|
|
|
最近在班上经常见到很多人在到处窜宿舍问,有没有系统碟啊?!又不时的听到谁谁谁的QQ给偷了,谁谁谁在谁的机子上QQ给逼下线,又谁谁
谁的U盘有病毒。。。笛哥今天还语重心长得跟我说,怎么最近机子老出问题啊!我还有听到更离谱的是,怎么我有卡巴都中毒啊!
对于现在黑客平民化,工具普及化的互联网时代(我个人一直认为不会编程的就不算黑客),到处都是危机四伏。今天我就抽了时间,普及一
下最基本的安全意识,为我们班的同学宣传一下计算机安全的重要性。大家认为必要的就copy下来看,不屑一顾的也就算了,写的不好就指正
,骂不骂我也无所谓。
我想今天就从防御角度和中毒后处理2方面说。
先说防御方面的。
刚上大三发现大家的安全好像有了点提高,从以前的裸奔啊装国产杀软到现在都装上了那些网上宣传的世界前十排名的杀软,尤其卡巴更是各
位的首选,无论机子好不好,装上去再说。然后听人家说病毒库要天天升级,好,那我们也来天天升级。自此之后就感觉机子那叫一个牢固啊
!肯定认为所有病毒木马都不可能过卡巴的!因为人家是世界第一杀软啊!有了卡巴,防火墙都不用了!反正什么病毒进来就给杀死的!我说
这样的意识跟刚过电脑扫盲的没有什么区别。因为电脑扫盲的时候就经常说现在电脑病毒很厉害,杀软要天天升级的。但是我告诉大家,卡巴
杀不出来的病毒木马多的是!而且是多到大家不可想像的地步!灰鸽子大家知道吧?!是不是认为灰鸽子都出了那么久,卡巴都可以杀的到?
这样想就是错的!《黑客防线》提倡着“在攻与防的对立统一中寻求突破”,这就很好解释了病毒木马跟杀软的关系。单单灰鸽子的各种加壳
免杀就上千成万种,私人珍藏的,公开的,卡巴能杀出多少种?就我自己来说,几个星期前做的灰鸽子免杀,到现在世界前十的杀软卡巴啊
NOD32啊等等很彪悍的杀软都还没有杀出来!这说明什么问题?我就是想说杀毒软件不是万能的,它不能杀所有的病毒,也不能确保你系统的安
全,更不能代替防火墙的功能(PS:很多人混淆杀软和防火墙。其实我们一般说的防火墙单指网络防火墙,而杀软就是才是病毒防火墙加杀毒
软件)!
那么现在我们说说杀软的选用问题。卡巴是世界第一,这是真话,现阶段真的没有哪个杀软综合能力超过它的。但是占用资源也是首屈一指的
,机子比较落后的用起来不是很舒服。而且卡巴的防御能力也不算最强,尤其对国内各种变种病毒加壳木马反应还不够快。现在每个做免杀的
人都会先把过卡巴做首要木马。所以就出现了很多其它杀软能杀而卡巴不能杀的局面。但是还是机子好的人首选。反观国产杀软对国内的各种
变种病毒加壳木马就反应的比较快,但是就是综合能力跟世界杀软不是一个级别。。。有爱国情结的可以考虑一下江民。瑞星我就怕怕了,内
存杀毒,还没有杀我机子就卡死了。而金山的话。。。说句心里话,是最垃圾的杀软。。。我入侵的那么多机子,发现装金山的机子我都不费
吹灰之力搞定。。。而且这些肉鸡长期不会飞。我现在在用NOD32,感觉这个杀软就是更新速度慢了点,但是占资源非常少!各种防御杀毒都比
较出色(当然比不上卡巴),机子差的人不妨考虑它。如果玩网络游戏或者QQ很珍贵的同学不妨装上ewido专杀木马(不杀病毒的哦)的软件,
感觉它还是非常的强大的。
说完杀软,我们来说说防火墙。一个事物存在就有人家的合理性。一些自以为是的都非常不屑装防火墙,任何装了没用!其实防火墙就是你家
里的那些窗,你没有防火墙就好像你家里有一个一个框(这些框就相当我们说的端口)却没有窗户给人家偷窥你的家里面。想搞破坏的人就可
以找个隐蔽一点的窗口爬进来搞乱你家而你却不知道!这就是没有防火墙的后果!
我这里就引用国内顶尖黑客和病毒专家xyzreg(此人现在是某重点大学的信息安全专业大三的学生)。
他认为,所有的软件防火墙都很弱。如果不信的话您可以说出你认为非常强的防火墙,然后我再反驳,说出突破他的方法。关键还是使用者的
安全意识和水平,否则再好的安全软件也无济于事。软件防火墙好像没一个令我满意的,都比较弱,考虑不全。国内的防火墙更是令人心寒~
无论是DLL注入还是不引入DLL的纯代码注入,还是TDI Cilent,都能把国内的防火墙搞定。NDIS hook 更不要说了。
上面是他写的文章的其中一段,我们可以知道软件防火墙的脆弱,那么如果连防火墙都没有。。。你可以想想你的机子几乎是裸奔在互联网的
花花世界。。。说不定你一上网就会中毒中木马而你的杀软却没有报警!
软件防火墙在高手那里是脆弱的,但是对我们普通网民来说,挑一个好的防火墙还是必须的。国产的说不上好,天网是勉强及格,有爱国情结
的可以考虑,毕竟它是国内早期黑客转型后写的。但是天网还停留在5年前的个人防火墙的概念上,当然不能对付现在各种各样新的安全威胁了
。从技术层面上讲,天网不是一个能适应当前安全需求的好个人防火墙。瑞星的我在用过一段时间,感觉真的不行。随便一个网马它都防不住
。。。更不用说中了反弹型木马后的对内防御了。有人说瑞星有很多规则包好强的啊!那么我就引用xyazreg的一段话:
入侵的形式是多种多样的,比如也许在你浏览网页的时就中马了,这时有体现防火墙内对外强度的时候,防内对外结合HIPS技术的防火墙就能
比你瑞星+规则包更好的防护。 另外,你别说什么网页木马你添加了特征码,打了补丁,0day呢?IE未公开漏洞很多,只是普通人见不到,因
为这个也很少对一般用户使用。 不是所有的漏洞利用程序你都有的,所以基于特征码的规则包是滞后的。而且你特征码过滤,某种程度上类似
于NIDS,不过由于瑞星防火墙自身原因,你规则包很难做到一定广度。比如拿通过签名检测缓冲区溢出攻击而言,现在的NIDS检测大多都是假
设溢出是一次性进行的,很少考虑分量累积攻击触发溢出的情况。而且瑞星没提供HIPS的接口,你只是过滤某些网络数据包而以。 还有你那规
则包里有防DLL注入的,你去找些DLL注入的程序,看几个加了你规则包的瑞星会报。 特征码类的规则包就类似于传统基于病毒特征码的杀毒软
件,所以显而易见,你基于特征码检测的规则包是不完善的。IDS的缺点也是业界认同的,需要IPS辅助。而瑞星根本没融入HIPS的模块,哪怕
是为了防注入HOOK SSDT都没。举个例子,现在这儿有个小猫,你说你给他打扮穿衣以及吃营养品,就能把他变成狼狗,可能么?瑞星本身架构
在这边,瑞星本身也承认某方面不足的。你还把规则包说个无敌似的。
国外的防火墙还是可以的,比如ZoneAlarm Pro 6.5,诺顿防火墙,费尔,卡巴防火墙等等。
这时候大家会说装了杀软和防火墙,现在的机子够强悍了吧?不行!还不够。其实windows一出生就有很多很多的漏洞,已知的,未知的,一大
堆。我们装好系统最好去下载些最新的补丁包集合,如XP sp2 到9月19补丁包(不要在BT或者电驴下,因为很多包都给人家加过木马的,推荐
去霏凡下载,那里是没有病毒木马的),为系统打上补丁,这样的话才算标准的个人电脑了。
说完防御,我们来说说中毒了怎么办。
一般中毒就是升级最新的杀软杀可以了。但是最近很多人都中了蠕虫病毒,U盘可以传播。我建议先把U盘重要的文件备份,然后对U盘进行格式
化。在windows里面格式,格式前看好你的U盘是那种文件系统,比如是FAT的那么格式化时就选FAT,不要搞错哦!之后把中毒的本地硬盘最好
能格的都格了,这样比较干净。
QQ在上着的时候无故下线,那么就不要立刻上Q,而是去QQ网站在它提示的“安全模式”下改密码。之后升级最新杀软杀!!!杀不出也没关系
(因为人家都是做了免杀的),有密码保护就行。
到了最后也没什么好说的了,反正大家最好要忍住网上的诱惑,小心点击各类网页和图片(现在网页和图片木马泛滥啊。。。hanmeimei随便发
个网页就偷了那么上千个Q,几百个QB了),天天升级杀软和定期查看防火墙的升级,做到万无一失,呵呵。
written by BoXer
2006.9.19
(物理学院04级电子1班 无间道信息小组 想讨论技术的加群24560157 想偷Q和黑网站勿搅)
[ 本帖最后由 scship 于 2006-9-19 21:44 编辑 ] |
评分
-
1
查看全部评分
-
|
IP卡
狗仔卡
发表于 2006-9-19 20:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2006-9-20 00:30
