论文部分内容阅读
当互联网成为生活的一部分,当越来越多的交易在互联网上完成,当我们沉醉于即时通讯软件的便利……许多人并不知道,他们的周围可以用“危机四伏”来形容,当下的互联网可以说是一个到处充满陷阱和危险的庞大迷宫。互联网上每天都有上百种病毒、木马及其变种产生,而且木马和恶意程序现在风头正劲,已经超过了我们过去“谈虎色变”的计算机病毒,一跃成为互联网上的首席安全杀手。
其实这种现象很好理解。以往的病毒或是蠕虫,通常是一些炫耀技术的表现,无非是世界范围的恶作剧,它们只会带来数据损失;而木马和间谍软件的大规模泛滥,从某种角度来说却是“利益”作祟。当然,这利益指的是利用木马盗取信息的不法分子们的利益,他们可以从这些自广阔的互联网上搜集来的信息中获利,这些信息包括银行账号、密码,网游账号、密码,以及其他一些用户的关键信息。而普通用户损失的则不再仅仅是硬盘上的数据、软件,而是现实世界中的金钱。
举个例子来说明吧,那样会更容易理解一些。就拿网络游戏来说,网络游戏其实是一个社会的小型缩影,里面也有类似现实世界中的经济体系,也有供求关系。玩家在游戏中也需要用游戏中的货币来“生活”,比如购买一些升级必须的物资,或是武器装备之类的东西。在有些游戏中,游戏厂商还提供用现实货币更换游戏货币的服务,比如一些永久免费的网络游戏中,一些道具必须用人民币来购买。当然,不买这些道具,玩家一样可以玩游戏,只是游戏体验就要打些折扣。还有不少玩家,喜欢用游戏货币来购买游戏点卡进行充值。这些交易,让游戏货币和现实货币产生了一些实际联系。
最早,大量游戏工作室采用“人工打钱” (即登陆到游戏中,像普通玩家一样靠做任务或击杀怪物,倒卖物品赚取游戏货币)的方式来赚取游戏货币,出售给需要游戏货币的玩家。对大多数游戏来说,游戏厂商本身是不允许这种情况发生的。不过在不影响游戏正常进行的情况下,厂商也不会过多干预这种游戏外的“非法交易”。但这种方式一来赚取游戏货币的速度较慢,二来耗费的人工费用、网络费用等,使得游戏工作室的利润很低。为了追求更高的利润,有些人开始用一些非法的手段来获取游戏货币。比如,盗取玩家的游戏账号,获取游戏中人物身上的货币,然后卖给其他需要游戏货币的玩家。
现在网络上横行的盗号木马,都是基于这种情况产生的。对于网银而言,这种情况表现得更为直接,一旦银行账号、密码被盗,损失不可估量。类似的案件在过去的日子里频繁发生。可以说,互联网进入了一种奇怪的“木马经济时代”。
木马/病毒背后的巨大灰色产业链给整个互联网带来了更加严峻的考验。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息第三方平台销赃、洗钱,分工明确,形成了一个非常完善的流水线作业的程序。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线,以辅助完成其他牟利活动。“灰色产业链”可能将病毒制作引领为一种产业。
最为夸张的要算是今年上半年十分火爆的一种病毒——AV终结者。该病毒最大的特点就是采用多种方式对抗最流行的安全软件,对反病毒软件发起了疯狂的反扑,同时也充分体现了病毒/木马商业化、团队协作的迹象。首先,传播病毒,使用黑客技术攻击网站、网关服务器,致使大量用户遭遇网页挂马的攻击,或是利用U盘去感染一些企业的局域网、网吧或小区宽带;抑或利用现有的病毒技术——蠕虫传播、文件感染作为载体来安装“AV终结者”,以达到最终目的——提高病毒的感染量。然后,利用“AV终结者”终止所有反病毒软件。致使用户电脑的安全系统遭遇彻底破坏,而后开始大规模的下载盗号木马,并能不断的更新升级自己。这个团队的另一部份人采用当今最流行的互联网技术,只需在服务端做一些配置的改动,就可让病毒自动下载任意程序。
现如今,购物网站层出不穷,网络银行、网上游戏应用越来越多,人们已经无法离开互联网提供的便利了。而正是这个提供便利的互联网,同时也带来了“可能无极限”的安全隐患。如何在这种环境下安全的试用互联网的便利,是每个人都要面对的问题。理论上来说,只要足够小心,是可以避免被木马侵害的。但是,那样一来你可能什么都干不了。浏览网页?你得防着点网页仿冒和网页挂马。下载视频?很难说你下载的视频文件是不是加了恶意代码,或是感染了病毒的。MSN聊天?你的朋友给你发送过来一个压缩包,号称是自己在海南旅游的照片,你敢看吗?
现在,你还觉得互联网安全吗?不,我们距离“安全”还很遥远。
其实我们需要的仅仅是一套功能全面的安全防护软件,这就能大幅度拉近自己到安全的距离。虽然,任何安全防护软件都无法完全防止意外发生,但它们能让我们在互联网上活动的更为自如,轻松。可以说,游走在现今的互联网上,安全防护软件是系统中必不可少的一个部分。
事实上,网络安全已经成了所有人都很关心的一个重要问题。软件开发商们想尽一切办法提升自己软件的安全性和自保能力。从Windows XP的SP2开始,微软就开始加入各种安全防护系统,像是小型的防火墙,对于未知程序运行的确认等等。到了最新的Windows Vista时,微软的操作系统可以说是武装到了牙齿。除了Windows防火墙外,还加入了专门针对保护系统底层不被恶意程序侵害的Windows Defender。当然,由未知程序认证体系发展来的UAC用户访问权限控制,更是时时刻刻闪现在我们面前。同时,Windows Vista的安全更新非常及时,一旦安全漏洞被发现,更新立刻随之而来。可以说,从底层系统做足了功夫。
另一方面,安全防护软件厂商本身,也在一直改进自身的软件,针对不断变化的恶意程序和病毒不断完善安全防护软件体系。现在,我们之所以不再称呼这些软件为“杀毒软件”,就是因为“杀毒”仅仅是这些软件的一部分功能而已,它们已经发展成由反病毒,防火墙等多种不同模块组成的全方位防护系统。
而最近2年,我们看到了一些安全防护软件发展的新趋势。2005年年底,反病毒厂商们纷纷提出了“主动防御”这一概念。发展到现在,主动防御功能已经成为各大安全防护软件必备的功能之一。所谓主动防御功能,其实是针对未知病毒或恶意程序准备的一套独立防御体系。我们知道,以往的安全防护软件,通常采用静态库扫描模式来判断一个程序是否是恶意程序或病毒。这样做的好处是可以保证判断的准确率,但缺陷却是在病毒定义更新已经跟不上病毒变种的时代,这种方式极有可能被恶意程序打一个“闪电战”——来 不及反应,便已沦陷。
主动防御功能则是根据程序的行为,来进行判断它的特征。一个程序将执行哪些操作,决定了主动防御功能对它的判断,如果这个程序老老实实的按照正常思路,读取内存/硬盘中的数据,完成它的工作,那么安全防护软件并不会做出反应,一旦某个程序开始触及一些“禁区”,比如向注册表中添加奇怪的运行,或是修改系统进程时,安全防护软件会立刻报警,并暂时阻止程序进一步运行,直至用户做出判断。理论上来讲,这种方式让安全防护软件的防护能力提升了。个档次,但新的问题随之而来。
伴随着UAC和主动防御,或是个人防火墙而来的问题是过多的警报和提示。以UAC为例,在运行任何可能造成系统变动,需要管理员权限,或是系统无法识别的程序时,首先UAC要弹出一个提示框,询问用户是否真的要运行该程序。如此一来,其实是等于将对未知危害的识别这一任务交给了最终用户。如果是对计算机较为了解的用户,他们时刻都知道自己在干什么,这种提示并不算什么问题。但对于大多数普通用户来说,他们有极大的可能直接点“确定”,根本不看提示内容是什么。而且日久天长,他们甚至会关掉UAC。
对于防病毒软件或是个人防火墙,这个例子同样适用。试想,运行任何一个访问网络的程序,个人防火墙都会跳出来让用户选择是否允许这个进程访问网络……用户的反应会怎样?“总是允许”一定是被选择次数最多的选项。更有甚者就有可能关闭防火墙功能,这样一来防火墙也就形同虚设。这种设计,从某种角度来说,其实在无形中帮了恶意程序一把。用户需要的是安静的防护环境和智能的安全防护软件,说的直白一些“要是我什么都能判断,要安全防护软件做什么?”这种说法并不少见。
此外,安全防护界面的设计也越来越被用户所关注。太多的安全防护软件把自己做的太专业了。这些软件打开界面后,映入用户眼帘的是密密麻麻的选项和“不知所云”的描述。据笔者给周围的朋友提供免费技术支持时发现,这些用户安装好安全防护软件后,根本不会再去碰它,所有设置也都是跟着设置向导按照默认设置来保存。更有甚者会因为频繁提示升级,而关闭升级提示功能。显然,浅显易懂的用户界面,才能更好的为用户所接受,进而使得安防软件起到应有的作用。
2007年上半年,互联网上的病毒、恶意程序爆发现象严重,令人忧心。不过,与此同时,安全防护软件厂商也在不断更新着他们的产品,为我们憧憬的安全不断努力着。本次专题,我们邀请到了国内外主流的几家安全防护厂商的产品。为用户简单介绍一下目前各大厂商推出的软件产品状况,供读者参考。
全面的功能,简单的测试
从我们试用各款安全防护软件的情况来看,各家厂商推出的产品功能都很全面。基本上每款产品的功能都涵盖了大部分安全问题的防御。不过不幸的是,测试这些功能成了遥不可及的事情。
首先,国家公安部曾经出台过一个规定,那就是私人不得拥有病毒库,并且不得进行病毒测试,同时禁止在网络上设置病毒样本机。这样一来,我们就无法进行反病毒软件的扫描能力测试了。虽然目前互联网上可以下载到病毒库,但这些来历不明的病毒库,很难具有权威性。国际上测试使用的病毒库,均由Wild List来提供,并且测试方必须有相关资质认证方可进行相关测试。任何一家媒体的实验室,都不具备这种资质。其次,就算是用网络上下载的病毒库来测试,也无法说明问题。那些老旧的病毒库对现在每天更新的安全防护软件来说,根本就是小菜一碟,完全无法体现各款软件的区别。
不过幸运的是,前段时间爆发的MSNPhoto给了我们一些测试手段,本人保存了之前中毒的友人发给我的RAR文件。另外,我们在一些技术论坛上找到了一款还未大范围爆发的病毒样本——小浩,以此来测试各款防病毒软件的主动防御能力。
令人满意的是,在我们测试进行中,国内的各款安全防护软件更新了若干次病毒定义,其中就有针对小浩病毒的定义更新,包含这种病毒的RAR文件一进入计算机,便被清理掉了。对于MSN Photo也是如此。参加本次测试的各款软件在这方面表现得都很好。当然,这部分内容也无法说明太多问题,仅供各位读者参考。
由于无法具体的测试安全防护软件的防护能力,我们进行了一些简单的测试,包括软件的启动时间、全局扫描时间和系统空闲状态下的内存消耗。这部分测试虽然简单,但直接影响到用户使用这些软件的体验,也算得上是不可轻视的一部分内容吧。
其实这种现象很好理解。以往的病毒或是蠕虫,通常是一些炫耀技术的表现,无非是世界范围的恶作剧,它们只会带来数据损失;而木马和间谍软件的大规模泛滥,从某种角度来说却是“利益”作祟。当然,这利益指的是利用木马盗取信息的不法分子们的利益,他们可以从这些自广阔的互联网上搜集来的信息中获利,这些信息包括银行账号、密码,网游账号、密码,以及其他一些用户的关键信息。而普通用户损失的则不再仅仅是硬盘上的数据、软件,而是现实世界中的金钱。
举个例子来说明吧,那样会更容易理解一些。就拿网络游戏来说,网络游戏其实是一个社会的小型缩影,里面也有类似现实世界中的经济体系,也有供求关系。玩家在游戏中也需要用游戏中的货币来“生活”,比如购买一些升级必须的物资,或是武器装备之类的东西。在有些游戏中,游戏厂商还提供用现实货币更换游戏货币的服务,比如一些永久免费的网络游戏中,一些道具必须用人民币来购买。当然,不买这些道具,玩家一样可以玩游戏,只是游戏体验就要打些折扣。还有不少玩家,喜欢用游戏货币来购买游戏点卡进行充值。这些交易,让游戏货币和现实货币产生了一些实际联系。
最早,大量游戏工作室采用“人工打钱” (即登陆到游戏中,像普通玩家一样靠做任务或击杀怪物,倒卖物品赚取游戏货币)的方式来赚取游戏货币,出售给需要游戏货币的玩家。对大多数游戏来说,游戏厂商本身是不允许这种情况发生的。不过在不影响游戏正常进行的情况下,厂商也不会过多干预这种游戏外的“非法交易”。但这种方式一来赚取游戏货币的速度较慢,二来耗费的人工费用、网络费用等,使得游戏工作室的利润很低。为了追求更高的利润,有些人开始用一些非法的手段来获取游戏货币。比如,盗取玩家的游戏账号,获取游戏中人物身上的货币,然后卖给其他需要游戏货币的玩家。
现在网络上横行的盗号木马,都是基于这种情况产生的。对于网银而言,这种情况表现得更为直接,一旦银行账号、密码被盗,损失不可估量。类似的案件在过去的日子里频繁发生。可以说,互联网进入了一种奇怪的“木马经济时代”。
木马/病毒背后的巨大灰色产业链给整个互联网带来了更加严峻的考验。不管是网银中真实的钱,还是虚拟财产,制造木马、传播木马、盗窃账户信息第三方平台销赃、洗钱,分工明确,形成了一个非常完善的流水线作业的程序。木马的制造者本身并不参与“赚钱”,病毒编写完毕后,开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线,以辅助完成其他牟利活动。“灰色产业链”可能将病毒制作引领为一种产业。
最为夸张的要算是今年上半年十分火爆的一种病毒——AV终结者。该病毒最大的特点就是采用多种方式对抗最流行的安全软件,对反病毒软件发起了疯狂的反扑,同时也充分体现了病毒/木马商业化、团队协作的迹象。首先,传播病毒,使用黑客技术攻击网站、网关服务器,致使大量用户遭遇网页挂马的攻击,或是利用U盘去感染一些企业的局域网、网吧或小区宽带;抑或利用现有的病毒技术——蠕虫传播、文件感染作为载体来安装“AV终结者”,以达到最终目的——提高病毒的感染量。然后,利用“AV终结者”终止所有反病毒软件。致使用户电脑的安全系统遭遇彻底破坏,而后开始大规模的下载盗号木马,并能不断的更新升级自己。这个团队的另一部份人采用当今最流行的互联网技术,只需在服务端做一些配置的改动,就可让病毒自动下载任意程序。
现如今,购物网站层出不穷,网络银行、网上游戏应用越来越多,人们已经无法离开互联网提供的便利了。而正是这个提供便利的互联网,同时也带来了“可能无极限”的安全隐患。如何在这种环境下安全的试用互联网的便利,是每个人都要面对的问题。理论上来说,只要足够小心,是可以避免被木马侵害的。但是,那样一来你可能什么都干不了。浏览网页?你得防着点网页仿冒和网页挂马。下载视频?很难说你下载的视频文件是不是加了恶意代码,或是感染了病毒的。MSN聊天?你的朋友给你发送过来一个压缩包,号称是自己在海南旅游的照片,你敢看吗?
现在,你还觉得互联网安全吗?不,我们距离“安全”还很遥远。
其实我们需要的仅仅是一套功能全面的安全防护软件,这就能大幅度拉近自己到安全的距离。虽然,任何安全防护软件都无法完全防止意外发生,但它们能让我们在互联网上活动的更为自如,轻松。可以说,游走在现今的互联网上,安全防护软件是系统中必不可少的一个部分。
事实上,网络安全已经成了所有人都很关心的一个重要问题。软件开发商们想尽一切办法提升自己软件的安全性和自保能力。从Windows XP的SP2开始,微软就开始加入各种安全防护系统,像是小型的防火墙,对于未知程序运行的确认等等。到了最新的Windows Vista时,微软的操作系统可以说是武装到了牙齿。除了Windows防火墙外,还加入了专门针对保护系统底层不被恶意程序侵害的Windows Defender。当然,由未知程序认证体系发展来的UAC用户访问权限控制,更是时时刻刻闪现在我们面前。同时,Windows Vista的安全更新非常及时,一旦安全漏洞被发现,更新立刻随之而来。可以说,从底层系统做足了功夫。
另一方面,安全防护软件厂商本身,也在一直改进自身的软件,针对不断变化的恶意程序和病毒不断完善安全防护软件体系。现在,我们之所以不再称呼这些软件为“杀毒软件”,就是因为“杀毒”仅仅是这些软件的一部分功能而已,它们已经发展成由反病毒,防火墙等多种不同模块组成的全方位防护系统。
而最近2年,我们看到了一些安全防护软件发展的新趋势。2005年年底,反病毒厂商们纷纷提出了“主动防御”这一概念。发展到现在,主动防御功能已经成为各大安全防护软件必备的功能之一。所谓主动防御功能,其实是针对未知病毒或恶意程序准备的一套独立防御体系。我们知道,以往的安全防护软件,通常采用静态库扫描模式来判断一个程序是否是恶意程序或病毒。这样做的好处是可以保证判断的准确率,但缺陷却是在病毒定义更新已经跟不上病毒变种的时代,这种方式极有可能被恶意程序打一个“闪电战”——来 不及反应,便已沦陷。
主动防御功能则是根据程序的行为,来进行判断它的特征。一个程序将执行哪些操作,决定了主动防御功能对它的判断,如果这个程序老老实实的按照正常思路,读取内存/硬盘中的数据,完成它的工作,那么安全防护软件并不会做出反应,一旦某个程序开始触及一些“禁区”,比如向注册表中添加奇怪的运行,或是修改系统进程时,安全防护软件会立刻报警,并暂时阻止程序进一步运行,直至用户做出判断。理论上来讲,这种方式让安全防护软件的防护能力提升了。个档次,但新的问题随之而来。
伴随着UAC和主动防御,或是个人防火墙而来的问题是过多的警报和提示。以UAC为例,在运行任何可能造成系统变动,需要管理员权限,或是系统无法识别的程序时,首先UAC要弹出一个提示框,询问用户是否真的要运行该程序。如此一来,其实是等于将对未知危害的识别这一任务交给了最终用户。如果是对计算机较为了解的用户,他们时刻都知道自己在干什么,这种提示并不算什么问题。但对于大多数普通用户来说,他们有极大的可能直接点“确定”,根本不看提示内容是什么。而且日久天长,他们甚至会关掉UAC。
对于防病毒软件或是个人防火墙,这个例子同样适用。试想,运行任何一个访问网络的程序,个人防火墙都会跳出来让用户选择是否允许这个进程访问网络……用户的反应会怎样?“总是允许”一定是被选择次数最多的选项。更有甚者就有可能关闭防火墙功能,这样一来防火墙也就形同虚设。这种设计,从某种角度来说,其实在无形中帮了恶意程序一把。用户需要的是安静的防护环境和智能的安全防护软件,说的直白一些“要是我什么都能判断,要安全防护软件做什么?”这种说法并不少见。
此外,安全防护界面的设计也越来越被用户所关注。太多的安全防护软件把自己做的太专业了。这些软件打开界面后,映入用户眼帘的是密密麻麻的选项和“不知所云”的描述。据笔者给周围的朋友提供免费技术支持时发现,这些用户安装好安全防护软件后,根本不会再去碰它,所有设置也都是跟着设置向导按照默认设置来保存。更有甚者会因为频繁提示升级,而关闭升级提示功能。显然,浅显易懂的用户界面,才能更好的为用户所接受,进而使得安防软件起到应有的作用。
2007年上半年,互联网上的病毒、恶意程序爆发现象严重,令人忧心。不过,与此同时,安全防护软件厂商也在不断更新着他们的产品,为我们憧憬的安全不断努力着。本次专题,我们邀请到了国内外主流的几家安全防护厂商的产品。为用户简单介绍一下目前各大厂商推出的软件产品状况,供读者参考。
全面的功能,简单的测试
从我们试用各款安全防护软件的情况来看,各家厂商推出的产品功能都很全面。基本上每款产品的功能都涵盖了大部分安全问题的防御。不过不幸的是,测试这些功能成了遥不可及的事情。
首先,国家公安部曾经出台过一个规定,那就是私人不得拥有病毒库,并且不得进行病毒测试,同时禁止在网络上设置病毒样本机。这样一来,我们就无法进行反病毒软件的扫描能力测试了。虽然目前互联网上可以下载到病毒库,但这些来历不明的病毒库,很难具有权威性。国际上测试使用的病毒库,均由Wild List来提供,并且测试方必须有相关资质认证方可进行相关测试。任何一家媒体的实验室,都不具备这种资质。其次,就算是用网络上下载的病毒库来测试,也无法说明问题。那些老旧的病毒库对现在每天更新的安全防护软件来说,根本就是小菜一碟,完全无法体现各款软件的区别。
不过幸运的是,前段时间爆发的MSNPhoto给了我们一些测试手段,本人保存了之前中毒的友人发给我的RAR文件。另外,我们在一些技术论坛上找到了一款还未大范围爆发的病毒样本——小浩,以此来测试各款防病毒软件的主动防御能力。
令人满意的是,在我们测试进行中,国内的各款安全防护软件更新了若干次病毒定义,其中就有针对小浩病毒的定义更新,包含这种病毒的RAR文件一进入计算机,便被清理掉了。对于MSN Photo也是如此。参加本次测试的各款软件在这方面表现得都很好。当然,这部分内容也无法说明太多问题,仅供各位读者参考。
由于无法具体的测试安全防护软件的防护能力,我们进行了一些简单的测试,包括软件的启动时间、全局扫描时间和系统空闲状态下的内存消耗。这部分测试虽然简单,但直接影响到用户使用这些软件的体验,也算得上是不可轻视的一部分内容吧。