- 2月 15 週一 201003:10
益智積木
- 2月 09 週二 201010:28
Kido 病毒
Kido 病毒 江民可以輕易的殺掉,但是經常有客人問,為什麼殺了毒還是一直出現 "發現Kido 已刪除" 的訊息?
因為:
1. 網路上還有其他電腦中了 Kido 病毒,如果沒有插網路線就不會跳出發現Kido的訊息,電腦是乾淨的
2. Kido 是以隨身碟病毒以及網路蠕蟲兩種方式傳染,所以務必找出感染源(會常有新變種)並予以刪除,才會乾淨
因為:
1. 網路上還有其他電腦中了 Kido 病毒,如果沒有插網路線就不會跳出發現Kido的訊息,電腦是乾淨的
2. Kido 是以隨身碟病毒以及網路蠕蟲兩種方式傳染,所以務必找出感染源(會常有新變種)並予以刪除,才會乾淨
- 2月 06 週六 201010:58
聽說spyware doctor 對防木馬很有效,那不知對於防病毒是否有效?
這牽涉到防護軟體的發展,不說個明白可能會讓人混淆~
一般自稱antivirus的軟體,我們都叫他防毒軟體,加上防火牆及部份其他功能就變成Internet Security,但他就不防木馬嗎?這可是個天大的誤會!
以你所說的 spyware doctor或者另一套Ad-Aware SE Personal 來說好了,他們的初期設計是以掃描間諜程式及廣告木馬為主,但他們就掃不到毒嗎?這也不盡然,畢竟病毒、木馬都一樣是程式檔案,會有分別是以目的來區分而非製作方法!
而防護軟體之所以會分成兩種,其實只在於其掃描引擎的分析方式重心不同及樣本收集種類也不同而已,個人對於只能防間諜程式及廣告木馬的防護軟體從來不曾欣賞過,因為他們總愛誇大掃描結果,掃出一堆無害的cookies來嚇唬使用者,雖然他們在某些木馬程式的清除上的確優於部份防毒軟體,但整體來說卻比較偏向於誇大不實!
spyware doctor含防毒軟體就是PC Tools Spyware Doctor+PC Tools AntiVirus,再加個防火牆就變成了PC Tools Internet Security ,這就表示他比其他防毒強了嗎?這就見仁見智了,就像acdsee一開始的版本只能拿來看圖,到最後也能編輯、繪圖,越來越像photoshop,但photoshop難道不能拿來看圖嗎?
我還是比較信賴一開始就以病毒防治做研發的正統防毒軟體,畢竟他的結構核心、功能都會比專用軟體來得專業許多~
以我最常推廣的江民防毒來說,不亂報、主動防禦夠強,大陸的木馬還抓的比其他家好,叫我為了掃cookies再裝一套間諜防護程式,就免了吧!
一般自稱antivirus的軟體,我們都叫他防毒軟體,加上防火牆及部份其他功能就變成Internet Security,但他就不防木馬嗎?這可是個天大的誤會!
以你所說的 spyware doctor或者另一套Ad-Aware SE Personal 來說好了,他們的初期設計是以掃描間諜程式及廣告木馬為主,但他們就掃不到毒嗎?這也不盡然,畢竟病毒、木馬都一樣是程式檔案,會有分別是以目的來區分而非製作方法!
而防護軟體之所以會分成兩種,其實只在於其掃描引擎的分析方式重心不同及樣本收集種類也不同而已,個人對於只能防間諜程式及廣告木馬的防護軟體從來不曾欣賞過,因為他們總愛誇大掃描結果,掃出一堆無害的cookies來嚇唬使用者,雖然他們在某些木馬程式的清除上的確優於部份防毒軟體,但整體來說卻比較偏向於誇大不實!
spyware doctor含防毒軟體就是PC Tools Spyware Doctor+PC Tools AntiVirus,再加個防火牆就變成了PC Tools Internet Security ,這就表示他比其他防毒強了嗎?這就見仁見智了,就像acdsee一開始的版本只能拿來看圖,到最後也能編輯、繪圖,越來越像photoshop,但photoshop難道不能拿來看圖嗎?
我還是比較信賴一開始就以病毒防治做研發的正統防毒軟體,畢竟他的結構核心、功能都會比專用軟體來得專業許多~
以我最常推廣的江民防毒來說,不亂報、主動防禦夠強,大陸的木馬還抓的比其他家好,叫我為了掃cookies再裝一套間諜防護程式,就免了吧!
- 2月 06 週六 201009:52
各式假防毒如Internet Security 2010 移除方法
原作者部落格:http://freeofvirus.blogspot.com/
1.下載Remove Fake Antivirus1.61
2.開啟工作管理員,關閉以下2個程序
IS2010.exe
SetupIS2010.exe
3.開啟登錄檔編輯器,刪除以下機碼
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "IS2010.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Internet Security 2010
HKEY_CURRENT_USER\Software\Internet Security 2010
4.刪除以下的檔案或資料夾
$PROGRAMFILES\InternetSecurity2010
$STARTMENU\Internet Security 2010.lnk
$DESKTOP\SetupIS2010.exe
$DESKTOP\Internet Security 2010.lnk
$APPDATA\Microsoft\Internet Explorer\Quick Launch\Internet Security 2010.lnk
1.下載Remove Fake Antivirus1.61
2.開啟工作管理員,關閉以下2個程序
IS2010.exe
SetupIS2010.exe
3.開啟登錄檔編輯器,刪除以下機碼
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "IS2010.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Internet Security 2010
HKEY_CURRENT_USER\Software\Internet Security 2010
4.刪除以下的檔案或資料夾
$PROGRAMFILES\InternetSecurity2010
$STARTMENU\Internet Security 2010.lnk
$DESKTOP\SetupIS2010.exe
$DESKTOP\Internet Security 2010.lnk
$APPDATA\Microsoft\Internet Explorer\Quick Launch\Internet Security 2010.lnk
- 2月 04 週四 201010:30
阻擋Facebook流量簡單分享
適合IT人員使用,一般使用者應該是用不到啦!!
原文轉載:http://www.info-artist.net/2009/09/facebook.html
Facebook是時下正夯的網路平台, 那因為有web base的遊戲軟體,
如 : 開心農場, Restaurant City 這些, 也就導致了大流量, 一間公司
一個人上還好, 人多的話整個網路流量就滿出來了 ~~ 一定會影
響到正常的作業程序 !!
原文轉載:http://www.info-artist.net/2009/09/facebook.html
Facebook是時下正夯的網路平台, 那因為有web base的遊戲軟體,
如 : 開心農場, Restaurant City 這些, 也就導致了大流量, 一間公司
一個人上還好, 人多的話整個網路流量就滿出來了 ~~ 一定會影
響到正常的作業程序 !!
- 1月 28 週四 201023:48
全面解析Nod32獨有 ThreatSense,順便來個評論~
原文:http://article.pchome.net/content-628517.html
我們常會聽到「某某防毒品牌比其它品牌優勝」、「某品牌屢獲權威測試機構最高評價」之類的宣傳句子,但說到防毒品牌之間有何差異,卻未必人人說得出來。事實上,優勝的防毒品牌採用了怎樣的壓倒性技術,讓它在測試中傲視同齊?這些技術又有何革命性的意義,更周全地保護我們的計算機安全呢?在本篇文章中,我們將會深入剖析 NOD32 專利的 ThreatSense Technology 與嶄新的 ThreatSense.Net 系統。
直至現時,幾乎所有防毒軟件還是主要透過病毒數據庫裡的病毒特徵數據,以此與掃瞄中的檔案們加以對照,從而把合乎條件的真正病毒區分出來。面對幾乎每天都有新病毒或變種出現,各防毒軟件也唯有不斷進行特徵更新 (Signature Update) 與壯大自己的病毒數據庫,確保在最短時間內把最新的病毒特徵數據收錄其中。
我們常會聽到「某某防毒品牌比其它品牌優勝」、「某品牌屢獲權威測試機構最高評價」之類的宣傳句子,但說到防毒品牌之間有何差異,卻未必人人說得出來。事實上,優勝的防毒品牌採用了怎樣的壓倒性技術,讓它在測試中傲視同齊?這些技術又有何革命性的意義,更周全地保護我們的計算機安全呢?在本篇文章中,我們將會深入剖析 NOD32 專利的 ThreatSense Technology 與嶄新的 ThreatSense.Net 系統。
直至現時,幾乎所有防毒軟件還是主要透過病毒數據庫裡的病毒特徵數據,以此與掃瞄中的檔案們加以對照,從而把合乎條件的真正病毒區分出來。面對幾乎每天都有新病毒或變種出現,各防毒軟件也唯有不斷進行特徵更新 (Signature Update) 與壯大自己的病毒數據庫,確保在最短時間內把最新的病毒特徵數據收錄其中。
- 1月 27 週三 201022:12
病毒創新欺騙方式 偽裝IE快捷方式、文件夾傳播
原文:http://www.jiangmin.com/news/jiangmin/index/important/2010126101658.htm
1月25日,江民全球病毒監控系統、雲安全防毒系統監測數據顯示,有越來越多的病毒採用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經成為一種新的趨勢。
江民反病毒中心最新監測到的「BHO劫持者」變種aie和「代理木馬」變種cbnq病毒,就採用了偽裝成IE快捷方式和文件夾的欺騙方式。「BHO劫持者」變種aie運行後,會將自身複製到被感染計算機系統的「\Program Files\Internet Explorer\」文件夾下,並重命名為「mstcs.exe」,該病毒的主程序為深藍色IE瀏覽器水晶效果圖標,以達到自我偽裝的目的,防止被用戶發現。同時病毒會在當前用戶桌面上創建IE快捷方式「internet explorer.lnk」,用戶一旦啟動IE瀏覽器,會默認自動打開駭客設置好的惡意網頁「http://***.77177.cn」,並在後台獲取「惡意程序下載地址列表」,然後在被感染計算機上下載該文件中所指定的惡意程序並自動調用運行。其中,所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。
「代理木馬」變種cbnq病毒運行後,會在被感染計算機系統的「%SystemRoot%\system32\」文件夾下分別釋放惡意組件文件「icccy.dll」、「taoba_1.dll」、「cpa_1.exe」。同時強行篡改被感染計算機系統中的註冊表項,使IE瀏覽器啟動後自動訪問駭客指定的站點「http://***.771234.net」。「代理木馬」變種病毒還會將系統盤以外的所有盤符下的文件夾屬性都設置為系統、只讀、隱藏,並在當前目錄下生成一個與被隱藏的文件夾同名的「.exe」病毒程序,同時顯示為文件夾圖標。通過這樣的偽裝後,用戶在打開文件夾時,實際上運行的就是病毒程序,然後病毒再把用戶當前要打開的文件夾自動打開,從而達到了欺騙用戶的目的。與「BHO劫持者」變種病毒一樣,該病毒最終也是指向駭客指定的惡意網址,並下載大量惡意程序,嚴重威脅用戶安全。
據江民反病毒專家介紹,近年來隨著用戶安全意識的不斷提高,病毒為了提高自身的生存幾率,也在不斷的改變著偽裝方式。「從分析09年的病毒中我們可以看出,偽裝成快捷方式,尤其是IE快捷方式和偽裝成文件夾的病毒越來越多,並已經逐漸形成一種新的趨勢。通常情況下,病毒入侵到用戶的電腦後,想讓用戶去點擊運行病毒是很難的,這就需要病毒做好自身的偽裝工作,來誘騙用戶點擊。而偽裝成快捷方式,一般不會被人懷疑,同時中毒後,病毒文件也不易被用戶察覺,因此病毒的隱蔽性就更強了」。
針對此類病毒,江民反病毒專家建議廣大用戶,不要被病毒偽裝的表象所迷惑,一定要安裝具備主動防禦「沙盒技術」和啟髮式掃瞄功能的正版殺毒軟件,該功能可以有效、準確地識別各類偽裝病毒,確保用戶電腦免遭病毒侵害。同時建議用戶開啟江民殺毒軟件KV2010的系統監控功能,該功能可對病毒試圖下載惡意程序、強行篡改系統時間、注入進程和調用其它惡意程序等行為進行監控並自動干預、處理,有效地遏制了未知病毒對系統所造成的干擾和破壞,更大程度的提高了計算機對於未知病毒的防範能力。
1月25日,江民全球病毒監控系統、雲安全防毒系統監測數據顯示,有越來越多的病毒採用了全新的欺騙方式,偽裝成IE快捷方式和文件夾已經成為一種新的趨勢。
江民反病毒中心最新監測到的「BHO劫持者」變種aie和「代理木馬」變種cbnq病毒,就採用了偽裝成IE快捷方式和文件夾的欺騙方式。「BHO劫持者」變種aie運行後,會將自身複製到被感染計算機系統的「\Program Files\Internet Explorer\」文件夾下,並重命名為「mstcs.exe」,該病毒的主程序為深藍色IE瀏覽器水晶效果圖標,以達到自我偽裝的目的,防止被用戶發現。同時病毒會在當前用戶桌面上創建IE快捷方式「internet explorer.lnk」,用戶一旦啟動IE瀏覽器,會默認自動打開駭客設置好的惡意網頁「http://***.77177.cn」,並在後台獲取「惡意程序下載地址列表」,然後在被感染計算機上下載該文件中所指定的惡意程序並自動調用運行。其中,所下載的惡意程序可能為網絡遊戲盜號木馬、遠程控制後門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。
「代理木馬」變種cbnq病毒運行後,會在被感染計算機系統的「%SystemRoot%\system32\」文件夾下分別釋放惡意組件文件「icccy.dll」、「taoba_1.dll」、「cpa_1.exe」。同時強行篡改被感染計算機系統中的註冊表項,使IE瀏覽器啟動後自動訪問駭客指定的站點「http://***.771234.net」。「代理木馬」變種病毒還會將系統盤以外的所有盤符下的文件夾屬性都設置為系統、只讀、隱藏,並在當前目錄下生成一個與被隱藏的文件夾同名的「.exe」病毒程序,同時顯示為文件夾圖標。通過這樣的偽裝後,用戶在打開文件夾時,實際上運行的就是病毒程序,然後病毒再把用戶當前要打開的文件夾自動打開,從而達到了欺騙用戶的目的。與「BHO劫持者」變種病毒一樣,該病毒最終也是指向駭客指定的惡意網址,並下載大量惡意程序,嚴重威脅用戶安全。
據江民反病毒專家介紹,近年來隨著用戶安全意識的不斷提高,病毒為了提高自身的生存幾率,也在不斷的改變著偽裝方式。「從分析09年的病毒中我們可以看出,偽裝成快捷方式,尤其是IE快捷方式和偽裝成文件夾的病毒越來越多,並已經逐漸形成一種新的趨勢。通常情況下,病毒入侵到用戶的電腦後,想讓用戶去點擊運行病毒是很難的,這就需要病毒做好自身的偽裝工作,來誘騙用戶點擊。而偽裝成快捷方式,一般不會被人懷疑,同時中毒後,病毒文件也不易被用戶察覺,因此病毒的隱蔽性就更強了」。
針對此類病毒,江民反病毒專家建議廣大用戶,不要被病毒偽裝的表象所迷惑,一定要安裝具備主動防禦「沙盒技術」和啟髮式掃瞄功能的正版殺毒軟件,該功能可以有效、準確地識別各類偽裝病毒,確保用戶電腦免遭病毒侵害。同時建議用戶開啟江民殺毒軟件KV2010的系統監控功能,該功能可對病毒試圖下載惡意程序、強行篡改系統時間、注入進程和調用其它惡意程序等行為進行監控並自動干預、處理,有效地遏制了未知病毒對系統所造成的干擾和破壞,更大程度的提高了計算機對於未知病毒的防範能力。
- 1月 26 週二 201020:46
江民專家分析極光漏洞始末 或為Google退出原凶
美國時間1月14日,微軟官方發佈了Microsoft Security Advisory (979352)安全公告,確認在IE6/7/8版本中,存在零日漏洞,涉及的操作系統包括:Windows 2000 SP4, Windows XP/2003/Vista/2008,Windows 7。微軟在安全公告中表示,IE在特定情況下,有可能訪問已經被釋放的內存對像導致任意代碼執行,該漏洞可以被用來進行網頁掛馬。截止1月18日,微軟並沒有發佈針對該漏洞補丁的時間表。
漏洞最早發現於GOOGLE被攻擊事件
江民反病毒專家表示,該漏洞最早可溯源於GOOGLE被攻擊事件。美國時間1月12日,Google在其官方blog上發表文章,稱Google和至少20家其他公司遭到了源自中國的攻擊。攻擊造成部分Google知識產權被盜。通過技術分析,這些攻擊帶有明顯的針對性,企圖監視若干中國人權主義人士的 Google帳號,但並沒有成功。鑒於長期以來,來自中國的攻擊和中國對互聯網內容的審查和限制,Google考慮幾周之內和中國政府談判,有可能關閉Google.cn網站,撤銷谷歌中國。而在此事件中,攻擊Google所利用的正是"Aurora"(極光)漏洞,Google據此認為其正在受到嚴重干涉,因此導致了其副總裁發佈退出中國市場聲明的事件。
相關"Aurora"(極光)行動
Google攻擊事件發生後,國外安全人士發表科技博客首先確認了該漏洞,通過他們分析,襲擊Google和其他若干公司的攻擊正是利用了IE瀏覽器的一個0-day漏洞。並把這次攻擊稱為"Aurora"(極光)行動(張韶涵有一首同名歌曲《歐若拉》)。技術人員在分析惡意exe文件時,發現exe調試信息中包含的開發環境路徑中存在"Aurora",說明編寫惡意exe程序的程序員使用名為Aurora的文件夾來保存源代碼。安全人士據此認為黑客自己可能把此次攻擊攻擊代號取名為"Aurora"。
江民殺毒軟件緊急部署監控
北京時間1月15日,包括江民科技在內的微軟MAPP成員接到了微軟通知,獲知了相關漏洞詳細技術信息,微軟不但詳細解釋了漏洞原理,並給了一個可以造成IE崩潰的簡單示例代碼。江民科技迅即根據相關技術細節在殺毒軟件中進行相關技術部署,推出監控和攔截利用漏洞的惡意網頁監測代碼。由於MAPP成員與微軟簽有保密協議,因此MAPP成員並沒有對外界透露該漏洞的細節情況。1月16日,利用該漏洞的代碼在網上被國外某安全研究機構公佈。
江民反病毒專家提醒,根據以往經驗,一旦代碼被公開,很快就會被大量應用於網頁掛馬。由於"Aurora"(極光)系「0-day」漏洞,微軟尚無補丁發佈,並且該漏洞涉及IE版本眾多,可能對互聯網安全造成極大的影響。
目前,微軟以及MAPP成員對該漏洞十分重視。作為MAPP成員之一,江民科技已經緊急研發出監測代碼並升級,一旦發現利用該漏洞的病毒或惡意代碼,將緊急升級殺毒軟件病毒庫進行攔截,請廣大用戶密切關注微軟以及其它安全廠商動態,及時下載相關安全補丁,開啟殺毒軟件網頁監控功能,避免遭到利用該漏洞的病毒攻擊。
漏洞最早發現於GOOGLE被攻擊事件
江民反病毒專家表示,該漏洞最早可溯源於GOOGLE被攻擊事件。美國時間1月12日,Google在其官方blog上發表文章,稱Google和至少20家其他公司遭到了源自中國的攻擊。攻擊造成部分Google知識產權被盜。通過技術分析,這些攻擊帶有明顯的針對性,企圖監視若干中國人權主義人士的 Google帳號,但並沒有成功。鑒於長期以來,來自中國的攻擊和中國對互聯網內容的審查和限制,Google考慮幾周之內和中國政府談判,有可能關閉Google.cn網站,撤銷谷歌中國。而在此事件中,攻擊Google所利用的正是"Aurora"(極光)漏洞,Google據此認為其正在受到嚴重干涉,因此導致了其副總裁發佈退出中國市場聲明的事件。
相關"Aurora"(極光)行動
Google攻擊事件發生後,國外安全人士發表科技博客首先確認了該漏洞,通過他們分析,襲擊Google和其他若干公司的攻擊正是利用了IE瀏覽器的一個0-day漏洞。並把這次攻擊稱為"Aurora"(極光)行動(張韶涵有一首同名歌曲《歐若拉》)。技術人員在分析惡意exe文件時,發現exe調試信息中包含的開發環境路徑中存在"Aurora",說明編寫惡意exe程序的程序員使用名為Aurora的文件夾來保存源代碼。安全人士據此認為黑客自己可能把此次攻擊攻擊代號取名為"Aurora"。
江民殺毒軟件緊急部署監控
北京時間1月15日,包括江民科技在內的微軟MAPP成員接到了微軟通知,獲知了相關漏洞詳細技術信息,微軟不但詳細解釋了漏洞原理,並給了一個可以造成IE崩潰的簡單示例代碼。江民科技迅即根據相關技術細節在殺毒軟件中進行相關技術部署,推出監控和攔截利用漏洞的惡意網頁監測代碼。由於MAPP成員與微軟簽有保密協議,因此MAPP成員並沒有對外界透露該漏洞的細節情況。1月16日,利用該漏洞的代碼在網上被國外某安全研究機構公佈。
江民反病毒專家提醒,根據以往經驗,一旦代碼被公開,很快就會被大量應用於網頁掛馬。由於"Aurora"(極光)系「0-day」漏洞,微軟尚無補丁發佈,並且該漏洞涉及IE版本眾多,可能對互聯網安全造成極大的影響。
目前,微軟以及MAPP成員對該漏洞十分重視。作為MAPP成員之一,江民科技已經緊急研發出監測代碼並升級,一旦發現利用該漏洞的病毒或惡意代碼,將緊急升級殺毒軟件病毒庫進行攔截,請廣大用戶密切關注微軟以及其它安全廠商動態,及時下載相關安全補丁,開啟殺毒軟件網頁監控功能,避免遭到利用該漏洞的病毒攻擊。
- 1月 26 週二 201020:17
無所不在的0Day漏洞
所謂「0Day漏洞」,是指那些沒有公開過,因而也沒有補丁的漏洞,也就是通常所說的「未公開漏洞」。
假設您是一位非常注重安全的電腦用戶,操作系統和應用軟件都使用正版,上網習慣良好,而且還購買了殺毒軟件和網絡防火牆。這是否能確保您的上網安全呢?——從技術角度來講,似乎沒有什麼可擔心的。但是,您是否知道,您所使用的操作系統和第三方應用程序,也許潛伏著一些不為人知的重大漏洞!當你發現你的網絡已遭入侵,賬號已被竊取,用殺毒軟件掃瞄卻一無所獲…… 這時,你考慮過0Day麼?
什麼是0Day
0Day的概念最早用於軟件和遊戲破解,屬於非盈利性和非商業化的組織行為,其基本內涵是「即時性」。當時的0Day是指在正版軟件或遊戲發佈的當天甚至之前,發佈附帶著序列號或者解密器的破解版,讓使用者可以不用付費就能長期使用。而眼下的0Day,是指在安全補丁發佈前而被瞭解和掌握的漏洞信息,正在對信息安全產生越來越嚴重的威脅。
漏洞信息的公開加速了軟件生產企業的安全補丁更新進程,減少了惡意程序的危害程度。但如果是不公開的0Day呢?是否有很多0Day一直在秘密流傳?例如,給全球網絡帶來巨大危害的「衝擊波」和「震盪波」這兩種病毒,如果它們的漏洞信息沒有公開,自然也就沒有這兩種超級病毒的產生。反過來想,有什麼理由認為眼下不存在類似的有著重大安全隱患的漏洞呢?
在互聯網應用越來越發達的今天,0Day漏洞的威脅也越來越大,甚至有可能引發整個互聯網的「地震」,因為看不見的才是最可怕的。
不可避免的0Day
信息價值的飛速提升,互聯網在全球的普及,數字經濟的廣泛應用,這一切都刺激著信息安全市場的不斷擴大。軟件破解、口令解密、間諜軟件、木馬病毒,已經迅速地傳播開來。從操作系統到數據庫,從應用軟件到第三方程序和插件,再到遍佈全球的漏洞發佈中心,它們當中有多少0Day存在?可以毫不誇張的說,在安全補丁程序發佈之前,所有的漏洞信息都是0Day,但是從未發佈過安全補丁的軟件是否就意味著它們當中不存在0Day呢?
有人說:「每一個稍具規模的應用軟件都可能存在0Day。」沒錯!從理論上講,漏洞必定存在,只是尚未發現,而彌補措施永遠滯後而已。
只要用戶方不獨自開發操作系統或應用程序,或者說只要使用第三方的軟件,0Day的出現就是遲早的事,無論你是使用數據庫還是網站管理平台,無論你是使用媒體播放器還是繪圖工具,即便是專職安全防護的軟件程序本身,都會出現安全漏洞,這已是不爭的事實,但最可怕的不是漏洞存在的先天性,而是0Day的不可預知性。
從開源的角度上來說,Linux更容易比封閉源代碼的Windows存在更多的0Day。那些自以為使用著安全操作系統的人,遲早會被0Day攻擊弄得啞口無言。而微軟呢?由於其操作系統應用的廣泛性,如今已是補丁加補丁,更新再更新,Windows Vista竟然含有幾萬行的問題代碼。而且,誰又能保證微軟的源代碼沒有絲毫洩露呢?
假設您是一位非常注重安全的電腦用戶,操作系統和應用軟件都使用正版,上網習慣良好,而且還購買了殺毒軟件和網絡防火牆。這是否能確保您的上網安全呢?——從技術角度來講,似乎沒有什麼可擔心的。但是,您是否知道,您所使用的操作系統和第三方應用程序,也許潛伏著一些不為人知的重大漏洞!當你發現你的網絡已遭入侵,賬號已被竊取,用殺毒軟件掃瞄卻一無所獲…… 這時,你考慮過0Day麼?
什麼是0Day
0Day的概念最早用於軟件和遊戲破解,屬於非盈利性和非商業化的組織行為,其基本內涵是「即時性」。當時的0Day是指在正版軟件或遊戲發佈的當天甚至之前,發佈附帶著序列號或者解密器的破解版,讓使用者可以不用付費就能長期使用。而眼下的0Day,是指在安全補丁發佈前而被瞭解和掌握的漏洞信息,正在對信息安全產生越來越嚴重的威脅。
漏洞信息的公開加速了軟件生產企業的安全補丁更新進程,減少了惡意程序的危害程度。但如果是不公開的0Day呢?是否有很多0Day一直在秘密流傳?例如,給全球網絡帶來巨大危害的「衝擊波」和「震盪波」這兩種病毒,如果它們的漏洞信息沒有公開,自然也就沒有這兩種超級病毒的產生。反過來想,有什麼理由認為眼下不存在類似的有著重大安全隱患的漏洞呢?
在互聯網應用越來越發達的今天,0Day漏洞的威脅也越來越大,甚至有可能引發整個互聯網的「地震」,因為看不見的才是最可怕的。
不可避免的0Day
信息價值的飛速提升,互聯網在全球的普及,數字經濟的廣泛應用,這一切都刺激著信息安全市場的不斷擴大。軟件破解、口令解密、間諜軟件、木馬病毒,已經迅速地傳播開來。從操作系統到數據庫,從應用軟件到第三方程序和插件,再到遍佈全球的漏洞發佈中心,它們當中有多少0Day存在?可以毫不誇張的說,在安全補丁程序發佈之前,所有的漏洞信息都是0Day,但是從未發佈過安全補丁的軟件是否就意味著它們當中不存在0Day呢?
有人說:「每一個稍具規模的應用軟件都可能存在0Day。」沒錯!從理論上講,漏洞必定存在,只是尚未發現,而彌補措施永遠滯後而已。
只要用戶方不獨自開發操作系統或應用程序,或者說只要使用第三方的軟件,0Day的出現就是遲早的事,無論你是使用數據庫還是網站管理平台,無論你是使用媒體播放器還是繪圖工具,即便是專職安全防護的軟件程序本身,都會出現安全漏洞,這已是不爭的事實,但最可怕的不是漏洞存在的先天性,而是0Day的不可預知性。
從開源的角度上來說,Linux更容易比封閉源代碼的Windows存在更多的0Day。那些自以為使用著安全操作系統的人,遲早會被0Day攻擊弄得啞口無言。而微軟呢?由於其操作系統應用的廣泛性,如今已是補丁加補丁,更新再更新,Windows Vista竟然含有幾萬行的問題代碼。而且,誰又能保證微軟的源代碼沒有絲毫洩露呢?
- 1月 22 週五 201023:48
殺軟電腦知識「主動防禦技術」中的「靜態啟發」和「動態啟發」之異同
原文:http://www.itful.com/html/net_safe/safe1/2009/0613/1232.html
台灣這類的知識文章實在是乏善可陳,只好從對岸去找囉~
80年代末期,由於電腦病毒的出現,就有了它的剋星──反病毒軟件的誕生。從此,開始了「貓」與「鼠」、「矛」與「盾」的博弈。這一時期,病毒製作者所使用的技術還比較「小兒科」,因而反病毒軟件對其檢測、查殺相對容易。當時,廣泛使用的就是「特徵碼匹配方法」。此後,為了躲避殺毒軟件的查殺,病毒開始了進化,逐漸演變為變形的形式:每感染一次,就像「變形金剛」一樣改換一次面孔,以此來躲避反病毒軟件的「追殺」。
