微点交流论坛 - 主动防御 - 主动防御不如前置“预防”，FireFox、HIPS(已设自动拦截规则)和微点一个都不能少。

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 主动防御不如前置“预防”，FireFox、HIPS(已设自动拦截规则)和微点一个都不能少。

Alpha_Boy
中级用户

积分 235
发帖 225
注册 2008-5-17

#1 主动防御不如前置“预防”，FireFox、HIPS(已设自动拦截规则)和微点一个都不能少。

一、今天，我亲戚家公司里的会计在吃午饭前升级了一次卡巴斯基（7.0），打开扫描后就去吃饭了，吃完饭回来以看，杀出5个威胁（卡巴里面把病毒、木马、广告软件等恶意程序统称为“威胁”）！

我得知了这事后，就打开卡巴，把其中的5个威胁全部恢复到了U盘中，然后一一去手动打开或运行它们。

其中的两个网页文件用FireFox（同样是非IE核心的浏览器，号称能减少94%的中网页木马的概率）打开一看就是一条窄窄的横线，没有什么提示；

如果用IE6打开的话（已为IE6打上所有的安全补丁），会提示里面有活动内容，如果选则允许的话，其中一个卡巴会提示里面含有恶意脚本，已经拦截。

那个卡巴不报警的网页文件中的活动脚本倒底干了些什么，我也不知道>.<

因为这台机器比较旧，所以我把卡巴的大部分文件监控给关掉了，现在“微点”就面临了严峻的考验！

1、打开第一个app1.fon，这个恶意程序好像是把自己伪装成一个字库吧？微点报已知木马下载机，提示删除……这一点和卡巴的扫描结果是一致的。

2、打开第二个WY3HX6JVHC_2036.EXE，微点报未知木马，并提示删除……我选择了删除，并且查看了微点中的程序生成日志，很不错，该可疑程序生成的三个文件都被微点删除了。

2008-07-24 13:14:05 D:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\OFFICE\SYSTEM\SCM.EXE H:\0000\WY3HX6JVHC_2036.EXE

2008-07-24 13:14:05 D:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\NST380.TMP\SYSTEM.DLL H:\0000\WY3HX6JVHC_2036.EXE

2008-07-24 13:13:54 D:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\OFFICE\SYSTEM\NTPTDB.SYS H:\0000\WY3HX6JVHC_2036.EXE

3、第三个，是yiqilailyrics_2001.exe，打开时微点报已知木马（因为机器慢，我运行了它两次才看到拦截提示）。提示删除，我选择了删除，再去程序生成日志里面记载的相应目录去看，结果发现剩下14个文件没有删。

从名字上推测，这个程序好像是什么“大家一起来音乐社区”的“推广”程序，很可能是一个流氓软件吧。

创建时间          文件名                                                创建者
2008-07-24 13:18:50 D:\PROGRAM FILES\YIQILAI\TOOLS\YIQILAILYRICS.EXE H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:50 D:\PROGRAM FILES\YIQILAI\FOOBAR\FOO_VIS_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:50 D:\PROGRAM FILES\YIQILAI\WINAMP\GEN_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:50 D:\PROGRAM FILES\YIQILAI\TEMP\YIQILAILYRICS.EXE          H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:28 D:\PROGRAM FILES\YIQILAI\TEMP\YQL_LYRICS_COMMON.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:28 D:\PROGRAM FILES\YIQILAI\TEMP\FOO_VIS_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:28 D:\PROGRAM FILES\YIQILAI\TEMP\GEN_YQLLYRICS.DLL    H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:28 D:\PROGRAM FILES\YIQILAI\WMP\YIQILAILYRICS.DLL          H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:02 D:\PROGRAM FILES\YIQILAI\TOOLS\YIQILAILYRICS.EXE H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:02 D:\PROGRAM FILES\YIQILAI\FOOBAR\FOO_VIS_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:01 D:\PROGRAM FILES\YIQILAI\WINAMP\GEN_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:18:01 D:\PROGRAM FILES\YIQILAI\TEMP\YIQILAILYRICS.EXE          H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:17:52 D:\PROGRAM FILES\YIQILAI\TEMP\YQL_LYRICS_COMMON.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:17:52 D:\PROGRAM FILES\YIQILAI\TEMP\FOO_VIS_YQLLYRICS.DLL H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:17:52 D:\PROGRAM FILES\YIQILAI\TEMP\GEN_YQLLYRICS.DLL          H:\0000\YIQILAILYRICS_2001.EXE
2008-07-24 13:17:51 D:\PROGRAM FILES\YIQILAI\WMP\YIQILAILYRICS.DLL    H:\0000\YIQILAILYRICS_2001.EXE

［说明：我亲戚家的这台电脑是莫名其妙的双系统，C盘装Win98，D盘装WinXP，微点好像不支持Win98吧？］

然后我再升级了一次卡巴斯基，同样扫描这个目录，它报了两次木马，又删掉了两个程序文件，可是其它文件它却没动。
******

一、大家从以上这个实例中能发现什么呢？我从中学到的就是，主动防御不如主动“预防”！

1、如果一开始就给IE打好补丁，那么那三个可疑文件一般就会被活动脚本拦截补丁给拦截了，也许就不会下载到本机硬盘了——就算下载了，也不见得会去执行它们。

2、用FireFox、Opera等非IE核心的浏览器也能在一定程度上起到同样的效果。

3、真正最彻底的办法是安装一个HIPS软件，再去加载一个技术论坛上的高手编辑好的自动拦截规则，这样即使IE6或FireFox执行了下载这些可执行文件的动作，HIPS也会替你拦截住，不让Explorer（Windows资源管理器）在硬盘上创建出这些文件！！！

4、反过来，一旦这些文件被下载了，那么微点多半不会报警——这就给用户的系统中留下了安全隐患……

假设某人的在微点过期的前一天曾经下载过这些东西，在微点过期后，他没有及时地续费，而且在第二天，他通过IE的“历史”功能重新浏览并不小心地运行了这些可疑文件，不就中招了？

即使，该用户幸运地在微点的有效期内“运行”了这些可疑文件，微点也报警了——可是微点的拦截、删除能力真的彻底吗？不会把一些细碎的小文件留在用户的硬盘上吗？不会把一些无效的冗余信息留在用户的注册表上吗？

长此以往，系统中的小文件越来越多，无效的注册表键值越来越多，这台电脑的执行效率肯定会不断下降的。

5、用卡巴斯基定期扫描系统的话，问题也是一样的，谁能保证卡巴斯基的病毒清除（多半是删除）功能就真的能删除彻底？它能把病毒创建的冗余注册表信息也清理干净吗？

二、可能有人会问，那用HIPS的时候，我的正常操作被拦截怎么办？

1、嗯，我也没有好办法，多去技术论坛看帖子吧。据说现在的新一代手动HIPS普遍具有学习模式，只要你把它的工作状态切换到学习模式，它就会自动放行你当前进行的一切操作，并为自动为这些操作创建出放行规则，下次你运行同样的软件时，它就不会自动拦截了。

2、但有个问题，当你在学习模式下使用HIPS时，必须停止使用“危险”的IE，否则木马也会跟着进来了。

3、而且每次运行完那个经常被拦截的，你确定很“安全”的软件之后，你还得把HIPS的工作模式恢复为“保护模式”（或者“普通”、“正常”之类的，不同的HIPS里的叫法也不同）。如果你忘了这么做，那你的电脑还是有可能被木马到入侵成功。

4、同样的道理，不能滥用“学习模式”，否则你的HIPS等于没装，你还是会被木马入侵。

5、所以我说，HIPS是算盘，微点是计算器，各有各的优点和缺点——更高的安全性是用更好的使用习惯换来的。

三、也许有人还会问，那么微点是不是没用了？

1、我可没这么说过！今天上午，卡巴斯基的恶意程序特征库已经正式突破了1,000,000（一百万）的大关！！！

2、不管你使用什么安全方案，哪怕是用“NTFS磁盘权限+组策略”，在安装需要高级管理员权限，才能安装的新软件时，你还是得把所有的
“关卡”放开，

此时，就是微点派上用场的时候了——即使它对未知新木马或流氓软件的反安装（或者叫数据回滚）能力不是很彻底，但至少它能载一定程度上破坏那些恶意程序的完整性，达到了“灭活”的目的，使它们无法在系统中正常运行

——这种对未知威胁所进行的末端防御，对于一般用户来说，就是一种“够用”措施了。

四、无题：

1、呵呵，我还是老想把电脑中的防御系统搞成星球大战式的多重复合防御系统啊，有兴趣而且电脑足够好的朋友，可以再去考虑安装虚拟机、影子系统什么的。

2、唉，要是杀毒软件公司能出钱买用户捕捉到的新恶意程序的样本该多好？这样我们的劳动也能为自己的生活创一点儿小收了……

3、顺便一提，在所有的试验都搞完以后，我又用360安全卫士扫描了一遍今天搞试验的这台电脑，发现里面还有一个名为sysloader的木马，“重启”后才清除，三天前的扫描中还没有的。

这台机器里的微点是“家庭版”（正版！）的，卡巴是“绿色可升级版”的（但是为了避免拖慢系统速度，卡巴主动防御、启发式分析、邮件和网页防护，以及大部分的文件防护我都给关了）……

4、主动防御，恐怕真的是不如主动“预防”。

[ Last edited by Alpha_Boy on 2008-7-24 at 16:31 ]

※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-24 15:35

Alpha_Boy
中级用户

积分 235
发帖 225
注册 2008-5-17

#2

本文中所提到的文件已经全部上报。

※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-24 15:47

Alpha_Boy
中级用户

积分 235
发帖 225
注册 2008-5-17

#3

一个小补充：关于微点对那个流氓软件的卸载是否不彻底……嗯，我也不敢肯定了，当时，为了把木马样本备份到U盘，

在文件拷贝的过程中，微点就发出警告了，不过我选择的是放行（或者忽略）之类的选项……

后来我在U盘上执行该文件并且引起微点报警时，我选择的是阻止、删除。

所以，系统盘中的那些残留文件，倒底是微点对木马的卸载不彻底，还是我在文件拷贝时选择了放行，我也搞不清了。

※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-7-24 16:29

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

我们收到会会具体分析测试，感谢楼主对微点的支持。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-7-24 16:44

潇洒飘逸哦
高级用户

积分 514
发帖 540
注册 2007-12-14
来自河北

#5

看帖回帖好习惯支持楼主支持原创

※ ※ ※ 本文纯属【潇洒飘逸哦】个人意见，与【微点交流论坛】立场无关※ ※ ※

黄梅时节蒙蒙雨，
青青池塘处处蛙。
有约不来过夜半，
闲敲棋子落灯花。
日月如合璧,五星如连珠.

2008-7-24 18:06

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号