1、就从这里的发贴求助的系统中,可以看出,大多中毒的,是通过浏览网页中的。 我知道会有人立即说:“不对,也有不少是通过移动存储设备中的毒。”
呵呵!!! 别急,那移动存储设备里的毒哪来的呢? 绝大多数,还不是在另一个浏览网页中毒的电脑上感染的嘛!!! 源头,绝大多数还是聚拢在浏览网页。 被人为故意黑了的,有!! 不是大多数哦。 因为真如你们所说的,黑一个系统必须是固定的IP才好黑,或黑一个没有任何防护的开放的系统。 这不是大多数的。 真正要强调的是,浏览网页中毒!!!!! 重中之重哦。 很多网页只含恶意代码,利用的是网页的脚本或任何网页中可以在点击网页后自动运行的任何口令来执行,这是现今的任何单机方法,不能完全阻止的,例如一个动画的图,在用户点击网页以后,这个动画动起来的口令都可能成为黑客挂恶意代码的专营方向。 想阻止这些漏洞,除非你不上网浏览网页。 现在的毒,大多是为了利益,下载木马才是最主要的,现在的杀软大多能干掉好多木马,这就迫使作恶的人必须想法,现在大多这样,一股脑塞进很多东西,其中只夹少量新变种的木马,大多用户是只依赖杀软的,无法彻底清除木马,导致很多网民利益损失。 那么这越来越多的木马怎么下来的,这也是很多求助的贴里常喊的、常问的、常骂的。 呵呵!! 这就得说说漏洞了,网页一旦放有恶意代码,有相应漏洞的系统使用者在点击网页后,系统将执行其恶意代码,大多是简单的去恶意代码指定的地址下载大量的木马病毒。并在下载后执行运行指令。 这一套下来,系统就哈哈了.............. 我们真正应该关心的,就是怎样阻止这些,现在看来,打补丁和上防火墙监控欲连接网络的东西,上一些能监控进程运行的小软件,例如一些具有主动防御的软件。都是必须的。 至于怎么做,这就得各位会家,各位版主们出出主意啦。 本人很菜啦,没大主意咯。
评论:这个东西是真言。但是这个太片面了。你怎么知道对手的系统和浏览器?
2、 任何安全软件 运行在 修改/精简/美化的版本的系统上面 都是不能100%发挥的这也就是为什么某些人装了卡巴会出现假死的现象,而有些人就不会. 区别在于系统 微软每月的补丁 都是基于原版的系统.对于修改/精简/美化的版本的系统修补漏洞的区别效果还是比较明显的.也就是曾经在魔波肆虐的时候,卡卡会出现 有人打了补丁却依旧中招的现象. 用户的系统选择权在用户好比 吸烟有害健康,是否吸烟 选择权依旧在你的手中. 作为测试 来说 必须有一个标准,当然要选择原版的系统.修改/精简/美化的版本可能会出现意外的现象. 好比在某些修改/精简/美化的版本 安装卡巴会有假死的现象,你说这是卡巴的错么?显然不是. 修改/精简/美化的版本的系统在加载安全软件不是没用,而是效果比不上原版系统,这点要区别开来!!! 对于窗口防御的帖子,我原先没看见,现在看见了我还是要说. 1 抛开 虚拟IE 对系统低层的影响不说,此类非虚拟硬件 在I/O端口 写代码就废了.也就是说 前段时间 有人说影子被穿透了道理是一样的.玩毒的碰上sandboxie 被穿透是常事.为何 几乎没听说 VPC虚拟机被穿透? 区别在于 虚拟机是虚拟硬件而影子之类是虚拟磁盘. 2 对于LinkScanner 仅仅局限在部分搜索引擎.甚至baidu也不支持. 3 对于反钓鱼插件我要说的是,MSR Strider URL Tracer 碰上一个新的钓鱼网址呢?Generate types for 就没用了. 4 随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外) 最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了. 在加上一大堆的窗口防御的软件,其易用性又有多少??又有多少用户懂得英文?
评论:几乎没听说 VPC虚拟机被穿透?一样要小心,additions的共享目录,桥接网络。。。。
任何安全软件 运行在 修改/精简/美化的版本的系统上面 都是不能100%发挥的
而且中文杀软在日本语甚至英语系统下也一样。
3、也去看了窗口防御的文章。taylor已经说了很多了,我觉得还有一点:进行更为全面的窗口防御就要依靠非IE核心的浏览器。我觉得这样说不完全正确。我也可以说“要拒绝病毒更为全面的措施就是放弃Windows系统”。 Firefox、 Opera等非IE内核浏览器,的确不会受IE漏洞的影响。但这也只是因为人家针对IE漏洞而已。至于非IE而完全是系统的漏洞如ANI漏洞,之所以 Opera不受影响,不是因为没漏洞,而是因为Opera不支持动态设置鼠标光标图案的代码!也就是说,恶意的畸形图片文件不会发作,正常的鼠标动态光标也不能设置。 Firefox和Opera等非IE内核浏览器,对网页各种各样的代码的支持,都不如IE这样全面。所以当我们用非IE内核浏览器的时候,其实是在牺牲功能而希望因此少一点被威胁的可能。更何况非IE内核浏览器不是没漏洞。甚至有利用它们处理javascript上的弱点,利用一个特殊的网页就可以让Firefox出错崩溃的例子。 如果的确是抱着不惜牺牲功能而确保安全的思想,那么有一种方法更彻底,那就是注销WSH脚本宿主,这样大多数恶意脚本皆不能起作用了。 当然,对于普通用户来说(这里特指那些根本不打系统补丁的用户),为了避免电脑中存在的漏洞的影响,当然非IE浏览器是一个选择。但是,不能认为放着漏洞不补而换非IE浏览器,以牺牲某些功能为代价,就是根本的解决措施。打全漏洞补丁,又有一定安全设置的IE浏览器,一般其安全性能其实并不会比非IE浏览器差到哪里去(有人说,这样有恶意代码杀软还是会报毒,而用非IE的就不会,回答是,无论报不报毒,你的相应漏洞补上了,恶意代码根本就不能得逞)。当然,除非有0day的漏洞被大量利用,这时需要暂时使用非IE浏览器,或配合其他安全软件(如杀软查杀利用ANI漏洞的畸形文件)。 所以,并不是说非IE浏览器不需要,但是用非IE浏览器广泛代替IE浏览器,既不现实也不必要。
评论:又是一个windows环境推定。又是一个菜鸟用户推定。不过这句威力是有的,彻底KO MS05039/MS06014。 “如果的确是抱着不惜牺牲功能而确保安全的思想,那么有一种方法更彻底,那就是注销WSH脚本宿主,这样大多数恶意脚本皆不能起作用了。”
4、 在说说小聪首先非IE是完全支持标注的网页代码的,指示很多网页都因为对IE加一些其它代码而已,而且目前非IE也不是没有解决的方法。其它说到漏洞代码确实是这样任何东西都有漏洞,但是还请看我的帖子并且主要浏览器黑盒的问题,都在说0DAY,但是黑盒的原理是什么? 而且一个网页可以针对不同的浏览器都注入漏洞代码?这样的网页有多少人见过?而且这还是没有用我的方案的臆测。所以请用过之后在说好吗?
评论:第二点同意。Fx、Opera的远程代码执行漏洞和相应网马,我知道他们的存在。但是,它们都是洋人高手手中的玩艺,国人甚至连研究都不想去研究——要么涉及到溢出和shellcode,要么就得把自己放到一个新世界里思考,对于习惯了研究Windows和IE漏洞的人,是有困难的。更不用说利用了。
5、我有一个疑问: Geswall这样的浏览器沙盘,木马在其中运行的话,的确不是直接对真实的系统做操作,但是反馈给木马的信息还是属于真实系统的信息对不?也就是说,木马还是可以得到用户保存在系统里的隐私数据。然后,木马是否可以像在正常系统中运作一样,把这个隐私数据发送出去?(沙盘不可能把用户与网络的界面交互都阻止,否则用户就没法进行登陆邮箱等操作了)如果可以,那木马已经达到它的目的了。即使你一关闭沙盘,木马就不再运行了,木马没有真正地感染你的系统,但是这一切都已经不重要了。 这同样也就是我个人不提倡把装影子系统看成是免疫病毒的法宝的原因。shadow模式下重启一下,木马是没了,但是在木马运行在shadow模式的过程中,它很可能已经得到了你的隐私信息并发送出去了,这样你的实质损失还是已经付出了。因为木马的真正目的不是为了感染系统,而是为了获取隐私信息,只要这个目的达到了,木马就完成了它的使命了。
评论:还是虚拟机、未被破解的硬件还原卡最安全。
看来这个论坛里面懂技术的不少,但是真正黑过站、写过毒、挂过马,甚至自己研究过各种漏洞甚至0day的不多。
没有评论:
发表评论