防病毒技術
CPU內嵌的防病毒技術是一種硬體防病毒技術,與作業系統相配合,可以防範大部分針對緩衝區溢出(buffer overrun)漏洞的攻擊(大部分是病毒)。Intel的防病毒技術是EDB(Excute Disable Bit),AMD的防病毒技術是EVP(Ehanced Virus Protection),但不管叫什麼,它們的原理都是大同小異的。嚴格來說,目前各個CPU廠商在CPU內部集成的防病毒技術不能稱之為“硬體防毒”。首先,無論是Intel的EDB還是AMD的EVP,它們都是採用硬軟結合的方式工作的,都必須搭配相關的作業系統和軟體才能實現;其次,EDB和EVP都是為了防止因為記憶體緩衝區溢出而導致系統或套用軟體崩潰的,而這記憶體緩衝區溢出有可能是惡意代碼(病毒)所為,也有可能是應用程式設計的缺陷所致(無意識的),因此我們將其稱之為“防緩衝區溢出攻擊”更為恰當些。
在計算機內部,等待處理的數據一般都被放在記憶體的某個臨時空間裡,這個臨時存放空間被稱為緩衝區(Buffer),緩衝區的長度事先已經被程式或者作業系統定義好了。緩衝區溢出(buffer overrun)是指當電腦程式向緩衝區內填充的數據位數超過了緩衝區本身的容量。溢出的數據覆蓋在合法數據上。理想情況是,程式檢查數據長度並且不允許輸入超過緩衝區長度的字元串。但是絕大多數程式都會假設數據長度總是與所分配的存儲空間相匹配,這就為緩衝區溢出埋下隱患。作業系統所使用的緩衝區又被稱為堆疊,在各個操作進程之間,指令被臨時存儲在堆疊當中,堆疊也會出現緩衝區溢出。當一個超長的數據進入到緩衝區時,超出部分就會被寫入其他緩衝區,其他緩衝區存放的可能是數據、下一條指令的指針,或者是其他程式的輸出內容,這些內容都被覆蓋或者破壞掉。可見一小部分數據或者一套指令的溢出就可能導致一個程式或者作業系統崩潰。而更壞的結果是,如果相關數據里包含了惡意代碼,那么溢出的惡意代碼就會改寫應用程式返回的指令,使其指向包含惡意代碼的地址,使其被CPU編譯而執行,而這可能發生“記憶體緩衝區溢出攻擊”,名噪一時的“衝擊波”、“震盪波”等蠕蟲病毒就是採用這種手段來攻擊電腦的。
緩衝區溢出是由編程錯誤引起的。如果緩衝區被寫滿,而程式沒有去檢查緩衝區邊界,也沒有停止接收數據,這時緩衝區溢出就會發生。緩衝區邊界檢查被認為是不會有收益的管理支出,計算機資源不夠或者記憶體不足是編程者不編寫緩衝區邊界檢查語句的理由,然而技術的飛速發展已經使這一理由失去了存在的基礎,但是多數用戶日常主要套用的程式中大多數其實仍然是十年甚至二十年前的程式代碼,並沒有檢查緩衝區邊界的功能。
緩衝區溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或者病毒善於在系統當中發現容易產生緩衝區溢出之處,運行特別程式,獲得優先權,指示計算機破壞檔案,改變數據,泄露敏感信息,產生後門訪問點,感染或者攻擊其他計算機。
對於緩衝區溢出攻擊,防毒防毒軟體雖然也可以處理,但也只能是亡羊補牢,而作業系統和套用軟體的漏洞又是難以預測的,隨時可能被利用,引來緩衝區溢出攻擊。在這種情況下,預防緩衝區溢出攻擊應該從硬體層次著手,開始成為許多IT廠商的共識,於是大家俗稱的CPU硬體防病毒功能應運而生了。
緩衝區溢出攻擊最基本的實現途徑是向正常情況下不包含可執行代碼的記憶體區域插入可執行的代碼,並欺騙CPU執行這些代碼。而如果我們在這些記憶體頁面的數據區域設定某些標誌(No eXecute或eXcute Disable),當CPU讀取數據時檢測到該記憶體頁面有這些標誌時就拒絕執行該區域的可執行指令,從而可防止惡意代碼被執行,這就是CPU的防緩衝區溢出攻擊實現的原理。
而對於開啟了EDB或EVP功能的計算機來說,一般也就可實現數據和代碼的分離,而在記憶體某個頁面將被設定為只做數據頁,而任何企圖在其中執行代碼的行為都將被CPU所拒絕。當然,開啟EDB、EVP功能的CPU是無法獨立完成標註不可執行代碼記憶體頁面以及進行相關檢測防治工作的,它還需要相關作業系統和應用程式的配合。
目前,Windows XP SP2、Windows Server 2003 SP1及64bit的Windows作業系統都提供了對EDB、EVP技術的支持。如果你使用的作業系統是Windows XP SP2,那么啟用其中的DEP(Data Execution Protection,數據執行保護)功能即可為你的電腦提供比較全面的防緩衝區溢出攻擊功能。DEP是可以獨立運行的,並也可幫助防禦某些類型的惡意代碼攻擊,但要充分利用DEP可以提供的保護功能,就需要CPU的配合了。DEP可單獨或和兼容的CPU一起將記憶體的某些頁面位置標註為不可執行,如果某個程式嘗試從被保護的位置運行代碼,將會被CPU拒絕同時DEP會關閉程式並通知用戶,從而在一定程度上保障用戶電腦的安全。
CPU內嵌的防病毒技術以及作業系統的防病毒技術因此在目前來說可能還存在著一些兼容性的問題,例如因應用程式設計的缺陷或驅動程式而導致的誤報(特別是一些比較老的驅動程式);另外,對於有些程式來說,是採用實時生成代碼方式來執行動態代碼的,而生成的代碼就有可能位於標記為不可執行的記憶體區域,這就有可能導致DEP將其檢測為非法應用程式而將其關閉。而這些都還有賴於硬體和軟體廠商的相互配合解決,當然,這些都是需要的時間。因此,DEP、EDB、EVP等技術都還在向前發展。
防病毒再感染
在很多情況下,同一台電腦經常會發生反覆中同一種病毒的事件。比如,中了惡郵差後剛殺完毒暫時沒事兒了,可過一段時間,病毒又不請自來。這就是所謂的“同一病毒的再感染”。 其實,如何防止病毒再感染是有一些小竅門的。
病毒再感染一般有兩個原因:一是病毒有了新的變種,二是沒有封堵住病毒的傳播途徑。對第一種原因,我們採用對防毒軟體線上升級到最新版後,就可以完全解決;第二種原因常會在使用電腦的過程中引發以下多種情況。我們只要認真區別對待,就能解決病毒再感染的相關問題。
1. 系統、工具軟體的漏洞
很多病毒利用作業系統和網路工具的漏洞進行傳播,比如求職信、惡郵差、妖怪等,它會利用微軟瀏覽器軟體的“Iframe”漏洞,即使用戶沒有打開郵件的附屬檔案,僅僅是點擊了郵件,病毒就會自動運行了。
2. 病毒偽裝,引誘用戶上當
這是大多數蠕蟲、木馬類病毒的常用手段。信件標題或是內容有引誘用戶打開附屬檔案的文字,利用聊天工具傳播藏有惡意代碼的網址等等。
3. 用戶安全意識不夠高
一些用戶為圖使用方便,對於密碼的管理過於簡單、過於鬆懈。比如將密碼保存到電腦里,使用一些有規律而且很簡單的密碼,如1234、abcd等,甚至空密碼,這樣就會給一些有猜密碼功能的病毒創造傳播的途徑。
4. 區域網路管理的鬆懈
區域網路里的所有電腦都可以互聯,非常隨意地使用共享資源,對共享資源的使用沒有設定相應的許可權等。
5. 沒有共同防毒
朋友、家人、聯繫人之間,如果只有少部分用戶在防毒,同樣會造成病毒的泛濫。
以上所有的這些因素都會造成病毒的再感染,在現實使用過程中我們經常只是在中毒後簡單地進行防毒,而沒有阻斷病毒入侵的通道,這就會使我們經常遭受病毒的騷擾,還抱怨防毒軟體不中用,嚴重影響正常工作。
現今的病毒可謂是“面面俱到”,部分惡性病毒,例如“妖怪”,把能用上的傳播方法都捆綁於一身,極大增強了病毒傳染的效率。為了防止這類病毒的感染,不僅僅需要防毒軟體廠商的高效工作,還需要網際網路用戶提高自身的防範意識。同樣防病毒只有部分人在做,或只是防住了病毒傳播的某一途徑,也達不到全面防毒的真正目的。所以,只有廣大用戶都提高了防毒的安全意識,堵住病毒傳染的所有途徑,才能真正的讓病毒無機可乘,無孔而入
網路還需防什麼
只防病毒不安全
上網的人中,很少有誰沒被病毒侵害過。但在大多數人將注意力放在對付病毒上時,業內權威人士新近指出,現在要想保證上網安全,必須對以下這三種威脅同時設防。第一是以傳統宏病毒、蠕蟲等為代表的入侵性病毒;第二是以間諜軟體、廣告軟體、網路釣魚軟體、木馬程式為代表的擴展類威脅;第三是以黑客為首的有目標的專門攻擊或無目標的隨意攻擊為代表的網路侵害。
三大新威脅
Spyware(間諜軟體):主要是用作偷取用戶個人資料的惡意程式,如用戶使用網上銀行、網上購物等電子商務套用時,如果沒有相關的防禦措施與意識,那么用戶的網銀賬號和密碼就很容易被竊取。
Adware(廣告軟體):是一種軟體,一般表現為用戶點擊網站後就一連出現好多疊加著的網頁,非常不好關。它通常都跟某些工具軟體綁在一起,當你安裝這些軟體後,也就跟著進入你的電腦了。它不但占用系統資源,還常常連著一些色情網站。除強行向用戶做廣告外,更會刺探用戶的個人隱私資料,例如姓名、信箱、銀行資料、電話、地址等,因此隱藏著不小的危害性,需要儘快清除。
Phishing(網路釣魚軟體,又稱電子黑餌):是fishing和phone的縮寫。是指盜取他人個人資料、銀行及財務賬戶資料的網路相關誘騙行為,可分為誘騙式及技術式兩種。誘騙式是利用特製的電郵,引導收件人連線到特製的網頁,這些網頁通常會偽裝成真正的銀行或理財網頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、賬戶名稱及密碼等;技術性的Phishing則是將程式安裝到受害者的電腦中,直接盜取個人資料或使用木馬程式、按鍵記錄程式等。
只防病毒不安全
5月12日,信息產業部發布的最新統計數據顯示,目前中國網際網路上網人數已達9880萬。目前眾多網民已不再是簡單地上網瀏覽網頁及收發電郵,隨著網上銀行、網上購物等電子商務套用的出現,來自網上的威脅不僅僅是傳統的病毒了。
有報導稱,中國目前已經成黑客首選的攻擊目標,每天有3萬台PC機處於隨時可能被攻擊的失控狀態。業內人士指出,未來對電腦及電腦用戶造成最大威脅的並不是我們慣常認為的電腦病毒(Virus),而是一些Spyware(間諜軟體)、Adware(廣告軟體)、Phishing(網路釣魚軟體)、Trojan(木馬程式)、Worms(蠕蟲)。原因是大部分用戶及商業機構對一般的電腦病毒已有一定的防範,譬如安裝防毒程式等,再新的病毒也能在短時間內被解決,可是對於Spyware、Trojan及Worms絕大多數網民防範意識較為薄弱。雖然一般的電腦上也安裝了防毒程式,但實際上單一的防毒程式並不能阻擋來自網上的侵襲。數碼周刊在此向大家介紹如何架構一個縝密的“三防”電腦防禦系統,以保證上網安全。
害人四大新趨勢
Symantec中國區技術總監Robert在接受記者採訪時表示,總體來說,以前的黑客攻擊和犯罪的目的性不很明確,他們大多出於好奇、出風頭的目的。而現在多是有組織、有目的的經濟犯罪。據我們分析,黑客的攻擊大致有如下四大趨勢:
1.盜取個人資料
近年來利用Phishing攻擊的犯罪增長非常快,主要出現在電子商務套用中。黑客假借銀行之名給銀行用戶發電子郵件,提示銀行系統升級要求用戶重新註冊,用戶一旦輕信進行註冊,銀行賬號即落入黑客掌中,與此伴隨的將是你的銀行存款不翼而飛。
2.“殭屍”入侵
據Symantec今年3月份公布的安全報告顯示,去年7月—12月,從全球來看,殭屍即機器人(BOT)程式在中國的增長最快,而整個亞太區也居於全球前十名。BOT類似於木馬程式,它執行的是預先沒有設定好的程式,通過所有被程式控制的“殭屍”電腦一同對某一目標發起攻擊。這種攻擊的危險性最大,因為它不像病毒可以提前監控。
3.Adware、Spyware偷襲
Symantec的技術中心曾在用戶送修的筆記本電腦中發現,其已經被植入了多達近百種的Adware或Spyware軟體。它們一般通過小的用戶在下載Flash和小遊戲時安裝,由於它們不像病毒和蠕蟲那么敏感,於是得以在不知不覺中入侵你的電腦。現在一些正規的軟體廠商也在套用這些軟體來蒐集用戶的資料。儘管目前這類軟體不見得都有害,但它們蒐集的畢竟是你的個人隱私信息。這也將成為未來防範的重點。
4.垃圾郵件改頭換面
從當前來看,垃圾郵件的總量雖然呈下降態勢,但其逃避技術卻越來越強。這類郵件中攜帶著大量的病毒、Phishing、蠕蟲、木馬及額外的風險。
三防靠六招
人們常常認為,只要安裝一些單純的網路防禦產品就等於構建了一個完備的電腦防禦系統。殊不知,這些還不足以構建起一個完善的網路整體防禦體系,還需要在網路安全管理標準的指導下,通過網路安全管理整體解決方案,結合各種不同的網路防禦技術和產品,在整體上維護網路和信息系統的安全。
1.基本防(殺)毒軟體不可少
對於一般用戶而言,首先要做的就是為電腦安裝一套防毒軟體。只要是正規廠商的正版防毒軟體,任選一套即可。安裝的步驟很簡單,只要將安裝盤放入光碟機,按照系統的自動安裝界面的提示選擇安裝**防毒軟體→選擇安裝的語言版本→再一路NEXT即可。
推薦軟體:《NortonAntiVirus2005》、支持Windows(All);《瑞星防毒軟體2005版》、支持Windows95/98/Me或WindowsNT4.0/2000/XP/2003;《金山毒霸2005》、支持Windows9X/2000/XP;《江明防毒軟體KV2005》、支持WinXPSP2、WinXP,Win2000,Win9X。
2.個人防火牆設定是關鍵
在上述防病毒軟體中都含有個人防火牆,所以可用同一張光碟運行個人防火牆安裝,重點提示防火牆在安裝後一定要根據需求進行詳細配置。
各種防火牆的設定技巧有一定的共通之處,那就是在選擇將目前上網中的“區域連線 ”→“設定值”的“服務”中的大部分連線協定剔除,只保留基本的HTTP、HTTPS、SMTP、POP3項目能夠通過防火牆,按下確定後你的電腦就能防範大部分的蠕蟲入侵了。
3.斬斷Phishing魚鉤
反網路釣魚組織APWG(Anti-PhishingWorkingGroup)最新統計指出,約有70.8%的網路欺詐是針對金融機構而來。從國內前幾年的情況看大多Phishing只是被用來騙取QQ密碼與遊戲點卡與裝備,但今年國內的眾多銀行已經多次被Phishing過了。可以下載一些工具來防範Phishing活動。
推薦軟體:《NetcraftToolbar》。該軟體是IE上的Toolbar,當用戶開啟IE里的網址時,就會檢查是否屬於被攔截的危險或嫌疑網站,若屬此範圍就會停止連線到該網站並顯示提示。除了攔截Phishing外,它還可以攔截Pop—up視窗廣告。
4.反間諜、廣告軟體必殺
要防範Spyware的話,除了需要在電腦上安裝有如防毒程式的反間程式,時常監察及清除電腦的Spyware外。還要對將要在計算機上安裝的共享軟體進行甄別選擇,尤其是那些你並不熟悉的,可以登錄其官方網站了解詳情。此外,在安裝共享軟體時,不要總是心不在焉地一路單擊“OK”按鈕,而應仔細閱讀各個步驟出現的協定條款,特別留意那些有關Spyware行為的語句。
推薦軟體:MircrosoftAntiSpyware是一款專門針對Spyware的程式,支持Windows2000/XP/2003。它是用於監測和移除系統中存在的Spyware和其他潛在的不受信任程式的軟體。可以減少因為這些軟體帶來的非法彈出廣告視窗、計算機運行速度減慢、對Internet選項設定的隨意改動,以及竊取私人信息的情況。但該軟體還在測試階段,所以應謹慎使用。
Adware和其他惡意程式相近,它們中簡單的會出現在控制臺的添加或刪除程式里,用戶可直接把它們移除。不過大部分Adware為了掩人耳目都不會直接顯示程式本體,要刪除它們就需要利用一些針對性的軟體。
推薦軟體:《SpybotSearch&Destory》。只要安裝時採用默認的“Fullinstallation”,安裝完畢後,S-S&D1.3就直接包含中文界面在“Language”下拉選單中選擇“Chinese(simplified)”即可。初次使用時,S—S&D會提示用戶備份註冊表(提示:為保險起見,強烈建議在做任何修改之前首先備份註冊表,這類軟體多數都內置備份註冊表的功能),之後照例點擊“查找更新”按鈕升級主程式和參考檔案。再點擊“檢查問題”按鈕,S-S&D就會自動開始對系統進行掃描,並將發現的可疑項目列出在“Problem”框中,待檢查完畢後,用戶可以選擇想要清除的項目,然後點擊“修複選定的問題”即可。最後查殺完已有的間諜軟體,用戶只要點擊“免疫”按鈕,然後稍待幾秒鐘,S-S&D就會自動為系統打上“預防針”,避免這些間諜軟體的再次入侵,並且這種“免疫”也是可以隨時撤銷的。此外,還有針對Adware的《Ad—aware6.0檔案》和全能的《Spyware/AdwareRemover》檔案。
5.自建網站黑名單
清除了廣告程式後,並不代表已存在瀏覽器內的問題會自動被還原,還需要用戶手動重新更改標題及首頁。雖然《SpybotSearch&Destory》也有相近的功能,但使用起來卻沒有一款叫《SpywareBlaster》的軟體方便。通過該軟體用戶可以先對有問題的網站做出預防,限制他們對電腦安裝程式,並能清除目前已經安裝的有害ActiveX控制項。建議與上述軟體同時安裝。另外,用戶若要防備有問題的網站對電腦安裝不明軟體,同樣可使用《SpywareBlaster》來解決。
6.訓練軟體認垃圾
相信擁有電子信箱的用戶都受到過不同程度的垃圾郵件(SPAM)騷擾,令人不勝其煩,特別是每每長假過後信箱被塞爆之虞。為此,用戶要做的就是安裝一款電郵過濾程式,把SPAM過濾掉。
推薦軟體:《Spamihilator》是作為電郵程序與電郵伺服器間的過濾網,電郵會先下載到程式並進行過濾,被判斷為垃圾的電郵會儲存在程式的資源回收筒中(這樣就可避免被誤刪的重要郵件丟失),而被判斷為正常電郵的則會進入信箱的收件夾中。該軟體使用兩種方式來過濾郵件,一是預設的Word—Filter,檢查電郵中是否包含常見於垃圾郵件的字眼;另一種則是Learning—Filter,可應對日常接收到的電郵做過濾。然而,使用Learning—Filter前需要先訓練程式。在日常過濾電郵時,在TrainingArea中點選正常郵件,按Nonspam標記為正常電郵。按Pre—mark則可讓程式自動點選所有垃圾或正常郵件,不過在使用時,用戶最好親自檢查一遍,確保正確。之後按Learn程式就會根據電郵的分類進行識別垃圾的學習。
培養9個好習慣
專家指出,從技術的角度看網路是沒有絕對安全的,一個防護體系光有產品是不夠的,日常工作學習中養成好的使用習慣也是不可或缺的。用戶應該養成如下9個好習慣。
一是應該定期升級所安裝的防毒軟體(如果安裝的是網路版,可在安裝時可先將其設定為自動升級),給作業系統打補丁、升級引擎和病毒定義碼。
二是一定不要打開不認識的郵件,不要隨意下載軟體,要下載就一定要到正規的網站去下載。同時,網上下載的程式或者檔案在運行或打開前要對其進行病毒掃描。如果遇到病毒及時清除,遇到清除不了的病毒,及時提交給反病毒廠商。
三是不要隨意瀏覽黑客網站(包括正規的黑客網站)、色情網站。
四是儘量去備份。其實備份是最安全的,尤其是重要的數據和文章,很多時候,其重要性比安裝防禦產品更甚。
五是用戶每個星期都應該對電腦進行一次全面地防毒、掃描工作,以便發現並清除隱藏在系統中的病毒。
六是應該注意儘量不要所有的地方都使用同一個密碼,這樣一旦被黑客猜測出來,一切個人資料都將被泄漏。
七是上網時不要輕易聽信他人通過電子郵件或者P2P軟體發來的訊息。
八是對於經常使用P2P類下載軟體(如BT)的用戶,推薦每個月整理一下磁碟碎片,只要不是頻繁地整理碎片是不會對硬碟造成傷害的,另外,注意不要經常使用低級格式化。
九是當用戶不慎感染上病毒時,應該立即將防毒軟體升級到最新版本,然後對整個硬碟進行掃描操作。清除一切可以查殺的病毒。如果病毒無法清除,或者防毒軟體不能做到對病毒體進行清晰的辨認,那么應該將病毒提交給防毒軟體公司,防毒軟體公司一般會在短期內給予用戶滿意的答覆。而面對網路攻擊之時,我們的第一反應應該是拔掉網路連線連線埠,或按下防毒軟體上的斷開網路連線鈕。
讓隨身碟做到100%預防病毒
話題背景:
隨身碟對病毒的傳播要藉助autorun.inf檔案的幫助,病毒首先把自身複製到u盤,然後創建一個autorun.inf,在你雙擊u盤時,會根據autorun.inf中的設定去運行u盤中的病毒,我們只要可以阻止autorun.inf檔案的創建,那么隨身碟上就算有病毒也只能躺著睡大覺了,大家可能也想到這個,但是不管給autorun.inf設定了什麼屬性,病毒都會更改它,我提到的方法就是,在根目錄下,刪除autorun.inf檔案,然後,根目下建立一個資料夾,名字就叫autorun.inf,這樣一來,因為在同一目錄下,同名的檔案和資料夾不能共存的原理,病毒就無能為力,創建不了autorun.inf檔案了,以後會不會出新病毒,自動去刪資料夾,然後再建立檔案就不知道了,但至少現階段,這種方法是非常有效的.
現狀分析:
事實表明,目前已經有新的病毒能夠有意識地檢測autorun.inf的存在,對於能直接刪除的則刪之,對於“無法刪除”的則用重命名的方式毀之;還有一種很早就出現的以檔案名稱誘騙用戶點擊的病毒(如:重要檔案.exe,小說.exe)。對於以上這兩種傳播方式的病毒,僅僅建立autorun.inf資料夾是抵禦不了的。
應對策略:
1、在插入隨身碟時按住鍵盤shift鍵直到系統提示“設備可以使用”,然後打開優盤時不要雙擊打開,也不要用右鍵選單的打開選項打開,而要使用資源管理器(開始-所有程式-附屬檔案-windows資源管理器)將其打開,或者使用快捷鍵winkey+E打開資源管理器後,一定通過左側欄的樹形目錄打開可移動設備!(要養成這樣的良好習慣)
2、如果盤內有來路不明的檔案,尤其是檔案名稱比較誘惑人的檔案,必須多加小心;需要特別提示的是,不要看到圖示是資料夾就理所當然是資料夾,不要看到圖示是記事本就理所當然是記事本,偽裝圖示是病毒慣用伎倆.
MicroWorld Winsock層技術
MicroWorldWinsock層技術MicroWorldWinsock層技術(MWL)是一項由MicroWorld自主研發的革命性技術。它位於Winsock層和用戶的應用程式之間。MWL使MicroWorld的產品可以在傳輸層阻擋危險的內容,這樣危險就不會觸及套用層,由此達到實時保護信息系統的目的。
為攔截垃圾郵件和詐欺信息,MicroWorld引入了一種特有的技術叫做非侵入式學習樣本(NILP)。這種順應機制能根據用戶的行為模式分析每封郵件然後進行知情處理。這種機制一方面是進行自主行為模式學習,一方面也可整合從MicroWorld伺服器上取得的研究結果。