墨者安全专家二代使用评测
十月 24, 2008
墨者安全专家免疫革离术二代终于面世了。之前在媒体上出现很多关于墨者安全专家的报道,类似独创的免疫革离术、终身免费升级、终身免费杀毒、等耀眼的词汇,吸引了很多爱好者的关注。笔者试用之余,也信手敲下一些感受,不敢妄称“深入分析”,恐有误导读者之嫌! 以下几点是针对墨者的相关功能的亮点做的一些测试和比较。
(一).免疫革离术功能介绍
据官方介绍:墨者安全专家的免疫革离术是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫防御技术。普通应用程序在墨者免疫“革离“术下被剥夺了对系统关键资源如启动时自运行、安装驱动、服务、钩子等的访问权限,仅在确认无害而且是必须访问关键资源的应用程序才赋予相应的权限。这样未知新病毒和木马就无法在用户电脑系统中自动被安装、潜伏和实施攻击、窃取帐号密码等敏感资料。就像是未知的恶意软件被关进了牢房,无法对用户电脑造成伤害。而这一“牢房“又由墨者强大的反rootkit技术又保证不会被突破。此外,墨者安全专家系统资源占用极小(硬盘、内存、CPU…)且基本无需更新,让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。
比起墨者第一代的革离术,开启第二代革离术显得更方便。用户在开启第一代革离术时,需要转换不同的磁盘格式,并且同时创建一个新帐户,甚至还要修改一些目录属性,而第二代革离术只需要点“立即开启”,一秒钟内便轻松开启了革离术。(如图1)
(二).免疫革离术防毒测试
免疫革离术在功能上更加易用了,但是会不会在安全上打折扣呢?笔者在未安装杀毒软件的情况下,基于墨者免疫革离术开启的环境里运行了数十款九月份比较流行的木马,截上几张比较有代表性的图片。
(图2. 号称饿死杀毒软件厂商的病毒——中华吸血鬼立刻胎死腹中)
(图3. 横行一时的机器狗木马变种立刻出错并且无法运行)
大家可以看到墨者二代革离术依旧把电脑进行了病毒免疫,让那些未知的病毒木马都毫无用处。
资源占用情况是用户在选择一款放心安全软件所必看的参数,我们来看看墨者安全专家在这方面的具体数据
(图5.墨者安全专家所运行的进程以及内存使用情况)
|
软件名称 |
墨者安全专家 |
|
安装文件磁盘占用 |
4.08MB |
|
安装后磁盘占用 |
22.4MB |
|
未开启革离术内存占用 |
11.6MB |
|
未开启革离术CPU占用 |
0(不占用) |
|
开启革离术内存占用 |
22.4MB |
|
开启革离术CPU |
0 (不占用) |
上面的图和数据看来,墨者这款安全软件的确做到了它所说的“让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。”
.终身免费杀毒软件
墨者的免疫革离术主要作用发挥在用户还未中毒前,以及安装后将针对新的未知病毒和木马进行防御。而对于一些已经中招的用户,或者需要把病毒彻底删除干净的网民,可以通过墨者这个安全平台来下载杀毒软件。特别要说明的是墨者提供的软件是终身免费的,包括杀毒软件的病毒库升级也同样免费。下图是墨者的OEM合作伙伴,全球前三位的顶级杀毒企业趋势科技的个人杀毒软件。
( 图6墨者版终身免费趋势杀毒专家)
一个是墨者革离术免疫未知病毒木马,一个是顶级杀毒企业提供的终身免费升级的查杀软件,这样的组合基本上用户可以放心使用了。不过相对免疫革离术,趋势杀毒占用的资源是比较大,但是杀毒效果着实没有让我们失望,笔者测试用的36个已知的病毒样本均被都被查出来了
(见图7)。
( 图7.趋势病毒扫描)
|
软件名称 |
墨者趋势杀毒专家 |
|
安装文件磁盘占用 |
41.6MB |
|
安装、升级后磁盘占用 |
222MB |
|
未扫描内存占用 |
46.12MB |
|
未扫描CPU占用 |
0(未占用) |
|
扫描中内存占用 |
101MB |
|
扫描中CPU占用 |
0 (未占用) |
现在各个安全软件里都加了一个系统漏洞修复的工具,墨者也不例外。但是表现不佳,笔者使用360安全卫士扫出两个漏洞,而使用墨者革离术只扫描出一个安全漏洞。据官方解释,墨者仅对一些对会造成较高安全隐患的漏洞进行补丁更新,一些只有在特定情况下才会发生异常的补丁更新墨者不会对其处理,以节省用户时间。
(8.墨者安全专家–漏洞修复)
墨者安全专家以及360安全卫士的漏洞补丁均是从微软官方网站下载。所以下载速度落差不大。
(图10 360安全卫士补丁下载)
(图11.墨者安全专家补丁下载)
(图12.墨者安全专家,隐私清除功能主界面)
在隐私清除功能上360安全卫士显得更加专业,可列出更多的清除现象供用户选择,但是在清除结果上与墨者并无落差。
综合以上几个方面的评测,墨者安全专家还是一款很不错的免费防御软件。最大的特点在于可以防御未知的新病毒和木马,同时虽然墨者可以和一些主流杀毒软件兼容,弥补了现在杀毒软件所存在的一个弊端。当然,墨者也有不尽如人意的地方!其自带的趋势科技终身免费杀毒软件在系统资源占用以及稳定性上都表现不佳,墨者还需要加强跟更多的杀毒软件、防火墙进行有效的兼容。 如果墨者能有自己的杀毒模块并且兼容其它的杀毒软件,那么对于安全方面的贡献应该更显著些。
漏洞修复
墨者2008年十大最流行病毒报告
十月 21, 2008
墨者2008年十大最流行病毒报告
2008年上半年,电脑病毒、木马的数量依然保持着高速增长,新病毒不断涌现,一些“老”病毒在大量下载器病毒的带动下也异常活跃。 与此同时,病毒、木马与安全软件之间的对抗日益加剧,以机器狗、磁碟机、AUTO木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁。
一 .机器狗
病毒名称:Trojan.Psw.Onlinegame.Dog
病毒中文名:.机器狗
病毒类型:木马
危险级别:★★★★
影响平台:Win9X/2000/XP/NT/Me
描述:机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户电脑带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点,影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK),映像挟持,进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁,部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
二.磁碟机
病毒名称:Trojan.Psw.Onlinegame.CD
病毒中文名:磁碟机
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me
简介:
电脑感染“磁碟机”变种病毒后,症状表现为运行任意程序时系统经常性死机或长时间卡住不动,病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在,就会强行将其关闭(发送洪水似垃圾消息)。在所有盘符下生成“autorun.inf”和病毒程序文件体,并且会实时检测保护这些文件。病毒会下载20余种木马病毒,用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀,其隐藏和自我保护技术超过机器狗。
三.AV终结者
病毒名称:Trojan/Anti-AV
病毒中文名:Av终结者
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me
描述:“AV终结者”即"帕虫"是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
四.网游窃贼
病毒名称:Trojan/PSW.GamePass.Gen
病毒中文名:网游大盗
病毒类型:木马
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失,会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式,来实现木马开机自启动。
五.下载者 (http://hi.baidu.com/mp_man/blog/item/057144db564526ddb7fd482f.html )
病毒名称:w32.Troja.downloader
中 文 名:下载者
病毒类型:木马下载器
危害等级:★★★★
描述:该病毒为Windows平台下通过网络下载QQ木马、网游木或其它病毒的下载器病毒运行后将自己伪装成伪系统正常文件,并利用特殊技术将病毒代码注入到系统正常进程中,以绕过网络防火墙的监视。然后下载其它病毒。
六.Rootkit
病毒名称:Rootkit.Agent.xd
中 文 名:Rootkit
病毒类型:病毒
危害等级:★★★★★
Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其 它文件的脚本。
七.灰鸽子
病毒名称:Backdoor/Huigezi
病毒中文名:灰鸽子
病毒类型:后门
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“灰鸽子”运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存(文件属性设置为:只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序,运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料等,会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务,以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后,会自我删除。
八.U盘病毒
病毒名称:Checker/Autorun
病毒中文名:U盘寄生虫
病毒类型:蠕虫
危险级别:★★★★
一周感染量:18184台
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“Autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会给用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
九.QQ大盗
病毒名称:Trojan/Psw.Ala.QQpass
病毒中文名:QQ大盗
病毒类型:蠕虫
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“QQ大盗”运行时,会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息,然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,从而来保护自身不被查杀。“QQ大盗”运行时,会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料,并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里,会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式,来实现开机木马自启动。
十. Flash漏洞攻击器
病毒名称:Hack.Exploit.Swf.A
病毒中文名:Flash漏洞攻击器
病毒类型:蠕虫
危害级别:★★★★
一周感染量:1890453
影响平台:Win 9X/ME/NT/2000/XP/2003
这是一个黑客程序,可以破坏Flash插件的安全机制,使其它病毒获取系统权限,侵入用户电脑。目前每天有数十万台电脑被此病毒感染,危害十分严重。此病毒会被植入“挂马网站”中,用户浏览时就可能中毒。目前已截获的主要是木马下载器病毒,它们会从网上下载其它多种盗号木马,窃取流行网络游戏的账号和装备。
墨者安全专家认为:尽管杀毒厂商有对以上病毒作出反应,但是传统的特征码扫描技术被病毒木马打击的溃不成军,如果下一个类似“磁碟机”“AV终结者”出现的时候谁来保护杀毒软件,网络安全现在的问题不仅仅是传统厂家与黑客之间的博弈,面对日益完善的黑色产业链,靠杀毒软件支持的时代已经过去,安全厂商应该把防御放到首要未知,主动免疫的时代已经来临。
奇虎郑文彬:还原系统保护技术原理和攻防
十月 10, 2008
腾讯科技讯 3月19日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会进入第二天。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
来自奇虎的反木马专家郑文彬,在现场发表演讲。以下为文字实录:
郑文彬:大家好!我今天给大家介绍这几个方面:背景、还原系统技术原理概览、流行还原系统穿透技术介绍、通用还原系统保护技术、演示&GuardField、还原系统保护之未来趋势。最近一段时间,有机器狗这类病毒工具对还原系统攻击,使用还原系统环境的用户一般都不会安装其他的防护软件,一旦还原软件被穿透的话,会带来比较大的安全威胁。
还原系统技术原理:基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备,在harddiskX进行文件过滤。过滤驱动如何做到还原?首先还原系统会在磁盘上分配一块预留的区域,应用程序以为他已经写到真实磁盘,实际上被分配到一块内容区域里,真实磁盘根本就没有被写入。
下面介绍一下还原软件怎么更新过滤。首先是一个普通的Windows程序,会调用Win32API,从用户模式到内存模式,这些函数调用Windows内核,把文件请求发到文件系统上,根据磁盘卷分区格式不同来创建。文件系统设备会将上层发来的文件读写请求转化磁盘读写请求,在harddisk volume之前会有还原系统过滤驱动。再往下会根据硬盘接口不同而有不同。如果IDE结构硬盘,会发布到电源系统。api最终会调用函数读写端口。如果是USB设备,会发送到usb stor。
刚才说了还原系统的一些基本原理,知道原理之后对如何穿透还原也就很简单了。既然还原系统都在磁盘上过滤驱动,只要我们解除过滤驱动与真实磁盘之间的关系,绕过过滤关系的话,就等于直接穿透了还原。第一种方法:DR0设备过滤设备链摘链。这种方法其实就是摘除一个harddiskDR0上的过滤设备。指明设备上会有哪些过滤设备,第一代机器狗病毒将这个域给清零,导致还原系统设备被清除,所有请求就不通过还原系统直接到达过滤磁盘设备。对于没有防备的还原系统就被成功攻破了。国内大部分还原系统都没有办法对抗这种技术。但是这种技术也是有一些缺陷的,只能摘除在DR0上的物理设备。文件请求先到达磁盘卷,磁盘卷上的过滤设备摘除的话对系统有影响。所以第一代机器狗病毒使用了自己解析文件系统方式进行感染,这是它的缺陷。
第二种方法:会自己创建虚拟磁盘设备,作为磁盘卷挂载到文件系统上,对虚拟磁盘读写影射到真实磁盘,将请求下发到下层设备。相对第一代机器狗来说,这种方法不需要对磁盘系统摘除,可以通过文件对虚拟磁盘操作,操作结果是和对真实磁盘操作是一样的,可以成功穿透还原。在这里还用一种方式就是他没有直接发送磁盘读写请求,发送SCSI-REQUEST-BLOCK下发到下层磁盘设备。
还有一种方法,这是方法不使用驱动程序,直接在用户模式穿透还原系统。磁盘系统提供一套passthrough指令,不向磁盘发