微点交流论坛 - 主动防御 - 主动防御刻不容缓！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 主动防御刻不容缓！

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 主动防御刻不容缓！

=================================================================================

燃眉之急，重在防御！

昨天看到的是一个机器狗，不过已经失去原有的容貌，但是危害变本加厉了。机器狗——可以算得上下载者在历史上的一个新的突破点，第一代机器狗虽然在杀伤力比不上陆陆续续演变而来的变种，但是思路却给安全软件以及还原系统留下了难以磨灭的阴影——突破还原，永久下载

空间商审查力度不够

之所以说空间商审查力度不够，归根结底还要说到目前的挂马连接很多，对网页脚本这些没有什么研究，说躲了会惹人笑话，不过还知道连接就需要资源，而资源无非就是来自于虚拟主机或服务器，用服务器来主动传播病毒的还是少数，不能够说没有，我想多部分还是来自于虚拟主机，而这些空间商对其管理服务器的审查力度直接影响了计算机病毒、木马的传播速率，尤其是速度比较快的免费空间，更是被人恶意利用的首选，所以空间商应该加强对所管理服务器的审查，保障病毒木马不会因此大规模传播以及自身的名誉。

网游的数量层出不穷

网游——给我的感觉无非是一种虚拟社会中的消遣物，至少我对这种消遣物不感兴趣，也没有玩过里面的一种，不过对于职业玩家可能性质就另类了，它可能是一种精神财富、可能是一种职业。记得一年前刚接触反病毒时候，木马下载器最多也就是一次性下载十几种盗号木马，零零碎碎的加上一些广告病毒之类的，而近期在我本本上面跑过的三个木马下载器，每个都可以下载木马三十左右，而且其中二十七八都是针对网游的盗号木马，这些能够证明什么？我想是虚拟财产过渡到实际财产的过程结果给予了木马种植者无限的诱惑力。

安全软件其实很脆弱

安全——这一概念体现的无非是在攻击中的最终结果，与防御的力度成正比、与攻击的力度成反比、与攻击的数量成反比、与用户自身意识成反比，可见比例严重失调。

防御在安全中体现着不可磨灭的作用，防御体系得当、密不透风才可以使得病毒、木马久攻不下。古人云：“知己知彼百战不殆”，所以时刻留意最新病毒、木马的行为是一个主动防御体系的基础，更是考验主动防御这一概念的真实凭证。

说完了正比说反比，何为攻击力度？

答：站在病毒安全角度，攻击力度就是恶意代码的能力问题，恶意代码的攻击目标越是给人匪夷所思，那么给安全软件的冲击力、重创力越是大。稍举示例：

· 幸亏没有被流行起来的MBR_Rootkit

这是能够修改主引导记录实现自身Rootkit代码加载的病毒，记得某一安全厂商介绍过，也亲自体验过强大的RK功能。主引导记录至少是现流行操作系统中一块神秘的区域，了解内部结构的人并不是很多，当然我也不了解，但是此病毒却通过换算DPT结构得出硬盘没有被划分的7.8M保留空间，些Rootkit驱动进去，然后修改MBR开机由主引导记录将Rootkit驱动读入内存，由系统内核初始化后加载,加载优先级如此之高，试问杀毒软件如何在非纯DOS下清除？如果防御不得当用户是否面临这重新分区格式化的危险？顺便给一个手清思路，使用光盘或软盘将系统引导至纯DOS下，使用Fdisk /mbr命令或第三方工具重建主引导记录，清除1~62扇多余代码，切换至硬盘未划分区域将非0字节改为0，清除可成功（PS：第三方工具可以使用diskgen、Pr、DM等，如果硬盘为DM分区则不用考虑此病毒的危害，光盘或硬盘引导的Windows PE对此病毒不一定具有效果，因为MBR油bios初始化，除热插拔硬盘外加载顺序永远是第一。）所以有效的保护主引导区才可以避免病毒拿到计算机启动的最大权限。

·所向披靡的机器狗

机器狗——关注计算机病毒的朋友都不会陌生，比较具有针对性，那就是网吧的操作系统。网吧操作系统为便与管理，经常会使用一些硬盘数据还原程序来保护系统遭到病毒攻击或严重错误不会瘫痪。那么机器狗的出发点又是什么？用“穿透还原寄生自身”八个字来形容，他通过某些方式跨越还原系统的磁盘过滤驱动将自身寄生到硬盘的某一角落，使得杀毒软件在能够对此病毒查杀后重启依然被还原系统还原，这这里可以体现到计算机病毒的突破性和寄生性，但是却没有体现到危害性，这也是机器狗病毒开发者的高明之处，毕竟装有还原系统的非无盘网吧客户机还是占多数的，这些机器中能够全部安装杀软并即时更新的并不多，所以机器狗的目的就是自身突破间接等于下载突破，而且多数机器狗下载的木马还在一定时间断内进行更新。所以能够有效地拦截机器狗便可以控制住网吧多数网游被盗号的严峻局面。

·脆弱不堪的系统文件

似乎替换或感染系统文件是最近的热门话题，两者之间有一共同处就是可以做到病毒不会有启动项，而且跨越突破一些对进程映像没有校验的防火墙规则，感染方式大概就是代码直接写入、文件删除再拷贝、写入恶意动态库加载代码等等，比如常见的beep、msg、explorer、sens等文件。方便而简单的保护系统文件不被恶意修改才可以剔除系统安全的最大隐患。

·明刀明枪的对攻

如果将计算机病毒安全看做一条分界线，那么再线的两旁就形成了一个杀场，在这个沙场中自身的保护能力占据着首要的地位，无论是安软还是病毒，RK还是保护。但操作系统客观原因以及安软再兼容性上面的问题，显而易见病毒已经再次方面占据了上风，因为病毒是不会考虑兼容性问题的，一段恶意代码最多就是让被种植的计算机系统蓝屏或者系统直接损坏，这对病毒所作的事情影响不是很大，但安软就不同了。最早出攻击安全软件的就是结束进程、删除启动项、删除文件、IFEO等，而现在病毒日益趋向内核化，又涌现出来使用驱动禁止安软进程启动、使用驱动安装APC使安软主线程推出、恢复SSDT中原生函数入口地址使得安软失效，更有甚者直接调用安软卸载程序直接将安软以隐藏方式卸载，由此可见安软此处的问题最为严重，试想一下安软自身都难保又拿什么去保护用户的利益不受侵害？所以只有自我保护的力度无限加强才可以保证用户遭受病毒木马的骚扰降至最低。

“攻击数量”以及“用户意识”不做解释，上文已经暗含，如此来看，加强防御刻不容缓！无论是从大脑出发还是从计算机系统出发，最终的愿望都是一个——远离病毒，还我一片宁静的网络！

BY:unknown author

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-4-25 09:31

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#2

老病毒并未真正死去一个14年未见的引导扇区病毒
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

还原系统严重bug被病毒恶意利用，造成杀软杀毒后重启病毒依然存在
http://bbs.micropoint.com.cn/sho ... 9%B6%C8%BF%D5%BC%E4

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-4-25 09:59

小小刀
高级用户

我要换头像！

积分 889
发帖 884
注册 2007-6-6

#3

矛与盾的较量，主防未来杀软的趋势！

※ ※ ※ 本文纯属【小小刀】个人意见，与【微点交流论坛】立场无关※ ※ ※

我什么时候才能自定义头像。。。。。。

2008-4-25 10:42

hello
注册用户

积分 154
发帖 154
注册 2008-2-4
来自中国

#4

没错

※ ※ ※ 本文纯属【hello】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-25 17:49

zhaojh117
注册用户

积分 55
发帖 55
注册 2007-6-2

#5

我们需要什么样的主动防御呢？

※ ※ ※ 本文纯属【zhaojh117】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-25 20:28

killkav
新手上路

积分 5
发帖 5
注册 2008-4-28

#6

发现个问题

怎么点饭的百度空间这个人狂发帖子啊都是宣传微点的难道是..?

※ ※ ※ 本文纯属【killkav】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-4-28 23:37

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#7 AD

http://hi.baidu.com/micropoint
微点新闻微点使用技巧微点主动防御技术探讨微点最新版本资讯

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-4-29 16:26

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号