認識使用 Rootkit 技術的木馬

自從大陸的"廣外幽靈"開創了dll木馬時代的先河以來,現在採用執行程序注射的dll木馬和惡意程式已經隨處可見了,除了普遍被採用的另行編寫 dll載入器程式躲在啟動項目裡運行載入dll主體之外,著名"求職信"病毒還帶來了一種比較少見的通過註冊表"hkey_local_machine\ software\microsoft\windows nt\currentversion\windows\appinit_dlls"項目載入自身dll的啟動方法,而相對於以上幾種早期方法,現在更有一 種直接利用系統服務啟動自身的木馬程式,這才是真正的難纏!



系統"服務"是windows系統的一大核心部分,在NT/2000/2003/XP架構系統中,服務是指執行指定系統功能的程式、例行程序,以便支援其他程式,尤其是底層核心(接近硬體)程式。




而通過網路提供服務時,服務可以在Active Directory(AD)中發佈,從而促進了以服務為中心的管理和使用。


服務是一種應用程式類型,它在後端運行。服務應用程式通常可以在本地和通過網路的用戶端提供一些功能,例如:客戶端/伺服器架構下的應用程式、web伺服器、資料庫伺服器以及其它基於伺服器的應用程式。




" 服務"自身也是一種程式,由於使用的領域和作用不同,服務程式也有兩種形式:exe和dll,採用dll 形式的服務是因為 dll 能實現hook,這是一些服務必需的資料交換行為,而NT架構系統採用一個被稱為"svchost.exe"的程式來執行dll 的載入過程,所有服務dll都統一由這個程式根據特定分組載入記憶體,然而,如今越來越多病毒作者看上了這個系統自動運作的載入程序,因為它永遠也不能被 防毒軟體查殺。


病毒作者將木馬主體寫成一個符合微軟開發文件規範的服務性質稱為:dll 的模組文件,然 後通過一段安裝程式,將木馬dll放入系統目錄,並在服務管理器(SCM)裡註冊自身為通過"svchost.exe"載入的服務 dll 元件之一,為了提高隱蔽性,病毒作者甚至直接替換系統裡某些不太重要而預設開啟的服務載入代碼,如:distributed link tracking client,其預設的啟動語法是"svchost -k netsvcs",如果有個病毒替換了啟動語法為自己建立的 分組"netsvsc",即"svchost -k netsvsc",在這種旁門左道加社會工程學的攻勢下,即使是具備一般解毒經驗的使用者也難以在第一時間內察覺到問題出自服務的啟動項目,於是病毒得以 成功逃離各種防毒軟體的查殺。


目前被發現使用此方法的木馬已經出現,其中一個Process名為"ad1.exe"的廣告程式就是典型例 子,它通過替換"distributed link tracking client"服務的 svchost 啟動項目來躲過一般的手工查殺,同時它自身還是個病毒下載器,一旦系統感染了這個惡意程式,各種木馬都有可能光臨你的機器。


要清理dll木馬,可以借助於第三方管理工具[ process explorer ],利用它的"find handle or dll"功能,能迅速搜索到某個dll依附的Process資訊並終結,讓dll失去載體後就能成功刪除,而dll木馬的文件名為了避免和系統 dll 發生衝突,一般不會起得太專業,甚至有 safaf.dll 、est.dll 這樣的命名出現,或者在某些系統下根本不會出現的文件名,如 kernel.dll、rundll32.dll 等。除了使用[ process explorer ]搜尋並終止進程以外,還可以用 icesword 強行卸載某個Process裡的dll 模組來達到效果。


對 於服務性質的dll,我們仍然使用[ process explorer ]進行查殺,由於它的層次結構,用戶可以很直覺的看到Process的啟動連結,如果一台機器感染了殺不掉的頑固木馬,有經驗的使用者做的第一件事情就是 禁止掉不相關或者不重要的程式和服務在開機時運行,然後使用[ process explorer ]觀察各個進程的情況,通過svchost.exe 啟動的 dll木馬 雖然狡猾,但是它釋放出exe運行時,一切都暴露了:一個svchost.exe 服務進程執行了一個 ad1.exe,還有比這更明顯的嗎?


svchost 的分組資訊位於註冊表的"hkey_local_machine\software\microsoft\windows nt\currentversion\svchost"項目,這是svchost載入dll 時的分組依據,如果用戶發現了一個奇怪的分組資訊,那就要提高警覺了。


隱藏技術發展的顛峰:Rootkit 木馬


隨 著安全技術的發展和電腦用戶群的技術提高,一般的木馬後門越來越難生存,於是一部分有能力的後門作者把眼光投向了系統底層:ring 0。位於ring 0層的是系統核心模組和各種驅動程式模組,所以位於這一層的木馬也是以驅動的形式生存的,而不是一般的exe。後門作者把後門寫成符合wdm規範 (windows driver model)的驅動程式模組,把自身添加進註冊表的驅動程式載入入口,便實現了「無啟動項」運行。一般的Process查看器都只能列舉可執行文件exe 的資訊,所以通過驅動模組和執行文件結合的後門程式便得以生存下來,由於它運行在ring 0級別,擁有與系統核心同等級的許可權,因此它可以更輕易的把自己隱藏起來,無論是進程資訊還是文件體,甚至通訊的端口和流量也能被隱藏起來,在如此強大 的隱藏技術面前,無論是任務管理器還是系統配置實用程式,甚至系統自帶的註冊表工具都失去了效果,這種木馬,就是讓人問之色變的Rootkit。


要 瞭解 Rootkit 木馬的原理,就必須從系統原理說起,我們知道,作業系統是由內核(kernel)和外殼(shell)兩部分組成的,內核負責一切實際的工作,包括cpu 任務調度、記憶體分配管理、設備管理、文件操作等,外殼是基於內核提供的交互功能而存在的介面,它負責指令傳遞和解釋。由於內核和外殼負責的任務不同,它 們的處理環境也不同,因此處理器提供了多個不同的處理環境,把它們稱為運行級別(ring),ring讓程式指令能訪問的電腦資源依次逐級遞減,目的在於 保護電腦遭受意外損害--內核運行於ring 0級別,擁有最完全最底層的管理功能,而到了外殼部分,它只能擁有ring 3級別,這個級別能操作的功能極少,幾乎所有指令都需要傳遞給內核來決定能否執行,一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定範圍的記憶體讀 寫),內核便返回一個「非法越權」標誌,發送這個指令的程式就有可能被終止運行,這就是大部分常見的「非法操作」的由來,這樣做的目的是為了保護電腦免遭 破壞,如果外殼和內核的運行級別一樣,用戶一個不經意的點擊都有可能破壞整個系統。


由於 ring 的存在,除了由系統內核載入的程式以外,由外殼調用執行的一般程式都只能運行在ring 3級別,也就是說,它們的操作指令全部依賴於內核授權的功能,一般的進程查看工具和殺毒軟體也不例外,由於這層機制的存在,我們能看到的進程其實是內核 「看到」並通過相關介面指令(還記得api嗎?)反饋到應用程式的,這樣就不可避免的存在一條數據通道,雖然在一般情況下它是難以被篡改的,但是不能避免 意外的發生,Rootkit正是「製造」這種意外的程式。簡單的說,Rootkit實質是一種「越權執行」的應用程式,它設法讓自己達到和內核一樣的運行 級別,甚至進入內核空間,這樣它就擁有了和內核一樣的訪問許可權,因而可以對內核指令進行修改,最常見的是修改內核枚舉進程的api,讓它們返回的數據始 終「遺漏」Rootkit自身進程的資訊,一般的進程工具自然就「看」不到Rootkit了。更高級的Rootkit還篡改更多api,這樣,用戶就看不 到進程(進程api被攔截),看不到文件(文件讀寫api被攔截),看不到被打開的端口(網路組件sock api被攔截),更攔截不到相關的網路數據包(網路組件ndis api被攔截)了,我們使用的系統是在內核功能支援下運作的,如果內核變得不可信任了,依賴它運行的程式還能信任嗎?


但即使是Rootkit這一類恐怖的寄生蟲,它們也並非所向無敵的,要知道,既然Rootkit是利用內核和ring 0配合的欺騙,那麼我們同樣也能使用可以「越權」的檢查程式,繞過api提供的數據,直接從內核領域裡讀取Process列表,因為所有Process在這裡都不可能把自己隱藏,除非它已經不想運行了。也就是說,內核始終擁有最真實的進程列表和主宰權,只要能讀取這個原始的進程列表,再和進程api枚舉的進程列表對比,便能發現Rootkit進程,由於這類工具也「越權」了,因而對Rootkit進行查殺也就不再是難事,而Rootkit進程一旦被清除,它隱藏自身的措施也就不復存在,內核就能把它「供」出來了,用戶會突然發現那個一直「找不到」的Rootkit程式文件已經老實的呆在文件管理器的視圖裡了。這類工具現在已經很多,例如icesword、patchfinder、gdb等。


道高一尺,魔高一丈,因為目前的主流 Rootkit 檢測工具已經能檢測出許多Rootkit木馬的存在,因此一部分Rootkit作者轉而研究 Rootkit 檢測工具的運行檢測演算法機制,從而製作出新一代更難被檢測到的木馬:futo Rootkit。


優秀檢測工具icesword在futo面前敗下陣來,因為futo編寫者研究的檢測工具原型就是一款與之類似的black & light,所以我們只能換用另一款Rootkit檢測工具darkspy,並開啟「強力模式」,方可正常查殺Rootkit。


但 是由於檢測機制的變化,darkspy要檢測到futo的存在,就必須保證自己的驅動比futo提前載入運行,這就涉及到優先級的問題,也是讓業界感覺不 太滿意的一種方式,因為這樣做的後果會導致系統運行效率下降,不到緊急關頭,都不要輕易採用這種方法,然而現在的瑞星卡卡助手所推廣的「破甲」技術,實現 原理是與之類似的,它也會對系統造成一定影響,因而,這個介於安全和效率之間的選擇,唯有留給用戶自己思考了。


註:一旦木馬利用了Rootkit 技術,就變得十分難以辨認清除。


轉自網路攻防戰




識別及移除惡意程式




查找及移除的免費工具列表


1.檔案完整性檢查:MD5 , Tripwire


2.Process監控:ProcessExplorer , Process Quick Access,KillBox


3.Registry監控:Regmon


4.開機監控:Autoruns , Autostart Viewer


5.File監控:Filemon , FileDate Changer


6.Port監控:TCPView , TDIMon , Fport


7.Network監控:Ethereal , myNetMon , MRTG , NetTools


8.Rootkit偵測:Icesword , RootkitRevealer, F-Secure BlackLight


9.Windows Live CD:WinPE , BartPE


10.多合一檢測工具:Hijackthis , InstallRite


如何識別惡意程式的流程.JPG


如何清除惡意程式的流程.JPG


識別及移除惡意程式其原則與注意事項


1.如果防毒軟體有更新過新的病毒碼就先使用新的病毒碼再掃過一遍


2.關閉WinME,WinXP的系統還原功能


3.在「安全模式」可以刪除病毒及綁架程式,但無法刪除在Boot Mode(出現Logo時)就載入啟動的惡意程式


4.儘量不要馬上刪容易引起當機的系統程式(例如:winlogon.exe,svchost.exe,explorer.exe,lsass.exe, services.exe)萬一真的被注入DLL Injection請使用Live CD(WinPE)光碟開機後再去刪DLL檔案


5.所謂的清除成功是指「開機後沒再出現」其要Disable惡意程式的行為使其不能運作,而不是一定要刪除中毒的所有檔案。 (太花時間)


參考資料:


惡意程式論壇 http://www.malware-test.com/


愛克索夫實驗室 http://x-solve.com/blog


惡意程式最常修改的地方


http://malware-test.com/smf/index.php?topic=1117.0


工具:


1.http://www.microsoft.com/technet/sysinternals/default.mspx


2.http://www.sysinternals.com/SecurityUtilities.html


3.http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm





4.http://www.spywareinfo.com/~merijn/programs.php





轉自網路攻防戰




病毒加殼技術與脫殼殺毒方法





註:以下文章非本人撰寫為中國大陸網路轉載文章,但因找不到原著作人只能於這特此感謝,如能聯絡上會再加以標註原出處,如著作人覺得不妥請來信告知。


殼是什麼?脫殼又是什麼?這是很多經常感到迷惑和經常提出的問題,其實這個問題一點也不幼稚。當你想聽說脫殼這個名詞並試著去瞭解的時候,說明你已經在各個安全站點很有了一段日子了。下面,我們進入「殼」的世界吧。



一、金蟬脫殼的故事

我 先想講個故事吧。那就是金蟬脫殼。金蟬脫殼屬於三十六計中的混戰計。金蟬脫殼的本意是:寒蟬在蛻變時,本體脫離皮殼而走,只留下蟬蛻還掛在枝頭。此計用於 軍事,是指通過偽裝擺脫敵人,撤退或轉移,以實現我方的戰略目標的謀略。穩住對方,撤退或轉移,決不是驚慌失措,消極逃跑,而是保留形式,抽走內容,穩 住對方,使自己脫離險境達到己方戰略目標,己方常常可用巧妙分兵轉移的機會出擊另一部分敵人。三國時期,諸葛亮六出祁山,北伐中原,但一直未能成功,終於 在第六次北伐時,積勞成疾,在五丈原病死於軍中。 維遵照諸葛亮的吩咐,在諸葛亮死後,秘不發喪,對外嚴密封鎖消息。他帶著靈柩,秘密率部撤退。司馬懿派部隊跟蹤追擊蜀軍。姜維命工匠仿諸葛亮摸樣,雕了一 個木人,羽扇綸巾,穩坐車中。並派楊儀率領部分人馬大張旗鼓,向魏軍發動進攻。魏軍遠望蜀軍,軍容整齊,旗鼓大張,又見諸葛亮穩坐車中,指揮若定,不知蜀 軍又耍什麼花招,不敢輕舉妄動。司馬懿一向知道諸葛亮「詭計多端」,又懷疑此次退兵乃是誘敵之計,於是命令部隊後撤,觀察蜀軍動向。姜維趁司馬懿退兵的大 好時機,馬上指揮主力部隊,迅速安全轉移,撤回漢中。等司馬懿得知諸葛亮已死,再進兵追擊,為時已晚。相信這個故事,大家在大型連續劇《三國演義》裡已經 看過了。呵呵,只是沒有理解得這麼深入罷了!而在駭客入侵技術中,金蟬脫殼則是指:刪除系統運行日誌攻擊者攻破系統後,常刪除系統運行日誌,隱藏自己的痕 跡...呵呵。



二、殼,脫殼,加殼

在自然界中,我想大家對 殼這東西應該都不會陌生了,由上述故事,我們也可見一斑。自然界中植物用它來保護種子,動物用它來保護身體等等。同樣,在一些計算機軟件裡也有一段專門負 責保護軟件不被非法修改或反編譯的程式。它們一般都是先於程式運行,拿到控制權,然後完成它們保護軟件的任務。就像動植物的殼一般 都是在身體外面一樣理所當然(但後來也出現了所謂的「殼中帶籽」的殼)。由於這段程式和自然界的殼在功能上有很多相同的地方,基於命名的規則,大家就把這 樣的程式稱為「殼」了。就像計算機病毒和自然界的病毒一樣,其實都是命名上的方法罷了。 從功能上抽像,軟件的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發,殼是一段執行於原始程式前的代碼。原始程式的代碼在加 殼的過程中可能被壓縮、加密……。當加殼後的檔執行時,殼-這段代碼先於原始程式運行,他把壓縮、加密後的代碼還原成原始程式代碼,然後再把執行權交還給 原始代碼。 軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類,目的都是為了隱藏程式真正的OEP(入口點,防止被破解)。關於「殼」以及相關軟件的發展歷史請參閱吳朝相先生的《一切從「殼」開始》。

(一)殼的概念

作 者編好軟件後,編譯成exe可執行文件。 1.有一些版權資訊需要保護起來,不想讓別人隨便改動,如作者的姓名,即為了保護軟件不被破解,通常都是採用加殼來進行保護。 2.需要把程式搞的小一點,從而方便使用。於是,需要用到一些軟件,它們能將exe可執行文件壓縮, 3.在駭客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實現上述功能,這些軟件稱為加殼軟件。

(二)加殼軟件最常見的加殼軟件

ASPACK ,UPX,PEcompact 不常用的加殼軟件WWPACK32;PE-PACK ;PETITE NEOLITE

(三)偵測殼和軟件所用編寫語言的軟件

因為脫殼之前要查他的殼的類型。


1.偵測殼的軟件fileinfo.exe 簡稱fi.exe(偵測殼的能力極強)。


2.偵測殼和軟件所用編寫語言的軟件language.exe(兩個功能合為一體,很棒),推薦language2000中文版(專門檢測加殼類型)。


3.軟件常用編寫語言Delphi,VisualBasic(VB)---最難破,VisualC(VC)。

(四)脫殼軟件

軟 件加殼是作者寫完軟件後,為了保護自己的代碼或維護軟件產權等利益所常用到的手段。目前有很多加殼工具,當然有盾,自然就有矛,只要我們收集全常用脫殼工 具,那就不怕他加殼了。軟件脫殼有手動脫和自動脫殼之分,下麵我們先介紹自動脫殼,因為手動脫殼需要運用彙編語言,要跟蹤斷點等,不適合初學者,但我們 在後邊將稍作介紹。


加殼一般屬於軟件加密,現在越來越多的軟件經過壓縮處理,給漢化帶來許多不便,軟件漢化愛好者也不得不學習掌握這種技能。現在 脫殼一般分手動和自動兩種,手動就是用TRW2000、TR、SOFTICE等調試工具對付,對脫殼者有一定水準要求,涉及到很多彙編語言和軟件調試方面 的知識。而自動就是用專門的 脫殼工具來脫,最常用某種壓縮軟件都有他人寫的反壓縮工具對應,有些壓縮工具自身能解壓,如UPX;有些不提供這功能,如:ASPACK,就需要 UNASPACK對付,好處是簡單,缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付,最流行的是PROCDUMP v1.62 ,可對付目前各種壓縮軟件的壓縮檔。在這裡介紹的是一些通用的方法和工具,希望對大家有幫助。我們知道檔的加密方式,就可以使用不同的工具、不同的方法進 行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施,供大家參考: 脫殼的基本原則就是單步跟蹤,只能往前,不能往後。脫殼的一般流程是:查殼->尋找OEP->Dump->修復 找OEP的一般思路如下: 先看殼是加密殼還是壓縮殼,壓縮殼相對來說容易些,一般是沒有異常,找到對應的popad後就能到入口,跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密,下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼,脫殼處理的方法都不相同。



常用脫殼工具:


1、文件分析工具(偵測殼的類型):Fi,GetTyp,peid,pe-scan。


2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid 。


3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE。


4、PE文件編輯工具PEditor,ProcDump32,LordPE。


5、重建Import Table工具:ImportREC,ReVirgin。


6、ASProtect脫殼專用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只對ASPr V1.1有效),loader,peid 。


(1)Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脫殼就行了。


(2)ASProtect+aspack:次之,國外的軟件多用它加殼,脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識,但最新版現在暫時沒有辦法。


(3)Upx: 可以用UPX本身來脫殼,但要注意版本是否一致,用-D 參數。


(4)Armadill: 可以用SOFTICE+ICEDUMP脫殼,比較煩。


(5)Dbpe: 國內比較好的加密軟件,新版本暫時不能脫,但可以破解。


(6)NeoLite: 可以用自己來脫殼。


(7)Pcguard: 可以用SOFTICE+ICEDUMP+FROGICE來脫殼。


(8)Pecompat: 用SOFTICE配合PEDUMP32來脫殼,但不要專業知識。


(9)Petite: 有一部分的老版本可以用PEDUMP32直接脫殼,新版本脫殼時需要用到SOFTICE+ICEDUMP,需要一定的專業知識。


(10)WWpack32: 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼,不過有時候資源無法修改,也就無法漢化,所以最好還是用SOFTICE配合 PEDUMP32脫殼。



我 們通常都會使用Procdump32這個通用脫殼軟件,它是一個強大的脫殼軟件,他可以解開絕大部分的加密外殼,還有腳本功能可以使用腳本輕鬆解開特定外 殼的加密文件。另外很多時候我們要用到exe可執行文件編輯軟件ultraedit。我們可以下載它的漢化註冊版本,它的註冊機可從網上搜到。 ultraedit打開一個中文軟件,若加殼,許多漢字不能被認出 ultraedit打開一個中文軟件,若未加殼或已經脫殼,許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉,以後它的用處還很多,請熟練掌握例如,可用它的替換功能替換作者的姓名為你的姓名注意字節必須相等,兩個漢字替 兩個,三個替三個,不足處在ultraedit編輯器左邊用00補。


常見的殼脫法:


(一) aspack殼 脫殼可用unaspack或caspr 1.unaspack ,使用方法類似lanuage,傻瓜式軟件,運行後選取待脫殼的軟件即可. 缺點:只能脫aspack早些時候版本的殼,不能脫高版本的殼 2.caspr第一種:待脫殼的軟件(如aa.exe)和caspr.exe位於同一目錄下,執行windows起始菜單的運行,鍵入 caspr aa.exe脫殼後的文件為aa.ex_,刪掉原來的aa.exe,將aa.ex_改名為aa.exe即可。使用方法類似fi 優點:可以脫aspack任何版本的殼,脫殼能力極強缺點:Dos介面。第二種:將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是 aspack殼,用unaspack脫殼出錯,說明是aspack高版本的殼,用caspr脫即可。


(二)upx殼 脫殼可用upx待脫殼的軟件(如aa.exe)和upx.exe位於同一目錄下,執行windows起始菜單的運行,鍵入upx -d aa.exe。


(三)PEcompact殼 脫殼用unpecompact 使用方法類似lanuage傻瓜式軟件,運行後選取待脫殼的軟件即可。


(四)procdump 萬能脫殼但不精,一般不要用 使用方法:運行後,先指定殼的名稱,再選定欲脫殼軟件,確定即可脫殼後的檔大於原文件由於脫殼軟件很成熟,手動脫殼一般用不到。


三、壓縮與脫殼

現 在脫殼一般分手動和自動兩種,手動就是用TRW2000、TR、SOFTICE等調試工具對付,對脫殼者有一定水準要求。而自動就稍好些,用專門的脫殼 工具來脫,最常用某種壓縮軟件都有他人寫的反壓縮工具對應,有些壓縮工具自身能解壓,如UPX;有些不提供這功能,如:ASPACK,就需要 UNASPACK對付。很多檔使用了一些壓縮加殼軟件加密過,這就需要對檔進行解壓脫殼處理後,才能漢化。這種壓縮與我們平時接觸的壓縮工具如 winzip,winrar等壓縮不同,winzip和winrar等壓縮後的檔不能直接執行,而這種 EXE 壓縮軟件,EXE檔壓縮後,仍可以運行。這種壓縮工具把檔壓縮後,會在檔開頭一部分,加了一段解壓代碼。執行時該文件時,該代碼先執行解壓還原文件,不過 這些都是在內存中完成的,由於微機速度快,我們基本感覺不出有什麼不同。這樣的程式很多,如 The bat,Acdsee,Winxfile等等。


要脫殼就應先瞭解常用壓縮工具有哪些,這樣知己知彼,如今越來越多的軟件商喜歡用壓縮方式發行自己的產品,如The bat!用UPX壓縮,ACDSEE3.0用ASPACK壓縮等。


它有以下因素:

一是: 微 機性能越來越好,執行過程中解壓使人感覺不出來,用戶能接受(給軟件加殼,類似WINZIP 的效果,只不過這個加殼壓縮之後的檔,可以獨立運行,解壓過程完全隱蔽,都在內存中完成。解壓原理,是加殼工具在檔頭裡加了一段指令,告訴CPU,怎 麼才能解壓自己。現在的CPU都很快,所以這個解壓過程你看不出什麼異常。因為軟件一下子就打開了,只有你機器配置非常差,才會感覺到不加殼和加殼後的軟 件運行速度的差別。)。 

二是: 壓縮後軟件體積縮小,便於網絡傳輸。

三是: 增 加破解的難度。首先,加殼軟件不同於一般的winzip,winrar等壓縮軟件.它是壓縮exe可執行檔的,壓縮後的檔可以直接運行.而 winzip,winrar等壓縮軟件可壓縮任何檔,但壓縮後不能直接運行。很多站點不允許上傳可執行檔,而只能上傳壓縮的檔,一方面處於速度考慮,也是 為了安全性考慮。用加殼軟件壓縮的檔就是體積縮小,別的性質沒改變。還是EXE文件,仍可執行,只是運行過程和以前不一樣了。壓縮工具把檔壓縮後,在檔開 頭一部分,加了一段解壓代碼。執行時該文件時,該代碼先執行解壓還原文件,不過這些都是在內存中完成的,由於微機速度快,我們基本感覺不出 有什麼不同。



四﹑加殼與木馬

木 馬危害無窮,但是隨著人們對各種木馬知識的瞭解,殺毒和專殺工具的特殊照顧,使得很多木馬無藏身之地,但很多高手到處賣馬,號稱不會被查殺。它們究竟是如 何躲在我們的系統中的呢? 其實無非對木馬進行「加/脫殼」。對於駭客來說,加/脫殼技術被淋漓盡致地應用到了偽裝木馬客戶端上,目的是為了防止被殺毒軟件反跟蹤查殺和被跟蹤調試, 同時也防止演算法程式被別人靜態分析。最基本的隱藏:不可見窗體+隱藏文件。木馬程式


採用「進程隱藏」技術: 第一代進程隱藏技術:Windows 98的後門 。第二代進程隱藏技術:進程插入,以及其後的Hook技術之外就是跟殺毒軟件對著幹:反殺毒軟件外殼技術了。木馬再狡猾,可是一旦被殺毒軟件定義了特徵 碼,在運行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當於給木馬穿了件衣服,這樣殺毒軟件就認不出來了,但有部分殺毒軟件會嘗試對常用 殼進行脫殼,然後再查殺(小樣,別以為穿 上件馬夾我就不認識你了)。除了被動的隱藏外,最近還發現了能夠主動和殺毒軟件對著幹的殼,木馬在加了這種殼之後,一旦運行,則外殼先得到程式控制權,由 其通過各種手段對系統中安裝的殺毒軟件進行破壞,最後在確認安全(殺毒軟件的保護已被瓦解)後由殼釋放包裹在自己「體內」的木馬體並執行之。對付這種木馬 的方法是使用具有脫殼能力的殺毒軟件對系統進行保護。殼能夠將檔(比如EXE)包住,然後在檔被運行時,首先由殼獲得控制權,然後釋放並運行包裹著的 文件體。很多殼能對自己包住的檔體進行加密,這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特徵是「12345」,如果發現某檔中含 有這個特徵,就認為該檔是木馬,而帶有加密功能的殼則會對檔體進行加密(如:原先的特徵是「12345」,加密後變成了「54321」,這樣殺毒軟件 當然不能靠檔特徵進行檢查了)。脫殼指的就是將檔外邊的殼去除,恢覆文件沒有加殼前的狀態。


雖然很多殺毒軟件的文件監控都會使程式首次運行時速度 很慢。這是因為:殺毒軟件對壓縮加殼的exe文件監控掃瞄時,都要先「脫殼」。一般壓縮加殼程式,可加密壓縮可執行檔的代碼、數據、輸入表、重定位表、資 源段。通常壓縮後的檔大小隻有原來的50%-70%,但不影響程式的正常使用和所有功能,目的是保護檔不被跟蹤分析,反彙編,脫殼等。所以有時候使用某軟 件給木馬脫殼會失敗,但可換個軟件試下。脫殼後重新加殼或者使用不同加殼的軟件給木馬加多層 殼,均有可能欺騙殺毒軟件,但在經過複雜的多重加殼後,檢測出的結果就不一定準確了,此時就需要「adv.scan」高級掃瞄, pe-scan會分析出被各種加殼工具加殼的可能性。



五﹑加殼與病毒

病 毒要想生存,除了增加自身的變形能力以外,還可與程式加殼壓縮聯繫起來。我們先來看看病毒變形的目的,因為現在的反病毒軟件,基於特徵碼檢測,增加變形能 力,使得特徵碼檢測方法更加困難。那麼,如果再和程式加殼技術結合起來,那麼將使的單單通過添加特徵碼方法解毒徹底失效,解毒時,必須同時更新掃瞄引 擎,而現在並沒有通用的解殼方法。因此加殼壓縮和變形結合起來,將使得反病毒廠商手忙腳亂,也使得反病毒軟件用戶痛苦不堪,頻繁的更新,除了特徵碼,還有 掃瞄引擎。給平常的病毒加個殼,比如用upx,現在通常反病毒軟件,對於常用的加密加殼壓縮程式,都有相應的解殼程式。效果並不好,所以如果病毒本是既是 一好的變形加密加殼壓縮程式,那麼,目的是強迫更新掃瞄引擎,當然也是可以被動態解壓檢測出來的,只是增加瞭解毒的很多工作量。實際上加殼技術不僅僅用於 軟件保護,也可用於好的病毒。好的病毒不一定要非常快的傳播速度,難於檢測,難於查殺更重要一些,就像現在殺毒界的虛擬機技術,也不過是個雛形,有很多的 功能並不能完全虛擬化,同時若加殼代碼本身可變形,同時有多種加殼演算法可供隨機選擇,那麼就很難找出其中的規律以及關係。總之,好的殺毒軟件至少應該具 有 的技術功能之一就是要具備壓縮還原技術:對Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等幾百種壓縮加殼軟件自動還 原,徹底解除隱藏較深的病毒,避免病毒死灰復燃。


參考引用連結:




安全基礎病毒加殼技術與脫殼殺毒方法


轉自網路攻防戰




Anti-Rootkits 工具整理包




這本書是瞭解 Rootkits 必讀的聖經:

Rootkits: Subverting the Windows Kernel

Rootkit 的定義:

A rootkit is a tool that is designed to hide itself and other processes、 data and/or activity on a system。

引用於此: The definition of a rootkit

維基百科上的解釋:

A rootkit is a set of software tools intended to conceal running processes, files or system data from the operating system。Rootkits have their origin in benign applications, but in recent years have been used increasingly by malware to help intruders maintain access to systems while avoiding detection。

引用於此:Rootkit

什麼是 Rootkit:

Rootkit 由來已久,它源自於UNIX電腦系統,原本是一組指令,是一種可以獲得電腦系統root存取權限的軟體工具組(kit),因此稱為rootkit(也可以 稱為root kit);root是UNIX系統權限最高的帳號,也就是系統管理者帳號的名稱(因此為了安全起見,管理者應該要會關閉root帳號,另外建立權限相當的 帳號)。

通常只有攻擊者者才會想要獲得電腦系統的root存取權限,因此rootkit還有另一個重要的特性,就是必須想盡一切辦法隱 匿攻擊者的所有行為,不能被發現已經被植入或正在執行rootkit;因為只要被發現,管理者當然就會想盡辦法要移除rootkit,攻擊者就無法遂行目 的。

rootkit沒有病毒或蠕蟲的傳染(也就是自我複製並傳播)特性,而是攻擊者伺機將rootkit程式偷偷的裝進目標系統並暗中 啟動rootkit程式,因此攻擊者會採用任何可以達成這種攻擊目的的手法,例如利用開啟的通訊埠等系統弱點,或者暴力破解密碼、甚至利用木馬程式將 rootkit程式挾帶進入系統。

rootkit都被歸類在惡意軟體(malicious software,malware)的範疇,原因之一,是攻擊者會合併使用rootkit和其他惡意軟體,例如結合後門程式,就可以在目標系統留下後門,以便後續還能控制目標系統,或者竊取目標系統裡的資料。

rootkit 程式會用盡所有的技術或技巧來隱藏自己和所挾帶的惡意軟體,讓使用者不知道也找不到電腦裡的rootkit程式,而這往往也使得rootkit很難被移 除,因此如果電腦被植入rootkit,大多建議清除並重新安裝系統,因為敵暗我明,很難確定是不是已經將所有的rootkit程式檔案都清除乾淨,而且 系統檔案也可能已經遭到rootkit修改。

雖然源自於UNIX系統,但是包括Windows在內的電腦系統也已漸漸出現數種 rootkit,因此現在的rootkit也不必然得是指令,只要能獲得、執行系統高權限使用者帳號,而且不被發現的軟體工具組,或沿用相同概念而撰寫的 程式,都稱為rootkit。尤其近期的rootkit,都特別著重在隱身的技巧,而已經有越來越多的間諜軟體、病毒、蠕蟲、後門等惡意軟體,也開始加入 rootkit的隱身功能。

Rootkit 最有名的案例:

Sony DRM Rootkit 的威脅與發現

唱 片業者Sony BMG的音樂光碟防拷功能竟然採用了rootkit技術;Windows系統專家Mark Russinovich在無意中發現自己購買的Sony BMG音樂光碟卻隱藏著rootkit,同時也發現Sony BMG所使用的這項技術也可能遭到其他惡意軟體利用。Sony BMG的作法在美國引發了相當的爭議,也因此讓更多人知道或注意到rootkit所可能帶來的資安威脅。

Sony又被抓到在產品中使用Rootkit程式

資安業者F-Secure在近日提出警告,指出Sony採用類似rootkit技術,其MicroVault USB隨身碟驅動程式會在Windows內建立隱藏檔案,可能被駭客用來藏匿惡意程式。F-Secure安全研究人員Mika Tolvanen在部落格中 指出,當使用者買了Sony的MicroVault USB隨身碟後,該隨身碟提供指紋辨識功能,並含在驅動程式中,一旦使用者安裝了該驅動程式,就會在視窗中建立一個隱藏目錄及檔案,假設駭客知道該檔名, 就能透過Command Prompt進入該目錄,並建立一個新的隱藏檔,而且可以執行其中的檔案。

Rootkits 列表:

Stealth Malware List

--------------------------------------------------------------------

Anti-Rootkits 工具整裡包:

針對 Linux 環境:

Rootkit Hunter

chkrootkit

針對 Windows 環境:

偵測用免費工具:

Windows Sysinternals RootkitRevealer

System Virginity Verifier (SVV)

Rootkit Unhooker

ThreatFire

GMER

防毒軟體廠商的免費工具:

TrendMicro Rootkit Buster

McAfee Rootkit Detective

Sophos Anti-Rootkit

Panda Anti-Rootkit

F-Secure BlackLight

中國大陸的免費工具:

冰刃 IceSword

DarkSpy Anti-Rootkit

其他族繁不及備載的工具:

Rootkit Detection & Removal Software

--------------------------------------------------------------------

相關網站:

Rootkit .com

Sony DRM Rootkit的威脅與發現

Windows rootkits of 2005, part one

Windows rootkits of 2005, part two

Windows rootkits of 2005, part three

The Benchmark of Anti-rootkit Software?

Re:The Benchmark of Anti-rootkit Software?

Sony 又有Rootkit問題?

Sony隨身碟軟體存在漏洞,讓電腦易遭駭客攻擊

Sony又被抓到在產品中使用Rootkit程式

免費[線上掃毒]的網址與可疑檔案上傳分析整理包




[線上掃毒]是作為與原有裝置在單機上的防毒軟體交叉比對之用,但並不是拿來取代單機上的防毒軟體。


線上掃毒的優點



  • 拿來與原有的防毒軟體做是否中毒的交叉比對。

  • 評估該防毒軟體掃毒的偵測率。


線上掃毒的缺點



  • 名為[ 線上 ]所以絕大多數必須要在網路有通的情況下才能使用。

  • 線上掃毒掃瞄時的效能相較於該軟體的單機版較差。

  • 所需要耗費的掃瞄時間相較於該軟體的單機版較久。

  • 線上掃毒必須依賴瀏覽器,如果該瀏覽器掛了,則掃毒的process也會隨著停止。


註1:使用線上掃毒時,如果原本的防毒軟體出現異常警告,應屬正常現象。如不放心那再換其它家線上掃毒使用。


註2:絕大多數線上掃毒會要求你安裝[ ActiveX 控制項 ]元件,安裝太多可能會造成[ IE 瀏覽器當機 ],所以請斟酌使用。


--------------------------------------------------------------------


可疑檔案上傳分析:


利用各家防毒軟毒軟體的掃瞄引擎,同時對單一一個檔案,作是否為病毒、木馬檔案的分析可協助檢測確認檔案本身是否異常。


VirusTotal 免費線上病毒和惡意軟體掃瞄


http://www.virustotal.com/zh-tw/


VirSCAN.org-線上防毒引擎掃瞄網站 v1.00 目前支援 36 款防毒引擎


http://www.virscan.org/


Online malware scan


http://virusscan.jotti.org/


--------------------------------------------------------------------


趨勢科技 HouseCall™ 線上掃毒


http://www.trendmicro.com/hc_intro/default.asp


http://www.trendsecure.com/portal/zh-TW/tools/security_tools/housecall


http://housecall.trendmicro.com/us/index.html


賽門鐵克 諾頓


http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ch&venid=sym


McAfee 邁克菲


http://tw.mcafee.com/root/mfs/default.asp?cid=16943


http://us.mcafee.com/root/catalog.asp?catid=free


卡巴斯基


http://kaspersky.kl.edu.tw/webscan/index.html


http://www.kaspersky.com/virusscanner


CA eTrust PestScan


http://www3.ca.com/securityadvisor/virusinfo/scan.aspx


CA eTrust Scan


http://www3.ca.com/securityadvisor/pestscan/


F-Secure


http://support.f-secure.com/enu/home/ols.shtml


Panda 熊貓


http://www.pandasoftware.com.tw/html/activescan.htm


TrojanScan


http://www.windowsecurity.com/trojanscan/


EarthLink Spyware Scan


http://www.earthlink.net/software/nmfree/spyscan/


金山毒霸


http://shadu.kingsoft.com/index1.htm?sid=0&uid=2801&adid=410


江民在線


http://online.jiangmin.com/index.asp


瑞星 免費查毒


http://online.rising.com.cn/free/index.htm


微軟 Windows Live OneCare 安全掃瞄


http://onecare.live.com/site/zh-tw/default.htm


Free online Trojan Scanner


http://www.windowsecurity.com/trojanscan/


BitDefender


http://www.bitdefender.com/scan8/ie.html


http://www.bitdefender.com/scan-online/index.html


a-squared Web Malware Scanner


http://www.emsisoft.com/en/software/ax/?scan=1


Webroot Software Spy Sweeper Free Scan


http://www.webroot.com/En_US/land-spysweeper-freescan.html


SpywareInfo Online Spyware Detection


http://www.spywareinfo.com/xscan.php




轉自網路攻防戰




免費[網站惡意程式]線上掃瞄與監控



免費服務網址:

阿碼科技 HackAlert 企業網站免費24小時監控!

服務說明:

HackAlert™ is a site monitoring service that identifies malicious code injection on web applications. It is a 100 percent non-intrusive solution that provides real-time application risk assessment and let's you know instantly about hijacking attempts.

HackAlert_01.jpg

該服務的網頁。

HackAlert_02.jpg

如果你沒有檢測用的帳號的話,首先你必須先註冊一個來使用。

註:E-mail 要確實填好,必須透過該mail 來作帳號啟用的確認,以及收到掃瞄報告。

HackAlert_03.jpg

使用檢測用的帳號登入後,請點選[ Add URL(s) ],來新增一個需要檢測的網址。

HackAlert_04.jpg

在這個地方輸入網址的URL,免費服務的帳號最多可以輸入二個檢測的網址URL。

註:該網址輸入時必須將[ http:// 或 https:// ]這個輸入在網址前面才接受。

HackAlert_05.jpg

確認後按[ Next ]。

HackAlert_06.jpg

輸入檢測的[ 日期、時間 ]。

註:如果你的網站很大很多網頁,請選個離峰時間比較不會影響網站的效能。

HackAlert_07.jpg

完成後就等時間到囉。

HackAlert_08.jpg

最後報告


轉自網路攻防戰



certcities.com 證照排行榜



#10: Linux Professional Institute Certification, Level 2 (LPIC 2)
Vendor: Linux Professional Institute
Reader Interest Score (out of 20): 10
Buzz Score (out of 10): 5
Total: 15

#9: Systems Security Certified Practitioner (SSCP)
Vendor: (ISC)2
Reader Interest Score (out of 20): 13
Buzz Score (out of 10): 4
Total: 17

#8: MCSE: Security
Vendor: Microsoft
Reader Interest Score (out of 20): 12
Buzz Score (out of 10): 6
Total: 18

#7 Cisco Certified Network Professional
Vendor: Cisco
Reader Interest Score (out of 20): 12
Buzz Score (out of 10): 7
Total: 19

#6: Cisco Certified Internetwork Expert
Vendor: Cisco
Reader Interest Score (out of 20): 11
Buzz Score (out of 10): 9
Total: 20

#4 (TIE): Cisco Certified Security Professional (CCSP), Project Management Professional (PMP)
Vendors: Cisco, Project Management Institute
Reader Interest Score (out of 20): 13, 14
Buzz Score (out of 10): 8, 7
Total: 21

#3: Microsoft Certified Architect
Vendor: Microsoft
Reader Interest Score (out of 20): 15
Buzz Score (out of 10): 7
Total: 22

#2: Microsoft Certified Technical Specialist: SQL & .NET
Vendor: Microsoft
Reader Interest Score (out of 20): 18
Buzz Score (out of 10): 5
Total: 23

#1: Red Hat Certified Engineer
Vendor: Red Hat
Reader Interest Score (out of 20): 17
Buzz Score (out of 10): 8
Total: 25

恭喜RHCE,怎麼沒有2007、2008的排行??

Top 15 薪情證照排行榜



1. PMI Project Management Professional (PMP)

With an average annual salary of $101,695, the PMP certification from the Project Management Institute (PMI) organization tops the list of highest paying certifications for the current year.

2. PMI Certified Associate in Project Management (CAPM)

Next highest on the list of highest paying certifications is PMI's Certified Associate in Project Management (CAPM). The average annual salary for CAPM holders that were surveyed is $101,103.

3. ITIL v2 - Foundations

With an annual average salary of $95,415 the ITIL v2 Foundations certification came up third on the list of highest paying certifications. ITIL stands for the IT Infrastructure Library. The ITIL certification is designed to show expertise in ITIL service support and service delivery.

4. Certified Information Systems Security Professional (CISSP)

Coming in at a close 4th on the list of highest paying certifications is the Certified Information Systems Security Professional or CISSP certification from (ISC)2. The average annual reported salary was $94,018.

5. Cisco CCIE Routing and Switching

At $93,500 per year average annual salary, the Cisco CCIE Routing and Switching certification came in 5th on the list of highest paying certifications in the technology industry.

6. Cisco CCVP - Certified Voice Professional

Number six on the list of the highest paying certifications is the Cisco CCVP or Cisco Certified Voice Professional. The average annual salary of CCVP respondents was $88,824.

7. ITIL v3 - ITIL Master

The ITIL v3 certification - the ITIL Master - came in 7th on the list of the highest paying technical certifications. The average annual salary for ITIL Master certification holders was $86,600.

8. MCSD - Microsoft Certified Solution Developer

The MCSD or Microsoft Certified Solution Developer certification pays an average of $84,522. This puts the MCSD certification at number 8 on the list of highest paying certifications in technology.

9. Cisco CCNP - Cisco Certified Network Professional

Cisco Certified Network professional or CCNP certification is number 9 on the list of highest paying technical certifications. The average annual salary reported by CCNP holders is $84,161.

10. Red Hat Certified Engineer

The Red Hat Certified Engineer (RGCE) came in at number 10 on the list of highest paying certifications. The average annual salary reported by Red Hat Certified Engineers is $83,692.

11. MCITP - Microsoft Certified IT Professional (Enterpeise)

The MCIPT certification (Enterprise), or Microsoft Certified IT Professional - Enterprise Support comes in at number 11 on the list of highest paying technical certifications. (The MCITP Database is number 14, see below). The average MCITP Enterprise salary reported was $82,941.

12. Cisco CCSP - Cisco Certified Security Professional

Coming in at number 12 on the list of the highest paying technical certifications is the Cisco CCSP or Cisco Certified Security Professional. The average annual salary reported by CCSP holders is $80,000.

13. MCAD - Microsoft Certified Applications Developer

With an average annual salary of $79,444, the MCAD certification, or Microsoft Certified Application Developer certification, is number 13 on the list of highest paying certifications in technology.

14. MCITP - Microsoft Certified IT Professional (Database)

The MCIPT certification (Database), or Microsoft Certified IT Professional - Database comes in at number 14 on the list of highest paying technical certifications. (The MCITP Enterprise Support is number 11, above). The average MCITP Database salary reported was $77,000.

15. MCDBA - Microsoft Certified Database Administrator

The Microsoft Certified Database Administrator, or MCDBA, comes in at number 15 on the list of highest paying technical certifications. The average annual salary reported by MCDBA respondents is $76,960.



行為偵測技術已成防毒軟體防護技術主流



概述

最近這幾年,已經很少看見大規模的惡意程式感染或傳播,取而代之的是目標式攻擊(Target Attack)的惡意程式,而且大部分是以賺取金錢為目的。那惡意程式的數量減少了嗎?其實並沒有,反而增加了非常多,多到令防毒軟體公司疲於更新惡意程 式特徵碼,但也無法有效地或即時地保護他們的客戶免於中毒。

各位會發現今年新版本的防毒軟體多了一個主要的功能 — 行為偵測防護。大約四、五年前,就有人提出這個構想,但防毒軟體公司認為這個技術太容易造成誤判和干擾使用者行為,但為什麼四、五年後,防毒軟體公司會將此技術加入防毒軟體中呢?因為傳統偵測方式已經無法有效處理大量的惡意程式樣本和未知惡意程式樣本

現今防毒軟體的困境

現今防毒軟體有下面幾個主要的難題,使得防毒軟體都無法有效地偵測到這些惡意程式:

  • 惡意檔案被一種或多種加殼程式(Packer Program)壓縮過
  • 惡意程式產生器所生成的檔案
  • 惡意程式使用隱匿技術 (Rootkit Technique)
  • 惡意程式使用DLL injection的技術
  • 目標式攻擊的惡意程式樣本收集不易
  • 無法有效清除已感染惡意程式的系統 (大部分的防毒軟體都無法有效清除惡意程式)
  • 編過碼的惡意Script (如JavaScript, VBScript等)
  • 傳統的偵測方式(特徵碼)已無法有效處理每日收集到的惡意程式樣本數量(亦即很多樣本都沒有時間建立特徵碼)

防毒軟體偵測率的迷思

大部分的人應該都認為防毒軟體的偵測率越高越好,所以,當選擇防毒軟體時,只看此項目,而忽視了其他項目(或其背後所隱藏的含意),其實,這是種迷思:

  • 所有防毒軟體測試機構所使用的測試樣本都是已知的惡意程式(除非有一種比較好的方法),其中包含許多N年前的老舊樣本或Zoo病毒。我們無法估計 到底有多少未知的惡意程式存在網際網路上,所以,這裡所說的偵測率只能當成一種參考(或是說防毒軟體公司提供惡意程式特徵碼的速度,也許有人會反對此說 法)。

  • 到底是被特徵碼偵測到的,還是被啟發式掃瞄的特徵碼偵測到的呢?這很重要,因為它所隱含的意義是高或低誤判率。如果是被啟發式掃瞄偵測到的,根據其設定值,會出現不同的誤判率(誤判率不可能為零)。
  • 防毒軟體測試機構技術能力不足,所以,只能提供此測試報告。只要能收集到大量的惡意程式樣本,任何人便可以進行此項測試。

惡意程式感染生命週期

傳統惡意程式偵測方式,往往必須收集到樣本,才能建立特徵碼,然後,經由病毒碼更新後,才能保護客戶系統或網路之安全,但從收集樣本至病毒碼更新期間是一段空窗期,亦即,你的系統或網路無法有效防禦此惡意程式的攻擊,所以,如何縮短此空窗期,也是一個很重要的課題。

什麼是行為偵測技術

簡單地說,就是監控系統任何活動,包含檔案/註冊碼/系統服務之新增/刪除/修改、執行程序之新增/終止等等。當惡意程式/正常應用程式執行時,使得系統產生變化,防毒軟體行為偵測防護就會根據其預設規則做相對應之處理動作(下圖是一個例子)。

行為偵測技術可以實作在系統使用者模式或核心模式,其中以系統核心模式的防護功效較佳,相對地,如果所撰寫的程式碼品質不佳,很容易造成系統死當或出現死亡的藍色畫面(BSOD),通常必須經過一段很長時間的測試驗證,才能穩定其程式碼品質。

大部分的防毒軟體行為偵測技術皆實作在系統核心模式(這也就是為什麼防毒軟體公司不敢隨便提供此技術給他們客戶的原因,因為必須確保其品質),但大部分的反間諜軟體皆實作在系統使用者模式(已經有些反間諜軟體變更至系統核心模式),這也就是為什麼防毒軟體的防護能力比反間諜軟體較佳的原因之一。

惡意程式攔截點及服務產業分佈情形

根據趨勢科技的統計(期間:7/31/2006~6/30/2007,地區:台灣,電腦數目:35萬台,病毒記錄:123,050,171 筆),大部分惡意程式攔截點發生在用戶端及伺服器端,佔了96%,此數字讓人覺得驚訝,難道,他們都沒有安裝閘道端的防毒軟體嗎?

行為偵測技術適合哪類的防毒軟體

基本上,行為偵測技術較適合加入用戶端的防毒軟體,因為行為偵測技術是根據惡意程式/正常應用程式執行時,對系統產生的變化做相對應之處理動


轉自大砲開講



ESET檢測工具SysInspector



ESET最近發佈一個免費系統檢測工具「SysInspector」, 此工具很像HijackThis、SIC、SREng等工具,收集系統資訊,然後,以顏色區分風險等級,讓使用者一眼就可以看出哪些地方有問題,經過小小 的測試,感想是誤判率很高,改善空間很大,不過,此工具應該是將收集的資訊提供給他們的工程師做辨識,而不是給一般使用者使用的工具。

此工具會檢視系統的執行程序、網路連線、重要註冊機碼、服務、驅動程式、重要檔案、系統資訊等地方。此工具執行後的畫面,如下所示:

如果各位想試用此工具,請在這裡(32位元)這裡(64位元)下載。

轉自大砲開講



FinalData



首先先下載FinalData V2.0中文企業版

安裝好,並執行中文化,啟動之後就如上圖。

若你的記憶卡因為糊塗的FORMAT或因相機、讀卡機問題而造成檔案損毀或者無法讀取,這時候就趕緊插上你的記憶卡讀卡機,執行FinalData 。

記得,若發生上述狀況,記憶卡請勿繼續使用拍攝,原有磁區一旦被新檔案覆蓋,那就『神仙難度無命客』。

使用很簡單,插好記憶卡,點選『開啟』。

 

選擇你記憶卡的位置,例如我的記憶卡是在『 i

 

這兒選項無須修改,直接用原始設定值即可。

 

若檔案很多,按滑鼠左鍵框選起來。然後按左上那個『磁碟』的按鍵。

 

看你要存在那個磁碟以及哪一個檔案夾。

軟體操作超簡單,稍微有概念的,大概30秒就能入手。

因為全中文操作,我就大概講一下你就會用,我也不囉唆。

請記得,這軟體先D下來存起來就對了,哪天真的要用你就有。

轉自486的窩

Helix 3-2008



"Download your copy today and save a windows machine tomorrow." --zushiba


Helix is a customized distribution of the Knoppix Live Linux CD. Helix is more than just a bootable live CD. You can still boot into a customized Linux environment that includes customized linux kernels, excellent hardware detection and many applications dedicated to Incident Response and Forensics.

Helix has been modified very carefully to NOT touch the host computer in any way and it is forensically sound. Helix wil not auto mount swap space, or auto mount any attached devices. Helix also has a special Windows autorun side for Incident Response and Forensics.

Helix focuses on Incident Response & Forensics tools. It is meant to be used by individuals who have a sound understanding of Incident Response and Forensic techniques. That said Helix is used by the following organizations for Incident Response/Forensics Training:







  • e-fense: Helix Incident Response & Computer Forensics
  • NW3C: Linux Forensics
  • SANS Track 508: System Forensics, Investigation and Response.
  • InfoSec Institute: Computer Forensics Training
  • SEARCH: Basic Investigators Training


    Helix is brought to you by:


  • downloads



  • 真糟糕好像開始賣錢了~

    Sysinternals Suite




    Sysinternals Suite



    Download Sysinternals Suite
    (8 MB)



    ZoomIt

    RegMon



    RegMon for Windows v7.04


    Download Regmon (271 KB)



    FileMon




    FileMon for Windows v7.04



    Download Filemon (280 KB)

    Process Monitor

    Portmon




    Portmon for Windows v3.02



    Download Portmon (142 KB)


    TCPView




    TCPView for Windows v2.53



    Download TcpView (94 KB)


    RootkitRevealer




    RootkitRevealer v1.71



    Download RootkitRevealer
    (231 KB)


    Process Explorer




    Process Explorer v11.13



    Download Process Explorer (1.6 MB)

    AutoRuns




    AutoRuns for Windows v9.13



    Download Autoruns and Autorunsc
    (490 KB)

    GMER




    GMER is an application that detects and removes rootkits .

    It scans for:

  • hidden processes
  • hidden threads
  • hidden modules
  • hidden services
  • hidden files
  • hidden Alternate Data Streams
  • hidden registry keys
  • drivers hooking SSDT
  • drivers hooking IDT
  • drivers hooking IRP calls
  • inline hooks

  • GMER also allows to monitor the following system functions:

  • processes creating
  • drivers loading
  • libraries loading
  • file functions
  • registry entries
  • TCP/IP connections
  • GMER runs on Windows NT/W2K/XP/VISTA

    You can download GMER here


    官網:http://www.gmer.net/index.php

    USB病毒解決方案




    前言


     如眾所周知,Web已成為現今資安威脅的最主要來源!然而根據趨勢科技公司之統計分析(【註1】、【註2】),2007年下半年前十大惡意程式入 侵管道中,Web佔了八名,另二名則是由USB奪下,可見此一管道的病毒與資安威脅也不容忽視。上(2)月下旬,國家資通安全會報技術服務中心也發出通報 並提供USB蠕蟲的威脅與防護建議。本文則彙整相關重點,提醒同仁日常使用此類設備時應格外注意。


    USB逐漸淪為病毒傳播的溫床


     USB隨身碟由於輕便、容量大、價格便宜等特性,早已取代磁片等其他媒體,成為最普遍的可攜式儲存裝置。但往往病毒即利用使用便利與系統預設參數 的弱點,成為病毒傳播與侵犯的溫床。已知目前有許多惡意程式會利用微軟Windows作業系統中所提供之「裝置自動執行(Autoruns)」功能進行散 播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲(USB Worm)」;關鍵在於多數使用者均慣於Windows環境中用「我的電腦」開啟USB隨身碟,或者不按Shift鍵開啟隨身碟檔案,允許電腦自動執行隨 身碟上的檔案。


     「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案,當使用者插入該磁碟裝置,並從桌面「我的電腦」點選進入該磁碟代號時,在預設情況下,作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式,進而使惡意程式感染電腦。


     關閉作業系統裝置自動執行功能可以降低此威脅的風險;而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法,並無法徹底根絕此威脅的發生。


      


     微軟Windows作業系統關閉裝置自動執行(Autorun)功能設定的原理在於針對


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Exploerer\MountPoint2機碼之Everyone的權限進行限制,在此之下,USB裝置仍可正常使用,但不會再執行autorun.inf檔中的設定。


     以下說明的設定方式只針對目前登入的使用者,若同部電腦下以不同的使用帳號登入,則必須以相同之步驟進行設定(本方法設定後無須重開機,即刻生 效)。


     以下所提供的三種方法適用於Windows XP以及Windows Vista:


    方法一(利用工具手動修改):


     此方法適合應用於大量自動化部署,可應用於網域登錄程序檔(Logon Script),於使用者登入網域時自動進行設定。


    步驟:


    1.下載 Windows Resource Kit Tools -SubInACL.exe工具,下載subinacl.msi 檔案。


    2.自動安裝完成後,於「開始/執行」中執行cmd,進入命令列模式。


    3.進入SubInACL工具路徑(預設安裝路徑為C:\Program Files\Windows ResourceKits\Tools)。


    4.執行以下指令,如【圖1】所示:


    SubInACL /subkeyreg


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2


    /deny=everyone=f
    (使用者可以直接以複製以上指令,再按滑鼠右鍵選擇貼上即可)





    圖1


    5.按下Enter鍵執行,待執行結束,權限修改完畢,如【圖2】。





    圖2


    6.修改完成,點選進入光碟或USB隨身碟,將不會執行autorun.inf檔。


    還原設定:


    若要回覆設定,請輸入(或複製/貼上)以下指令:


    SubInACL /subkeyreg


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2


    /grant=everyone=f


    方法二(手動設定修改):


    步驟:


    1. 於「開始/執行」中執行regedit,進入登錄編輯程式。


    2. 找到機碼名稱:


    HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2


    3. 點選該機碼,按右鍵選擇「使用權限」,如【圖3】。





    圖3


    4.新增使用者Everyone。點選「新增」鍵後在「輸入物件名稱來選取」欄內輸入「Everyone」即可,如【圖4】。





    圖4


    5.設定使用者 Everyone 的完全控制權限為「拒絕」,選取「套用/確定」後離開,如【圖5】。





    圖5


    還原設定:


     若要回覆設定,請依照步驟1至3,再移除Everyone使用者,按「套用/確定」離開後即可。


     關閉裝置自動執行功能可能造成的影響:



    1. 依據上述方法設定後,將關閉所有裝置的autorun.inf的執行功能,因此包含CD-ROM/DVD-ROM在內的裝置也將無法執行光碟片置入後自動執行的功能。

    2. 已知目前部份具特殊功能之USB隨身碟(如指紋辨識、加密等),使用autorun.inf功能來自動執行必要的應用程式,如經過上述設定後,此類隨身碟將失去自動執行的能力,必須由使用者自行點入隨身碟中執行。


    方法三(電腦管理服務設定法):


     以下的圖樣取自Windows Vista作業系統,Windows XP使用者在排版上會和插圖不同,但名詞的使用是一致的。


    步驟:


    1.點選「開始」,在「我的電腦」上按右鍵,選擇「管理」,如【圖6】(Vista的使用者會出現一個確認的畫面,請點選「繼續」)。





    圖6


    2.在「電腦管理」的視窗裡點選「服務及應用程式」下的「服務」,如【圖7】。





    圖7


    3.找出「Shell Hardware Detection」,點選後會出現另一個小視窗;在「啟動類型」裡選擇「停用」,如【圖8】(在Windows XP裡選擇「已停用」)。





    圖8


    4.按下「確認」鍵。


    還原設定:


     重複步驟1至3,在「啟動類型」裡選擇「自動」,按下「確認」鍵即可。


    結語


     由於使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時,不僅可能感染其他電腦,甚至可能造成個人資料外洩;在受感染的電腦上使用USB儲存裝置也可能使正 常的USB儲存裝置成為帶原體,進而成為散播惡意程式的幫兇。雖然此類病毒傳播速度不若Web或網路芳鄰等管道快速,但卻可能穿破企業資安防線的利器。


     虛擬世界的病毒危害,正如同自然世界一般,不僅千奇百怪、無所不在,更是演化快速、無孔不入;而個人的疏忽,往往也將造成組織資訊安全的嚴重危害,不可不慎!因此,正確的使用習慣、正確的系統設定、以及瞭解自身常用裝置之可能弱點,是維護個人電腦使用安全性的重要原則。


    參考資料


    【註1】:趨勢科技公佈台灣企業2007下半年度資安威脅報告


    【註2】:趨勢科技發佈「2007年資安威脅報告暨2008預測




    轉自中央研究院



    硬碟修護指南(下)



    硬碟的問題在於:它沒辦法任意地「長大」,生病了也不會喊痛,所以我們得時刻關懷它、維護它。有時候,我們會希望,「它要是會說話,該有多好!」

    硬碟的搶救,最困難、最麻煩的狀況就是,檔案被誤刪了;或是某些人對硬碟做了所謂的「磁碟分割」,將硬碟不該砍掉的分割區卻砍掉;又或者是,硬碟因為不可挽回的硬體錯誤,導致分割描述表損毀;還有就是,有些人做所謂的「系統還原動作」,卻還原錯地方了,或是意外還原了,才發現原本應該保留的空間卻被還原,結果把硬碟重要的資料蓋掉。種種情況,不一而足。

    總之,如果你硬碟的硬體問題排除、檔案系統問題排除,那最後的防線就是「檔案搶救軟體」,這類軟體的英文名稱通常被稱為「File Recovery Tools」。

    檔案搶救軟體簡介

    關於資料搶救軟體,我聽過的還不少,在此做個簡單介紹:

    ●「Lost & Found」是一套有名的軟體,不過這軟體是在DOS下操作,且不支援中文檔名,因此不太建議使用。

    Windows環境底下,早期較有名的一套檔案救援軟體稱為「FinalData」,這套軟體支援中文檔名,是許多專業人士曾經最愛的檔案救援工具首選。不過,隨著年華老去,這軟體目前的能見度較低。

    ● 目前我個人比較喜歡使用的軟體,稱為「R-Studio(原廠中文網址:www.r-studio.com/zhhk)。這套軟體可以復原各種檔案系統的問題,不只支援NTFSFAT/FAT32,也支援一些PC上常見OS的檔案系統。

    ● 最近,本人以前的同事(現任「某公司」MIS專員)則推薦另外一套軟體:Active@ File Recovery(原廠網址: www.file-recovery.net),他認為這套軟體雖然掃描速度較慢(掃描?請看後面的文章介紹,這裡的掃描是檔案復原的步驟之一,不是一般的磁碟掃描),但掃描的結果更好、更細緻,所以救回檔案的機率更高,不過我並未用過這套軟體,僅提出供各位參考,說不定讀者之中有人會有興趣試試看。

    檔案搶救步驟簡介

    每一套檔案復原軟體的操作步驟的細節並非完全相同,但根據我自己用過這類軟體的經驗,基本操作步驟是如下所述,請各位參考:

    1. 從「物理層」或「邏輯層」開啟硬碟內容

    復原軟體大多具備「繞過」Windows的管轄,直接從「物理層」存取硬碟內容的能力(我用過的Final DataR-Studio都可以)。倒不是說它們可以避開硬體的損壞,而是說,在硬碟的硬體確定無損的情況下,即使Windows無法辨認硬碟的檔案系統了,檔案總管看不見檔案列表了,它們也還是可以從「物理層面」去復原磁碟上面的檔案。

    2. 對硬碟內容做「地毯式掃描

    開啟硬碟之後,我個人使用R-StudioFinalData也很類似)的方式是:將這個硬碟做完整的「地毯式掃描」。這掃描的目的是要重建檔案結構,找到誤刪或是損壞的檔案內容。注意,這種掃描非常非常耗時,因此也一樣,你能做的事情就是等待(我就不再建議你可以做些什麼事情殺時間了)。但是,有些軟體(像是R-Studio)可以支援的檔案系統格式很多很多(EXT2/3HFS……),但如果你只掃描Windows XPNTFS,那就建議你只選NTFS的掃描即可,會快得多。此外,要記住,掃描不是越快越好,要能夠救回重要資料才是好。

    3. 儲存掃描結果

    掃描完成後,這類軟體會建立一個列表,姑且稱之為「復原檔案列表」好了,這分列表你可以存檔,作為復原的依據。

    4. 從掃描結果中將遺失的檔案復

    接著,你可以從這分列表中找尋你要復原的檔案,選擇後就可以繼續進行。請注意,這找到的檔案復原列表,可能相當混亂,因為它說不定把你八百年前刪掉的垃圾信都復原了。畢竟,軟體並沒法判斷它該復原的檔案哪個才是有價值的。

    5. 將你要復原的檔案,存到另外的硬碟空間

    只要你有足夠的空間,你可以把復原的檔案都存到這硬碟上,再來慢慢篩選要保存的檔案。

    好的,你現在知道,為何「新聞人物」的照片會被找回來了,因為他可能是找到了「不知道是對的人還是錯的人」去修理他的硬碟,而且這人對上面的五個步驟一定知之甚詳。老實說,這些步驟看起來不難,但每套軟體的操作細節倒是各有不同,而且很多情形得「看情況做適當處置」,沒法三言兩語就簡單交代。因此,有志於此的使用者,可以找一套「試用版」軟體自己試試看,再決定要不要自己救援檔案。

    儲存系統的維護之道

    在磁碟系統中,檔案系統的設計一直存在著「兩難」。如果你設計一個「很安全,檔案不容易出問題」的檔案系統,那它的「效能就很容易受到重大的影響」。反之,如果檔案系統的設計著重於性能、反應時間的提昇,大量使用所謂的「快取延遲寫入」,那檔案的安全性也會大受影響。

    因此,說完「檔案如何復原」之後,我僅提供一些儲存系統的維護看法與建議,希望對各位在磁碟系統的維護和資料儲存的管理上,能有些許的幫助:

    ● 定期用SpinRite保養有點年紀的硬碟

    SpinRiteLevel 4保養稍有年紀的硬碟機,可以強化資料存在硬碟上的「類比磁場強度」。我個人認為,有保養有差,莫待硬碟壞軌時,再來空餘恨。不過要注意的是:如果硬碟已經瀕臨損壞,用Level 4反而可能會造成硬碟機件的崩潰,而導致資料全毀。

    ● 硬碟有點年紀了就該定期備份資料,甚至定期替換

    硬碟的資料備份既然是老生常談,我想不如請你定期替換老舊硬碟還比較好。不過這種作法的困難在於,如果硬碟數量很多,根本就不會有人真的這樣做,除非你有完善的產品維護監控系統吧!

    ● 平常就使用S.M.A.R.T.軟體監控硬碟狀況

    S.M.A.R.T. 技術問世多年,目前已經有很多的軟體可以常駐在Windows系統下,隨時監控硬碟的狀況,像是硬碟溫度、硬碟健康度、錯誤率等等。如果硬碟溫度過高,或是健康度不佳,這類軟體會適時提出警告。有些軟體還會支援筆記型電腦的硬碟防護功能,讓你的資料防護更加周延。舉例來說,Hard Drive Inspector Professional就是一套這樣的軟體(www.altrixsoft.com),HDDlivehddlife.com)則是另一套頗知名的類似軟體。同樣的,這類軟體也大多也有試用版可以下載。

    ● 考慮使用簡單的RAID系統備份資料,即使你只是「電腦個體戶」而已

    目前多數的主機板都支援RAID系統,常見的規格有RAID 0RAID 1RAID 0+1RAID 5RAID 6等等。RAID 0可以加大整體儲存容量,等於是串聯硬碟空間,但出事時損失也相當恐怖(壞掉一臺硬碟就整個系統毀掉)。RAID 1就是所謂的「Disk Mirror」,只是把一臺硬碟的內容原原本本地複製到另一臺,有點像是「全額保險」。不過,如果你是一個「電腦個體戶」,我建議重要的資料可以使用 RAID 1來防護,主要是因為現在硬碟的價格已經很低了吧!而且,請注意「重要資料」四個字。

    RAID 5RAID 6固然可以較不浪費空間(RAID 5只會損失 1/n臺的硬碟空間,RAID 6會損失2/n),但效能較差,且個人使用這種RAID系統,陣仗也稍大了點(如果你不用個45顆硬碟來組合,那使用RAID 5RAID 6的意義何在?)。但如果你的資料量超大,我也是見過有人家裡就擺兩、三個RAID 5系統的。

    ● 公司行號不僅要用RAID這種即時的資料備援系統,更要考慮定點備份系統

    對公司行號而言,我的看法是:除了RAID系統,磁帶機、資料備援中心的定期備援,都是必要的。因為:即時的備份系統,會連系統的錯誤也立刻備份,無法回復,這是很恐怖的。

    這是何意?由於RAID系統會無時無刻備份你的資料,因此,如果儲存系統出現嚴重的問題,像是「作業系統中毒」或是「資料庫嚴重損毀」,RAID系統也會立刻把「錯誤狀況」也備份,這時你也許會想要「時光回溯」,那你就得靠「定點備份系統」了。

    定點備份系統我不是專家,但是iThome的採購特輯你一定看過,磁帶機系統、光碟櫃系統,甚至是資料備援中心,這都是有必要的。雖然定點備份很無聊,因為你很辛苦的備份,但系統若一直都很正常,備份好像也無用武之地。但別說公司小就不會有意外,意外都是「一次」就可能要你的命。

    此外,RAID系統也不是100%就保險,要是你用RAID 5,系統一次壞二臺硬碟機,資料怎辦?全毀!這時你就會後悔,沒有使用定點備份系統囉!

    ● 用上期教的「作業系統內建的磁碟檢查方法」,定期磁碟檢查,避免檔案系統的崩潰

    一般人不知道,開機久了,檔案系統總是潛藏著危險,因為檔案存取過程偶然產生的「鍊結錯誤」,將會影響電腦運行的穩定性。再次強調,一般人總覺得「電腦看來沒問題啊?」不,「電腦用久了,檔案系統總有些潛藏的問題」,我恨不得把這句話植入每個電腦使用者的大腦裡!

    好,如果你大腦已經植入這句話了,還建議各位定期使用上期所教的,作業系統內建的磁碟檢查功能,檢查檔案系統的正確性,這樣才可以避免「有一天硬碟就開不了機了」的窘況。

    ● 定期重組硬碟

    硬碟重組的英文名字很多,可稱為「Disk Optimization」、「Disk Defragment」……,總之,它可以盡可能讓檔案連續存放,減少磁頭的往返移動,並因此加快電腦讀取檔案的效能。額外的好處是在你硬碟出事時,增加你拯救檔案的機率(因為檔案的內容是連續的,救援軟體比較容易處理)。

    我建議買一套好軟體,一個月做一次磁碟重組,有益電腦健康。

    ● 硬碟保持一定的空間比較安全

    硬碟不要用到「滿」再來清理,有時會導致系統的崩潰。尤其是電腦記憶體內容的置換,或是瀏覽器的內容暫存,都需要靠硬碟有足夠的空間,才能正常運作。把硬碟塞爆了,電腦說不定就也跟著爆了。

    一般的建議是至少保持15%的硬碟空間。

    ● 殺檔案要確實,請「Wipe」而不是「Kill

    如果你的檔案就是想「殺掉」,不留痕跡,那你殺檔一定要確實,使用特殊的「Wipe」軟體,把資料確確實實抹掉。一般的「丟到垃圾桶」、「清除垃圾桶」,注意,甚至是「Format硬碟」,都不一定就保證檔案不能救回來(這一點很多人誤會,但是,是的,Format不一定100%保證資料的遺失,否則幹麼有復原軟體的存在?)。那要是硬碟落在「有心人士」的手裡,就不免會有各種奇怪的事情可能發生,這不用我多講了吧?

    本期結語:預防勝於治療,保密勝於後悔

    最後,我想說的是:「要是硬碟系統也能做到『Scalability』和『Virtualization』就好了。」

    我想像的「Scalability」就只是「可擴充」罷了,但這對硬碟系統來講就不容易做到。

    比方說,你買了一臺硬碟,用到某年某月某一天,你想要擴充,再買一臺,但是,你可以把你原來C:磁碟的空間直接「無縫」變大(不是增加個D:碟喔,是直接把C:變大)?

    不行,因為作業系統有很多限制而做不到。所以,現在的儲存系統問題多。但是,這本來就是兩難,要是存在這樣的系統,說不定效率會差到一般人無法忍受。

    看來這是個複雜的問題,所以我又想像,硬碟系統要是也有Virtualization也不壞。但,說不定已經有了?SAN技術是否就可以做到?又或是傳說中的Object File System?這時候,我又希望硬碟會說話,會自己長大,這樣也許我們的問題可以少一點。

    轉自IThome


    六種VLAN在Switch上的實施方法



    VLAN在交換器上的實施方法,可以大致區分為六類:

    1.
    根據port區分的VLAN

    這是最常應用的一種VLAN區分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協定的交換器都提供這種VLAN配置方法。這種區分VLAN的方 法是根據乙太網交換器的交換port來區分的,它是將VLAN交換器上的實體portVLAN交換器內部的PVC(永久虛擬電路)port分成若干個 組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換器。

    對於不同部門需要互訪時,可通過路由器轉送,並配合根據MAC地址的port過濾。對某站點的訪問路徑上最靠近該站點的交換器、路由交換器或路由器的相應port上,設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。


    從這種區分方法本身我們可以看出,這種區分的方法的優點是定義VLAN成員時非常簡單,只要將所有的port都定義為互相對應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的port,到了一個新的交換器的某個port,必須重新定義。


    2.
    根據MAC地址區分VLAN


    這種區分VLAN的方法是根據每個主機的MAC地址來區分,即對每個MAC地址的主機都配置他屬於哪個group,它實施的機制就是每一塊網卡都對應 唯一的MAC地址,VLAN交換器跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個實體位置移動到另一個實體位置時,自動保留其所屬VLAN的成員身份。


    由這種區分的機制可以看出,這種VLAN的區分方法的最大優點就是當用戶實體位置移動時,即從一個交換器換到其他的交換器時,VLAN不用重新配置, 因為它是根據用戶,而不是根據交換器的port。這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累 的,所以這種區分方法通常適用於小型區域網路。而且這種區分的方法也導致了交換器執行效率的降低,因為在每一個交換器的port都可能存在很多個VLAN 組的成員,保存了許多用戶的MAC地址,查詢起來相當不容易。另外,對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣VLAN就必須經常配 置。


    3.
    根據網路層協定區分VLAN


    VLAN
    按網路層協定來區分,可分為IPIPXDECnetAppleTalkBanyanVLAN網路。這種按網路層協定來組成的 VLAN,可使廣播域跨越多個VLAN交換器。這對於希望針對具體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且,用戶可以在網路內部自 由移動,但其VLAN成員身份仍然保留不變。


    這種方法的優點是用戶的實體位置改變了,不需要重新配置所屬的 VLAN,而且可以根據協定類型來區分VLAN,這對網路管理者來說很重要,還有,這種 方法不需要附加的frame tag來識別VLAN,這樣可以減少網路的流量。這種方法的缺點是效率低,因為檢查每一個packet的網路層地址是需要消耗處理時間的(相對於前面兩種 方法),一般的交換器晶片都可以自動檢查網路上packet的乙太網frame header,但要讓晶片能檢查IP frame header,需要更高的技術,同時也更費時。當然,這與各個廠商的實施方法有關。

    4.
    根據IP組播區分VLAN

    IP 組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN。這種區分的方法將VLAN擴大到了wan,因此這種方法具有更大的靈活性,而 且也很容易通過路由器進行擴展,主要適合於不在同一地理範圍的區域網路用戶組成一個VLAN,不適合區域網路,主要是效率不高。


    5.
    按策略區分VLAN


    根據策略組成的VLAN能實施多種分配方法,包括VLAN交換器portMAC地址、IP地址、網路層協定等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN

    6. 按用戶定義、非用戶授權區分VLAN

    根據用戶定義、非用戶授權來區分VLAN,是指為了適應特別的VLAN網路,根據具體的網路用戶的特別要求來定義和設計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要提供用戶口令,在得到VLAN管理的認證後才可以加入一個VLAN

    轉自網路


    當紅惡意程式KAVO刪除法



    1. 關閉所有應用程式
    2. 開啟工作管理員
    3. 開啟 cmd 視窗
    4. cmd視窗下利用 dir /a:h 的指令 找出 %windir%\system32 和 %temp% 下的隱藏dll 和 exe檔, 理論上就是前面所提的那些
    5. cmd視窗下和用 attrib -s -h -r 將前面所找到檔案的屬性消除, 這樣才能砍掉
    6. cmd視窗下將前面所找到的檔案砍掉, 應該會發現 .有些檔案砍不掉, 砍不掉的就是正在執行中的檔案, 如果是exe檔, 就到工作管理員裏停掉該程式再砍, 如果是dll檔請看下一步, 如果不知該不該砍, %temp%目錄下的全砍就是了, %windir%\system32 下的kavo開頭的砍了就是了 Smile
    7. cmd視窗下用 tasklist -m kav* 列出呼叫kav*.dll的程式, 您會找到 explorer,exe taskmgr.exe 這兩個程序在裏面, 如果還有其他程序先停掉
    8. 在工作管理員--處理程序 裏 將explorer.exe 結束處理程序, 此時桌面會消失, 只剩下cmd視窗和工作管理員, 然後再把工作管理員結束
    9. 再利用tasklist -m kav* 應該就找不到呼叫 kav*.dll的程式, 此時就可以把那些dll砍光了, 小心別亂砍
    10. 在cmd視窗下, 到各磁碟根目錄, 利用attrib -s -h -r消除autorun.inf ntdelect.com 的屬性然後砍掉
    11. 在cmd視窗下執行 explorer, 桌面即可復原
    12. 用regedit 檢查,如果有前面提到的請刪掉

    正面應對迎戰Rootkit造成的安全威脅



    註:以下文章非本人撰寫為中國大陸網路轉載文章,只做繁簡轉換整理。


    來源:賽迪網 IT技術 正面應對 迎戰Rootkit造成的安全威脅

    作者:茫然的風


    Rootkit可以說是最新的安全威脅之一。任何聽說過它的人都知道它臭名昭著:無法刪除,在一台電腦內部存在數年而不被發現,而且可通過作業系統發動攻擊。

    Rootkits:隱藏的安全威脅

    什 麼是Rootkit呢?根據www.whatis.com的觀點,一個Rootkit就是一個允許以管理員身份訪問電腦或電腦網路的工具的集合(a Rootkit is a collection oftools that enable administrator-level access to a computeror a computer network.」)。根據安全專家Greg HogLund的觀點,Rootkit是一個設計出來在一個系統中隱藏自身和/或其它過程資料/活動的工具。雖然名聲不好,Rootkit實際上卻可以擁 有十分重要的應用,如管理許可證或隱藏一些管理員不想讓其他人看見的文件等。Rootkit的問題在於那些隱藏一些東西並為遠端使用者提供訪問服務的程 式,它們可被濫用引起各種安全問題。如今Rootkit可被用來危及電腦的安全,因此電腦使用者必須清楚這些RootkitRootkit基本上可作為間諜軟體、特洛伊木馬、釣魚軟體和其它有害程式的一個基礎平臺。關於Rootkit的好話我們就不多說了,先重點談談Rootkit被用來犯罪的工具問題。


    電腦犯罪的理想工具

    因為眾所周知的經濟方面上的原因,近年來Rootkit已經成為一個日益嚴重的問題。Rootkit的力量在於它允許遠端使用者控制受害人的系統。一旦它在你的系統上製造或發現一個後門,就可以收集各種各樣的個人資訊,如信用卡號等。

    Rootkit常被用來利用間諜軟體和鍵盤記錄程式進行犯罪活動。Rootkit還可以作為蠕蟲和病毒的快速啟動的跳板。實 際上,一些蠕蟲就包含Rootkit,這些Rootkit安裝在被感染蠕蟲的電腦上,從而通過網路進一步擴散。Rootkit的最大危險在於它們可以給遠 端使用者一種能夠對系統實施「外殼訪問」(shell access)的許可權,也就是說駭客可以完全地控制目標系統。如此一來,Rootkit就可以擁有一種幾乎無限的破壞潛力。


    Rootkit陰險地潛入

    Rootkit 可存在於內核、庫、和應用程式的層次上。內核級的Rootkit特別危險,是人們注意的中心,因為它們十分地難於檢測。Rootkit的一個真正狡猾的特 點就是:有一些類型的Rootkit可以將其自身與作業系統緊密地綁定,實際上,幾乎不可能檢測它們。其結果是,Rootkit可以以這種方式取代作業系 統,如此一來,使用者就不能相信作業系統傳給使用者的資訊。

    傳統的反間諜軟體和反病毒程式在這種情況下是無能為力的,因為它們依靠作業系統自身來尋求狀態資訊,而作業系統卻已被控制。雖然一些Rootkit實際上相當陰險,不過,事實上許多Rootkit可通過關機,然後從另一個乾淨的磁片重新開機來檢測到。畢竟一個非活動的Rootkit是無法隱藏自己的。


    感染了Rootkit怎麼辦?

    有 一種觀點認為,在感染之前(或者沒有被安裝Rootkit)),只需備份系統,然後重新格式化磁片再恢復系統是個好辦法。無可否認,這是針對此問題的一個 極端的方法。現在有多種免費的或開源的Rootkit檢測工具來解決問題,不過這並非是真正的安全之道。使用者應謹慎地選擇這種軟體。特別是免費的 Rootkit檢測工具並不能像商務軟體那樣及時更新,而此Rootkit的發展步伐又是如此之快,因此我們還要尋求其它的方法。

    因為 Rootkit經常被用作間諜軟體的平臺,配置最好的可以解決Rootkit問題的商務軟體或硬體廠商通常是那些有著豐富的間諜軟體檢測和清除經驗的公 司。一個Rootkit的檢測和清除程式使用多維向量來確認問題。這種程式還應該有最新的被確認的Rootkit的列表,從而確保那些新出現的 Rootkit不會成為漏網之魚。這也就是用戶及時更新其簽名檔的重要原因。

    記住下面一點也是很重要的:並非所有的Rootkit都是惡意的。使用者並不想要一個Rootkit檢測程式只是檢測那些它所能夠發現的惡意的Rootkit。一個良好的Rootkit檢測程式還應該分辨善意和惡意的Rootkit,並能讓管理員禁用或啟用這些Rootkit程式。


    檢測和清除Rootkit的策略

    從一定意義上講,Rootkit是難於清除的,特別是對於那些處於作業系統級的Rootkit來說。不過,這又依賴於Rootkit的執行、實施方法。使用者可以在作業系統內核級上安裝工具軟體,也可以在使用者模式水準上放置一些工具。總的來說,Rootkit的目的地是對使用者隱藏資訊、過程和檔,因此無論是檢測還是清除都是相當困難的、複雜的。一般說來,刪除比檢測更難於實施,因為你要確保作業系統在清除Rootkit後還能正常工作。當今的大多數Rootkit都是可以從系統中安全地清除的,但今後一、兩年內,清除Rootkit可能會是一個相當重大的挑戰。

    那 麼檢測和清除Rootkit的最困難的方面是什麼呢?我們說過,Rootkit就是來隱藏資訊的。這樣你就再也不能真正的相信作業系統本身。一旦你的機器 感染了惡意的Rootkit,那麼作業系統所告訴你的任何東西都不再是真正可信的資訊。因此,從作業系統中清除一個Rootkit的首要一步就是引入能夠 理解作業系統最低級資訊的技術。例如,磁片如何被格式化。因此對作業系統之下的技術所掌握的能力能夠使你確認任何可認為是Rootkit的蛛絲馬跡。換句 話說,對一個作業系統的更高深的知識和能力是非常關鍵的。

    科學的檢測技術應位於作業系統之下,我們可以將作業系統在機器上所看到的與檢測軟體在作業系統最低層上所看到的相比較。如果二者匹配,作業系統極有可能是乾淨的、安全的,但如果二者有差異,那你就應該好好看一下了,因為這有可能是一個潛在的Rootkit感染的跡象。


    使用者可以採取以下幾方面的步驟來減少總體的暴露程度和被Rootkit感染的風險:

    1. 通過儘快地確保電腦打上最新的補丁來保證系統的健康,特別是如果你採用微軟的作業系統的話。不過,這條忠告適用於任何其它的作業系統或應用程式。
    2. 建議用戶以非超級用戶的身份登錄。說來容易做來難。不過,事實是:如果你減少登錄用戶的許可權,你就是在大大地減少被Rootkit感染的風險。
    3. 總是同時地、及時地更新你的反間諜軟體和反病毒軟體。


    筆者(註:原作者)還要建議此文的閱讀者:一定要小心所謂的免費下載!一些所謂的免費下載並不是真得免費。因為你是要付出代價的。很多所謂的「免費」下載可能會包含惡意軟體或Rootkit,使用者完全應該採取預防措施以防止這種事情的發生。儘量從可信任的網站下載,因為它們可為用戶提供一定的安全保障,但並非絕對。


    文章來源:網路攻防戰