微软IE7 0day漏洞补丁
十二月 27, 2008
IE 7 0day 漏洞被截获后在互联网可谓引起轩然大波,黑客们也纷纷利用该漏洞发布和传播病毒、网站挂马等,鉴于此次漏洞引发的危害之大,微软在北京时间周四凌晨两点已经发布该漏洞的修复补丁,专家建议广大用户及时下载安装该补丁。
以下为此次补丁的详细信息:
Internet Explorer 7 for Windows XP 安全更新程序 (KB960714)
系统要求
支持的操作系统: Windows XP Service Pack 2; Windows XP Service Pack 3
此更新适用于以下操作系统的 Internet Explorer 7:
Windows XP SP2
Windows XP SP3
网页版杀毒软件–微软Onecare试用
十二月 25, 2008
您是否一直在寻找一种方法来帮助您删除病毒和间谍软件,同时改善计算机性能?现在您找到了。如果您所在的国家/地区还没有提供全方位计算机维护服务 Windows Live OneCare 时,那么您可以使用 Windows Live OneCare 安全扫描程序免费扫描您的计算机。
Windows Live OneCare 安全扫描程序是免费的网络服务,可以快速、按需扫描您的计算机帮助您诊断并解决问题,从而确保计算机健康安全。
感覺onecare是微軟很不用心的作品,但是微軟一說話,足以讓賽門鐵殼,以及趨勢的股票大跌。
微軟同志也很厚道的告訴我:
不能保證新的病毒木馬入侵電腦。
墨者CEO陸劍鋒分析:
最直接的原因是微软需要捍卫其操作系统的垄断地位。IDC最新预测表明,类似华硕EeePC的上网笔记本在未来将会有很快的成长,而这些上网笔记本都倾向于使用Linux操作系统而非Windows。主要原因之一是Linux只需要15秒就能完成系统启动,而Windows启动平均需2分钟。微软研究发现造成启动慢的一个主要原因就是杀毒软件。所以推出免费杀毒是微软向杀毒厂商施压并取悦硬件厂商的手段之一。尽管如此,微软的这一举措也有利于提高整个Windows系统的安全性,一定程度上减少公众对微软的诟病。
點我試用:
解决特定的计算机问题
使用全面服务扫描来进行全面的检查。为解决您计算机上的特定问题,请使用下面列出的各个扫描程序。
點擊链接開始試用:
http://onecare.live.com/site/zh-cn/default.htm
云安全 云不安全?
十二月 13, 2008
刘旭:云安全是从云计算的概念中衍生而来。目前基于云安全的操作思路主要有两种:第一种思路是将“云”作为新病毒恶意代码的二度搜集和被动响应处理的系统。搜集病毒主要借助于安装在用户端的一种搜集器,一旦发现异常便汇报给服务器。这种方式确实能够起到一定的作用,收集的效率也明显优于现有模式。但是从用户端后台搜集信息,个人隐私的保护是个不可回避的问题。用户觉得不安全,很有可能就不愿意配合。再者服务器收集到的数以亿计的数据如何处理?人工方式显然不能胜任。如果采用机器自动识别病毒,那为何不把这个环节放在用户端,而是舍近求远放在遥远的云端?
第二种思路是将特征库放在云端,用户只要链接到服务器便可共享查杀服务。这种方案解决了日后海量的病毒库在个人电脑更新存储的难题。但目前优势并不明显,因为从现在的状况来看,每天更新的特征码直接下载到用户端还是很快的,没有必要放在云端。另外对不能联结互联网的计算机,云安全就可能形同虚设。
根据以上的分析,我认为云安全目前还只是概念,它仍然没有回答最重要的问题——如何自动识别新病毒。遇到一个新病毒,不管你的病毒库是放在本机上,还是放在云上,都需要进行有效的判定与查杀。所以,在更多细节与构思被提出之前,云安全尚不能成为治本的安全防护方案,更不是信息安全领域的救世主。
墨者安全专家二代使用评测
十月 24, 2008
墨者安全专家免疫革离术二代终于面世了。之前在媒体上出现很多关于墨者安全专家的报道,类似独创的免疫革离术、终身免费升级、终身免费杀毒、等耀眼的词汇,吸引了很多爱好者的关注。笔者试用之余,也信手敲下一些感受,不敢妄称“深入分析”,恐有误导读者之嫌! 以下几点是针对墨者的相关功能的亮点做的一些测试和比较。
(一).免疫革离术功能介绍
据官方介绍:墨者安全专家的免疫革离术是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫防御技术。普通应用程序在墨者免疫“革离“术下被剥夺了对系统关键资源如启动时自运行、安装驱动、服务、钩子等的访问权限,仅在确认无害而且是必须访问关键资源的应用程序才赋予相应的权限。这样未知新病毒和木马就无法在用户电脑系统中自动被安装、潜伏和实施攻击、窃取帐号密码等敏感资料。就像是未知的恶意软件被关进了牢房,无法对用户电脑造成伤害。而这一“牢房“又由墨者强大的反rootkit技术又保证不会被突破。此外,墨者安全专家系统资源占用极小(硬盘、内存、CPU…)且基本无需更新,让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。
比起墨者第一代的革离术,开启第二代革离术显得更方便。用户在开启第一代革离术时,需要转换不同的磁盘格式,并且同时创建一个新帐户,甚至还要修改一些目录属性,而第二代革离术只需要点“立即开启”,一秒钟内便轻松开启了革离术。(如图1)
(二).免疫革离术防毒测试
免疫革离术在功能上更加易用了,但是会不会在安全上打折扣呢?笔者在未安装杀毒软件的情况下,基于墨者免疫革离术开启的环境里运行了数十款九月份比较流行的木马,截上几张比较有代表性的图片。
(图2. 号称饿死杀毒软件厂商的病毒——中华吸血鬼立刻胎死腹中)
(图3. 横行一时的机器狗木马变种立刻出错并且无法运行)
大家可以看到墨者二代革离术依旧把电脑进行了病毒免疫,让那些未知的病毒木马都毫无用处。
资源占用情况是用户在选择一款放心安全软件所必看的参数,我们来看看墨者安全专家在这方面的具体数据
(图5.墨者安全专家所运行的进程以及内存使用情况)
|
软件名称 |
墨者安全专家 |
|
安装文件磁盘占用 |
4.08MB |
|
安装后磁盘占用 |
22.4MB |
|
未开启革离术内存占用 |
11.6MB |
|
未开启革离术CPU占用 |
0(不占用) |
|
开启革离术内存占用 |
22.4MB |
|
开启革离术CPU |
0 (不占用) |
上面的图和数据看来,墨者这款安全软件的确做到了它所说的“让用户的电脑系统资源尽最大可能地被用于用户的工作和娱乐。”
.终身免费杀毒软件
墨者的免疫革离术主要作用发挥在用户还未中毒前,以及安装后将针对新的未知病毒和木马进行防御。而对于一些已经中招的用户,或者需要把病毒彻底删除干净的网民,可以通过墨者这个安全平台来下载杀毒软件。特别要说明的是墨者提供的软件是终身免费的,包括杀毒软件的病毒库升级也同样免费。下图是墨者的OEM合作伙伴,全球前三位的顶级杀毒企业趋势科技的个人杀毒软件。
( 图6墨者版终身免费趋势杀毒专家)
一个是墨者革离术免疫未知病毒木马,一个是顶级杀毒企业提供的终身免费升级的查杀软件,这样的组合基本上用户可以放心使用了。不过相对免疫革离术,趋势杀毒占用的资源是比较大,但是杀毒效果着实没有让我们失望,笔者测试用的36个已知的病毒样本均被都被查出来了
(见图7)。
( 图7.趋势病毒扫描)
|
软件名称 |
墨者趋势杀毒专家 |
|
安装文件磁盘占用 |
41.6MB |
|
安装、升级后磁盘占用 |
222MB |
|
未扫描内存占用 |
46.12MB |
|
未扫描CPU占用 |
0(未占用) |
|
扫描中内存占用 |
101MB |
|
扫描中CPU占用 |
0 (未占用) |
现在各个安全软件里都加了一个系统漏洞修复的工具,墨者也不例外。但是表现不佳,笔者使用360安全卫士扫出两个漏洞,而使用墨者革离术只扫描出一个安全漏洞。据官方解释,墨者仅对一些对会造成较高安全隐患的漏洞进行补丁更新,一些只有在特定情况下才会发生异常的补丁更新墨者不会对其处理,以节省用户时间。
(8.墨者安全专家–漏洞修复)
墨者安全专家以及360安全卫士的漏洞补丁均是从微软官方网站下载。所以下载速度落差不大。
(图10 360安全卫士补丁下载)
(图11.墨者安全专家补丁下载)
(图12.墨者安全专家,隐私清除功能主界面)
在隐私清除功能上360安全卫士显得更加专业,可列出更多的清除现象供用户选择,但是在清除结果上与墨者并无落差。
综合以上几个方面的评测,墨者安全专家还是一款很不错的免费防御软件。最大的特点在于可以防御未知的新病毒和木马,同时虽然墨者可以和一些主流杀毒软件兼容,弥补了现在杀毒软件所存在的一个弊端。当然,墨者也有不尽如人意的地方!其自带的趋势科技终身免费杀毒软件在系统资源占用以及稳定性上都表现不佳,墨者还需要加强跟更多的杀毒软件、防火墙进行有效的兼容。 如果墨者能有自己的杀毒模块并且兼容其它的杀毒软件,那么对于安全方面的贡献应该更显著些。
漏洞修复
奇虎郑文彬:还原系统保护技术原理和攻防
十月 10, 2008
腾讯科技讯 3月19日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会进入第二天。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
来自奇虎的反木马专家郑文彬,在现场发表演讲。以下为文字实录:
郑文彬:大家好!我今天给大家介绍这几个方面:背景、还原系统技术原理概览、流行还原系统穿透技术介绍、通用还原系统保护技术、演示&GuardField、还原系统保护之未来趋势。最近一段时间,有机器狗这类病毒工具对还原系统攻击,使用还原系统环境的用户一般都不会安装其他的防护软件,一旦还原软件被穿透的话,会带来比较大的安全威胁。
还原系统技术原理:基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备,在harddiskX进行文件过滤。过滤驱动如何做到还原?首先还原系统会在磁盘上分配一块预留的区域,应用程序以为他已经写到真实磁盘,实际上被分配到一块内容区域里,真实磁盘根本就没有被写入。
下面介绍一下还原软件怎么更新过滤。首先是一个普通的Windows程序,会调用Win32API,从用户模式到内存模式,这些函数调用Windows内核,把文件请求发到文件系统上,根据磁盘卷分区格式不同来创建。文件系统设备会将上层发来的文件读写请求转化磁盘读写请求,在harddisk volume之前会有还原系统过滤驱动。再往下会根据硬盘接口不同而有不同。如果IDE结构硬盘,会发布到电源系统。api最终会调用函数读写端口。如果是USB设备,会发送到usb stor。
刚才说了还原系统的一些基本原理,知道原理之后对如何穿透还原也就很简单了。既然还原系统都在磁盘上过滤驱动,只要我们解除过滤驱动与真实磁盘之间的关系,绕过过滤关系的话,就等于直接穿透了还原。第一种方法:DR0设备过滤设备链摘链。这种方法其实就是摘除一个harddiskDR0上的过滤设备。指明设备上会有哪些过滤设备,第一代机器狗病毒将这个域给清零,导致还原系统设备被清除,所有请求就不通过还原系统直接到达过滤磁盘设备。对于没有防备的还原系统就被成功攻破了。国内大部分还原系统都没有办法对抗这种技术。但是这种技术也是有一些缺陷的,只能摘除在DR0上的物理设备。文件请求先到达磁盘卷,磁盘卷上的过滤设备摘除的话对系统有影响。所以第一代机器狗病毒使用了自己解析文件系统方式进行感染,这是它的缺陷。
第二种方法:会自己创建虚拟磁盘设备,作为磁盘卷挂载到文件系统上,对虚拟磁盘读写影射到真实磁盘,将请求下发到下层设备。相对第一代机器狗来说,这种方法不需要对磁盘系统摘除,可以通过文件对虚拟磁盘操作,操作结果是和对真实磁盘操作是一样的,可以成功穿透还原。在这里还用一种方式就是他没有直接发送磁盘读写请求,发送SCSI-REQUEST-BLOCK下发到下层磁盘设备。
还有一种方法,这是方法不使用驱动程序,直接在用户模式穿透还原系统。磁盘系统提供一套passthrough指令,不向磁盘发送直接请求,就可以获取磁盘信息甚至直接读写磁盘扇区。IDE/SCSI/ATA Pass Through指令穿透还原,RING3下使用Devicelocontrel函数发送请求。大多数还原系统对此过滤不严或根本未过滤,导致在RING3下即可达成攻击。
其他一些方法,比如说直接操作端口驱动,比如USB,更底层的磁盘操作:端口驱动、直接IO等等,缺点是难度大,通用较麻烦。另外的方法是可以摘除其他一些过滤设备,Attach到还原系统上,先于磁盘系统获得磁盘的请求,可以做一个绕过动作。可以在磁盘卷设备保存指针上所手脚。方法很多,不再一一解释了。主要是两类,第一类是新的磁盘技术或者磁盘卷绕过或者穿透的一些技巧。
通用还原系统的保护技术,GuardField。还原系统脆弱的原因是什么呢?刚才也说过了他是通过磁盘设备上的过滤驱动,也就是说他跟磁盘设备没有紧密联系,只要被攻击者使用、摘除或者绕过方法就可以把磁盘请求发送到真实磁盘上。穿透基本原理:必须使读写请求不经过还原系统物理驱动,而是到了下层的物理磁盘设备。这里就有一个穿透思路,一个磁盘请求是从上层逐层发布到下层,我们只要监控发送路径,进行对比操作,就可以作为一个还原穿透的角色。
这是我们上周发布的360GuardField文件,给大家演示一下效果。这是一台XP虚拟机,安装了冰点的还原系统,这个还原系统正常会被第一代机器狗穿透。这是我们第一代机器(图)。这个系统已经安装了还原保护。可以看到还原攻击已经被拦截了,这个时候看到攻击者已经没有了。然后使用微软工具查看一下,可以看到攻击者攻击是失败的。这是第二代机器狗样本,它可以直接对文件操作,不需要感染。他可以在启动目录上拷贝一个文件,因为他是穿透还原去拷贝文件,所以重启后就无法被还原了。这里会有第三种攻击方法,passthrouh,它可以破坏磁盘数据。我们用Winhex看一下。攻击演示就做到这里。可以看到我们在对待第一、二、三代攻击都成功做到保护。
现在说一下GuardField原理,首先在启动时手机、挂钩还原系统的磁盘过滤驱动,监视磁盘IRP发送。之后我们挂钩底层磁盘设备,监视磁盘IRP达到,如果数据结构里没有磁盘IRP,我们就认为磁盘IRP没有经过还原系统到达下层。我们首先对系统做一个检查、修复,检查之前保存的磁盘过滤设备链有没有被摘除,如果摘除了,我们恢复。然后会将这个信息发送到Ring3服务进程。我刚才说的第一种攻击手段,它以后读写都不会再成功了。后面请求的时候都会被还原系统拦截到。第二代虚拟磁盘方式,每次读写都穿透还原,所以每次穿透还原都会拦截掉。
我们挂钩还原系统在磁盘卷上的过滤驱动,进行收集IRP操作,下面还原系统在磁盘上的过滤驱动,然后在磁盘设备下层也会挂钩,GuardField分析IRP。
IRP监视回收,他不一定会发送到下层。可能在磁盘卷或者过滤设备上被取消或者直接完成掉,没有往下传送。数据始终保持在数据结构里没有被清除。Lofreelrp是用于IRP取消或者完成来释放的。他jmp ds_Plofreelrp。每次当IRP回收的时候,我们从数据结构里可以得到一个监视。
对抗passthrough,因为我们挂钩下层磁盘设备,TM都会使用passthrough这些指令,他是通过这些指令获取磁盘信息。分析passthrough请求包意图。拦截恶意攻击者的passthrough指令。
同时还结合传统反病毒技术,为什么还会使用传统反病毒技术呢?主要原因是Ringo攻击者同我们处在同一水平,除非阻止其进入RING0,不可能完全对其进行防御。GuardField使用方法,通过Mmloadsystemlmage函数。如果是一个已知的驱动的话,我们会阻止,最大可能乐观防止攻击者攻击。
还原系统未来趋势。我们现在有GuardField的保护,恶意攻击者肯定会开发出一些新的更新,对抗GuardField。他们可能会使用哪些手段,猜测主要有两方面:第一,更底层或者更新的磁盘读写技术,绕过磁盘IRP分析,直接写入磁盘。第二,针对GuardField本身的工具,对GuardField进行破坏、脱钩。我们发布之后,大概不到两天时间就有新的驱动出来,对我们GuardField脱钩。
如何防御:更底层的磁盘读写监视。他们开发起来难度比较大,短期内没有办法形成比较大的规模。GuardField这套系统如果有一定时间可以进行修改的话,还是可以用现有系统兼容,对磁盘底盘操作进行监视。我们知道atapi.sys IRP还是存在的,对这一层做hook。
针对第二种方法脱钩,可以适量的自我保护、恢复。就我个人来看,针对性攻击不足为惧。如果攻击者对防御者产生一些针对性攻击,等于攻击者容易落入一个被动捱打的局面。如果已经到脱钩了,说明攻击者已经比较穷了。还原系统在软件方面的对抗应该是没有止境的。有什么问题大家可以问。
以下是现场问答部分:
问:我给郑文彬补充一些数据,根据权威部门统计,盗号70%是来自网吧。而网吧几乎100%安装了还原设备。刚才郑文彬也介绍了还原设备的攻防。其实还原系统是很重要的一块。
问:我想请问一下您刚才介绍的还原系统软件原理、实现方法,能不能介绍还原卡硬件的原理?
郑文彬:对于还原卡来说,一般有两种。现在市面上的还原卡都不是真正的硬件上的还原卡,他们使用技术就是PCI设备,可以在OS启动之前获得控制权,在OS无整个过程中监控磁盘读写,但是实质上是通过磁盘驱动监视。应该国外有一些硬盘磁盘设备监控磁盘IO端口,在IDE接口上做一些保护。但是这种硬件还原产品至今我没有看到。主要还是采用软件方面保护。
问:你的意思是你看到还原卡本质还是软件还原设备?
郑文彬:用PCI就可以比磁盘的OS启动的更早。
问:那就是说PCI还原卡是忽悠人的?
郑文彬:它的好处就是可以更早的监视。像一些纯软件的还原卡,如果在DOS下攻击的话,应该是没有办法的。
主持人:感谢文彬给我们带来的精彩演讲。下面还是茶歇时间。
转自:腾讯/IT
Norton UAC Tool 2008.1.0.11 Beta
十月 10, 2008
User Account Control (UAC) 是在 Windows Vista 中新加入的一种安全特性。简单的讲,就是在使用管理员用户时把管理员权限和一般用户权限分开。
未知程序都以user权限运行,xp用户可使用墨者安全专家。
由于很多程序都需要高权限才可以运行,导致UAC频繁提示,十分烦。很多朋友使用Vista都把UAC关闭,这的确是一个好的办法,但是损失了安全性。Norton UAC Tool是一个全新概念的工具,能够完全接管Vista内置的UAC机制。最重要的,提供了下次不再询问的选项!
这个工具提供了一种和微软不同的提示方法,未来还未提供联网的白名单机制。
目前的UAC对一般用户来说基本都是直接通过的,还无意义。而赛门铁克的UAC将会通过安全等级来详细告诉用户,并且实时更新的。
Text Area #1
This is an area on your website where you can add text. This will serve as an informative location on your website, where you can talk about your site.
Continue reading »
Text Area #2
To edit these text areas, go to Presentation / Theme Editor, then click on Right Sidebar file.
Continue reading »
Text Area #3
This is an area on your website where you can add text, like contact numbers, office hours, customer testimonials and quotes, special discounts and more.
Continue reading »
