于普通用户来说(这里特指那些根本不打系统补丁的用户),为了避免电脑中存在的漏洞的影响,当然非IE浏览器是一个选择。但是,不能认为放着漏洞不补而换非IE浏览器,以牺牲某些功能为代价,就是根本的解决措施。打全漏洞补丁,又有一定安全设置的IE浏览器,一般其安全性能其实并不会比非IE浏览器差到哪里去(有人说,这样有恶意代码杀软还是会报毒,而用非IE的就不会,回答是,无论报不报毒,你的相应漏洞补上了,恶意代码根本就不能得逞)。当然,除非有0day的漏洞被大量利用,这时需要暂时使用非IE浏览器,或配合其他安全软件(如杀软查杀利用ANI漏洞的畸形文件)。 所以,并不是说非IE浏览器不需要,但是用非IE浏览器广泛代替IE浏览器,既不现实也不必要。
评论:又是一个windows环境推定。又是一个菜鸟用户推定。不过这句威力是有的,彻底KO MS05039/MS06014。 “如果的确是抱着不惜牺牲功能而确保安全的思想,那么有一种方法更彻底,那就是注销WSH脚本宿主,这样大多数恶意脚本皆不能起作用了。”
4、 在说说小聪首先非IE是完全支持标注的网页代码的,指示很多网页都因为对IE加一些其它代码而已,而且目前非IE也不是没有解决的方法。其它说到漏洞代码确实是这样任何东西都有漏洞,但是还请看我的帖子并且主要浏览器黑盒的问题,都在说0DAY,但是黑盒的原理是什么? 而且一个网页可以针对不同的浏览器都注入漏洞代码?这样的网页有多少人见过?而且这还是没有用我的方案的臆测。所以请用过之后在说好吗?
评论:第二点同意。Fx、Opera的远程代码执行漏洞和相应网马,我知道他们的存在。但是,它们都是洋人高手手中的玩艺,国人甚至连研究都不想去研究——要么涉及到溢出和shellcode,要么就得把自己放到一个新世界里思考,对于习惯了研究Windows和IE漏洞的人,是有困难的。更不用说利用了。
5、我有一个疑问: Geswall这样的浏览器沙盘,木马在其中运行的话,的确不是直接对真实的系统做操作,但是反馈给木马的信息还是属于真实系统的信息对不?也就是说,木马还是可以得到用户保存在系统里的隐私数据。然后,木马是否可以像在正常系统中运作一样,把这个隐私数据发送出去?(沙盘不可能把用户与网络的界面交互都阻止,否则用户就没法进行登陆邮箱等操作了)如果可以,那木马已经达到它的目的了。即使你一关闭沙盘,木马就不再运行了,木马没有真正地感染你的系统,但是这一切都已经不重要了。 这同样也就是我个人不提倡把装影子系统看成是免疫病毒的法宝的原因。shadow模式下重启一下,木马是没了,但是在木马运行在shadow模式的过程中,它很可能已经得到了你的隐私信息并发送出去了,这样你的实质损失还是已经付出了。因为木马的真正目的不是为了感染系统,而是为了获取隐私信息,只要这个目的达到了,木马就完成了它的使命了。
评论:还是虚拟机、未被破解的硬件还原卡最安全。
看来这个论坛里面懂技术的不少,但是真正黑过站、写过毒、挂过马,甚至自己研究过各种漏洞甚至0day的不多。
2007年5月13日星期日
Windows XP 序列号的类型
大家都知道XP的“系统属性”里有一个Product ID。这个ID中,第二段是表示该序列号的类型。
据我的观察,国内最常见的号段包括007、335、640和OEM四个。
另外,XP的序列号是全语言版本通用,第一段相同的一个序列号可以适合于所有不同语言的对应版本XP。
- 000 : 其它,可能是零售或者试用版
- 007 : 零售版
- 009 : 绑定版
- 011 : 部分升级版
- OEM : OEM版
- 270 : VLK
- 296 : MSDN版,也属于VLK的一种
- 308/347 : Microsoft Action Pack 订户专用版
- 335 : 零售版
- 640到652 : VLK版
- 699 : XP Tablet
- 071 : 未知
据我的观察,国内最常见的号段包括007、335、640和OEM四个。
另外,XP的序列号是全语言版本通用,第一段相同的一个序列号可以适合于所有不同语言的对应版本XP。
2007年5月11日星期五
据说allyes.com的很多广告页面被挂马了?国内Spaces用户的大灾难。。
对于用“中国”区域申请live space的windows未补丁用户。。。哈哈。这几天,allyes.com的多个广告生成页面都被挂马,指向allyes.com,挂的是http://7y7.us/1.htm,通过多重脚本调用,实现调用MS07-017 ANI格式漏洞的exploit和ms06-014漏洞的利用程序,下载hTTp://7y7.us/oK/svchost.exe。virustotal结果如下:
Complete scanning result of "svchost_virus.exe.app", received in VirusTotal at 05.11.2007, 13:08:19 (CET).
看到了,卡巴、NOD32、麦咖啡、诺顿均免杀。但是可以信任的的小红伞却将其当场击毙。
进一步分析得知这个也只是个downloader,下回一堆命名??so.exe和??so1.dll的东西,以前都见过,似乎都是盗各种游戏帐号的。技术,竟然如此轻易就沦落到如此地步。
唉。
Complete scanning result of "svchost_virus.exe.app", received in VirusTotal at 05.11.2007, 13:48:33 (CET).
| Antivirus | Version | Update | Result |
| AhnLab-V3 | 2007.5.10.0 | 05.11.2007 | no virus found |
| AntiVir | 7.4.0.15 | 05.11.2007 | TR/Crypt.ULPM.Gen |
| Authentium | 4.93.8 | 05.10.2007 | no virus found |
| Avast | 4.7.997.0 | 05.11.2007 | no virus found |
| AVG | 7.5.0.467 | 05.10.2007 | no virus found |
| BitDefender | 7.2 | 05.11.2007 | no virus found |
| CAT-QuickHeal | 9.00 | 05.10.2007 | (Suspicious) - DNAScan |
| ClamAV | devel-20070416 | 05.11.2007 | no virus found |
| DrWeb | 4.33 | 05.11.2007 | no virus found |
| eSafe | 7.0.15.0 | 05.10.2007 | suspicious Trojan/Worm |
| eTrust-Vet | 30.7.3627 | 05.11.2007 | no virus found |
| Ewido | 4.0 | 05.11.2007 | no virus found |
| FileAdvisor | 1 | 05.11.2007 | no virus found |
| Fortinet | 2.85.0.0 | 05.11.2007 | suspicious |
| F-Prot | 4.3.2.48 | 05.10.2007 | no virus found |
| F-Secure | 6.70.13030.0 | 05.11.2007 | no virus found |
| Ikarus | T3.1.1.7 | 05.11.2007 | no virus found |
| Kaspersky | 4.0.2.24 | 05.11.2007 | no virus found |
| McAfee | 5028 | 05.10.2007 | no virus found |
| Microsoft | 1.2503 | 05.11.2007 | PWS:Win32/Frethog.C |
| NOD32v2 | 2258 | 05.11.2007 | no virus found |
| Norman | 5.80.02 | 05.11.2007 | no virus found |
| Panda | 9.0.0.4 | 05.10.2007 | Suspicious file |
| Prevx1 | V2 | 05.11.2007 | no virus found |
| Sophos | 4.17.0 | 05.08.2007 | no virus found |
| Sunbelt | 2.2.907.0 | 05.05.2007 | no virus found |
| Symantec | 10 | 05.11.2007 | no virus found |
| TheHacker | 6.1.6.112 | 05.10.2007 | no virus found |
| VBA32 | 3.12.0 | 05.10.2007 | no virus found |
| VirusBuster | 4.3.7:9 | 05.10.2007 | Trojan.OnlineGames.Gen!Pac.19 |
| Webwasher-Gateway | 6.0.1 | 05.11.2007 | Trojan.Crypt.ULPM.Gen |
| Aditional Information |
| File size: 21045 bytes |
| MD5: d66d26129ead45e96986e3b162986b1d |
| SHA1: 63c80ae12a57a87f5168d19bea0e593c2176b510 |
看到了,卡巴、NOD32、麦咖啡、诺顿均免杀。但是可以信任的的小红伞却将其当场击毙。
进一步分析得知这个也只是个downloader,下回一堆命名??so.exe和??so1.dll的东西,以前都见过,似乎都是盗各种游戏帐号的。技术,竟然如此轻易就沦落到如此地步。
唉。
2007年5月6日星期日
[经验总结]autorun.inf的攻防
Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫等都有这种传播方式。它们有时是根目录下的神密幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。
Autorun.inf被病毒利用一般有4种方式
1.OPEN=filename.exe 自动运行。但是对于很多XPSP2用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
2. shell\Auto\command=filename.exe shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?
3.shellexecute=filename.exe ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
4. shell\open=打开(&O) shell\open\Command=filename.EXE shell\open\Default=1 shell\explore=资源管理器(&X) 这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫”工具。
免疫的办法(对可移动磁盘和硬盘)
1、同名目录
目录在Windows下是一种特殊的文件,而两个同一目录下的文件不能同名。于是,新建一个目录“autorun.inf"在可移动磁盘的根目录,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。
2、autorun.inf下的非法文件名
目录有些病毒加入了容错处理代码,在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下,诸如"filename."这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内容。因此,在“autorun.inf"目录建一个此类特殊目录,方法如"MD x:\autorun.inf\yksoft..\",可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。
3、NTFS权限控制
病毒制造者也是黑客,知道Windows的这几个可算是Bug的功能。他们可以做一个程序,扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname..\"、或者通过利用Windows NT的Native API中的文件系统函数直接插手,删除该特殊目录。因此,基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。但是,该办法不适合于音乐播放器之类通常不支持NTFS的设备。这三步可谓是一步比一步精彩。
但是,最大的问题不在怎么防止生成这个autorun.inf上,而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。
1、结合ANI漏洞,在autorun.inf里将icon设成一个ANI漏洞的Exploit文件(经过我的实验,发现Windows有一种特性,就算把ani扩展名改为ico,还是可以解析出图标),这样只要一打开“我的电脑”,未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。(我突然想到一个极其可怕的事情:如果在ANI漏洞还没补丁那一阵有人把网站的favicon.ico替换了,那结果将是极其恐怖的!)
2、提高病毒的整体编程水平,综合以上各种反免疫方式,另外利用多数国内windows用户常以高权限登录系统的特点,自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限,击破这最坚固的堡垒。
面对如此恐怖的东西,对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案,
1、一定要将系统和安全软件保持在最新状态。即使是盗版用户,微软也不会不给重要级别的安全更新,也从来没有过在重要级别安全更新中加入反盗版程序的记录。
2、尽量以受限制的帐户使用系统和上网,这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能,正是因为它能够使用户在尽量方便的同时,享受到受限用户的安全。
3、某种程度上,可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞,制作网页木马,安装盗号程序,盗取账号,获得人民币。这条黑色产业链中,IE其实是最容易剪断的一环。珍爱系统,系统一定要更新,要有能防止网页木马的杀毒软件,IE不要太多用。
4、恶意捆绑软件,现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己(如SONY XCP事件),而一些恶意软件本身就是一个病毒木马的下载器。因此,不要让流氓接近你的机器。
5、直截了当的终极解决手段为什么autorun.inf叫做autorun.inf?答案在于Windows的几个和外壳有关的系统文件。主要是shell32.dll和explorer.exe。如果从这几个系统文件中替换字符串"autorun.inf",改成你想要的其他值,就可以彻底和这个幽灵说再见了。什么东西想自动播放,就不能再用autorun.inf而必须用你改的这个东西。当然这样做的后果是各卷的自定义图标都得重做。
6、防止分区对象的上下文菜单被修改给懒人用的方法。其实explorer会把那些自定义的上下文菜单保存在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 下,只要这个键没有写权限,那就几乎高枕无忧了,完全不怕随意单双击了。
Autorun.inf的攻防战还在继续,只会变得越来越精彩,网民的安全意识会在攻与防的对立与统一中获得突破性的进展。
yksoft1 原创
Autorun.inf被病毒利用一般有4种方式
1.OPEN=filename.exe 自动运行。但是对于很多XPSP2用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
2. shell\Auto\command=filename.exe shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?
3.shellexecute=filename.exe ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
4. shell\open=打开(&O) shell\open\Command=filename.EXE shell\open\Default=1 shell\explore=资源管理器(&X) 这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫”工具。
免疫的办法(对可移动磁盘和硬盘)
1、同名目录
目录在Windows下是一种特殊的文件,而两个同一目录下的文件不能同名。于是,新建一个目录“autorun.inf"在可移动磁盘的根目录,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。
2、autorun.inf下的非法文件名
目录有些病毒加入了容错处理代码,在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下,诸如"filename."这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内容。因此,在“autorun.inf"目录建一个此类特殊目录,方法如"MD x:\autorun.inf\yksoft..\",可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。
3、NTFS权限控制
病毒制造者也是黑客,知道Windows的这几个可算是Bug的功能。他们可以做一个程序,扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname..\"、或者通过利用Windows NT的Native API中的文件系统函数直接插手,删除该特殊目录。因此,基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。但是,该办法不适合于音乐播放器之类通常不支持NTFS的设备。这三步可谓是一步比一步精彩。
但是,最大的问题不在怎么防止生成这个autorun.inf上,而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。
1、结合ANI漏洞,在autorun.inf里将icon设成一个ANI漏洞的Exploit文件(经过我的实验,发现Windows有一种特性,就算把ani扩展名改为ico,还是可以解析出图标),这样只要一打开“我的电脑”,未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。(我突然想到一个极其可怕的事情:如果在ANI漏洞还没补丁那一阵有人把网站的favicon.ico替换了,那结果将是极其恐怖的!)
2、提高病毒的整体编程水平,综合以上各种反免疫方式,另外利用多数国内windows用户常以高权限登录系统的特点,自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限,击破这最坚固的堡垒。
面对如此恐怖的东西,对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案,
1、一定要将系统和安全软件保持在最新状态。即使是盗版用户,微软也不会不给重要级别的安全更新,也从来没有过在重要级别安全更新中加入反盗版程序的记录。
2、尽量以受限制的帐户使用系统和上网,这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能,正是因为它能够使用户在尽量方便的同时,享受到受限用户的安全。
3、某种程度上,可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞,制作网页木马,安装盗号程序,盗取账号,获得人民币。这条黑色产业链中,IE其实是最容易剪断的一环。珍爱系统,系统一定要更新,要有能防止网页木马的杀毒软件,IE不要太多用。
4、恶意捆绑软件,现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己(如SONY XCP事件),而一些恶意软件本身就是一个病毒木马的下载器。因此,不要让流氓接近你的机器。
5、直截了当的终极解决手段为什么autorun.inf叫做autorun.inf?答案在于Windows的几个和外壳有关的系统文件。主要是shell32.dll和explorer.exe。如果从这几个系统文件中替换字符串"autorun.inf",改成你想要的其他值,就可以彻底和这个幽灵说再见了。什么东西想自动播放,就不能再用autorun.inf而必须用你改的这个东西。当然这样做的后果是各卷的自定义图标都得重做。
6、防止分区对象的上下文菜单被修改给懒人用的方法。其实explorer会把那些自定义的上下文菜单保存在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 下,只要这个键没有写权限,那就几乎高枕无忧了,完全不怕随意单双击了。
Autorun.inf的攻防战还在继续,只会变得越来越精彩,网民的安全意识会在攻与防的对立与统一中获得突破性的进展。
yksoft1 原创
订阅:
博文 (Atom)