计算机与网络安全技术的发展一日千里,入侵与防御的战争从互联网流行之初就延续不断。长久以来,终端用户总持有一种观念,认为网络威胁离自己很远,黑客们没有必要对一个电脑小用户下手。对于一直奉行这种观念的人,恐怕我再怎么说都是白费唇舌,请自求多福。本文想帮助的,也是我最想提醒的人,是那些我很关心的、对我的安全观念有点认同、又对最近网络的出现的新型威胁有点兴趣,并且希望进一步提高自己的病毒应变能力和安全防护水平的朋友。
事情发生在2008年的8月10号,在讲述事件经过之前我有必要先介绍一下我一直使用的安全组合(病毒防护+网络防护)。我长久以来一直信赖的安全组合是ESET的NOD32杀毒软件搭配业界公认世界首位的防火墙Look'n'Stop。
NOD32是近年在全球迅速冒起的一个防病毒产品。非常轻巧易用,因其惊人的侦测速度及卓越的性能,它已成为许多用户和IT专家的首选,并曾因为长期作为微软的御用杀毒软件而著称。事实上,经多家检测权威确认,NOD32在速度,精确度和各项表现上已拥有多项的全球记录。根据Virus Bulletin多次的测试,NOD32的扫描速度大约比其它市场竞争者高出2至50倍。大部分曾经使用过其它防病毒产品的用户都能感觉其不同凡响的表现能力。2008年8月4日,国际权威病毒研究机构Virus Bulletin又发布了其最新一期的VB100测试结果。作为全球领先的主动防御服务提供商,ESET又一次刷新了一直由其保持的业界最高VB100通过次数,顺利摘得了第51个VB100奖项。
Look'n'Stop 来自法国,被誉为世界顶级防火墙。与同类产品相比具有最为突出的强劲功能以及与众不同的特点,不仅功能评测在知名防火墙中是最强的!而且软件大小只有区区600多k,十分小巧,占内存非常小,可以监控dll,更具强大的御防黑客攻击能力,在一个国外专业网站的试用中,它超过ZA、Kerio、Norton等排在了第一。
事实上,经过精心设置的NOD32,凭借其优秀的启发式扫描和高级启发式扫描技术,能有效拦截和查杀大部分的病毒、木马和蠕虫威胁。关键的一点是,他的网络监控做得十分优秀,能有效拦截网页威胁于硬盘之外。唯一遗憾的是,由于NOD32属于启发式杀毒软件,天生存在病毒库小的弱点;也恰恰是基于它的启发式扫描技术,它堪称是能最有效拦截未知病毒攻击的杀毒软件之一。而LNS防火墙具有优秀的攻击拦截性能和极少的资源占用,能有效进行规则编写的高级用户可以通过它定制出天衣无缝的安全策略,我曾经使用这个防火墙阻挡局域网内近似疯狂ARP欺骗和各种攻击,其功效毋庸置疑。
很多朋友包括我自己都一直认为,采用一个优秀并经常更新的病毒防御软件加上顶级的防火墙就能保证系统的安全万无一失,至少能抵御最流行的网络攻击。
然而杀毒软件总有它的弱点,没有一个病毒防护软件能保证自己滴水不漏,曾经流行一时的熊猫烧香病毒就是最好的证明,病毒防护软件的更新总是落后于威胁的出现。最新攻击出现的时候,杀毒软件能做到保住自己的安全,及时上报并等待有效解决措施的出现已属优秀。可能是长期以来人们对杀毒软件的期望过高,导致问题真正出现的时候阵脚大乱、顾此失彼。
很不幸地,我跟一位朋友最近亲身经历了这样一幕。在上述的“周全”防御底下,我们的计算机还是于2008年8月10号遭到了特洛伊木马的渗透,而作为罪魁祸首的,竟是一个大家都一直十分信任的BT下载门户。而当我们首次发现异常的时候,木马已经通过flash player 9的最新漏洞进行了浏览器劫持。任何通过浏览器的网络访问都将被同时指向一个病毒下载网址,并自动下载多个最新的病毒文件。而需要庆幸的是,虽然杀毒软件没有能防御这个最新的木马,但是它通过浏览器劫持所下载的大部分病毒文件都被侦测到并及时拦截了。而我们正是通过拦截报告得知这一危险情况。
在得知这个情况后,我的第一反应是马山关闭被劫持的浏览器,我意识到这个时候已经太晚了,病毒很可能已经在本地修改了注册表和启动引导项,而对于进程注入型病毒,我们只可能在其运行之初对其进行拦截。一旦它首次正常进入内存,一切都已经为时过晚了,因为它能很快地向系统关键进程中注入自己的执行模块、修改系统文件、然后自身退出运行。通过这样的几步,用户就无法通过任务管理器等低级的进程管理工具察觉到它的存在,即时用户知道了病毒注入了那个系统进程,也没有办法轻易将它从进程中清除出去,简单的结束进程只会另系统更快崩溃。而我们知道,中毒以后,在没有掌握病毒的运行规律之前,最基本的常识是不要轻易重启,因为病毒正是通过启动项或者服务来加载的,危险操作也正是在启动的时候最容易被批量执行,重启只会让它进一步扩散,后果可想而知。
这个时候,虽然我已经确信自己的电脑中招了,并且认定病毒已经开始动作,但是表面的风平浪静让我没法知道它的行为,它的位置以及它所感染的文件数。一个强大的进程工具的名字在我脑海中闪过——冰刃(IceSword)。我快速地运行了它,选择禁止创建进程选项,并开始查找病毒的位置。
1、先是查找有没有病毒的进程……没有……我开始感觉到情况不妙;
2、接着迅速地打开检查最容易被病毒利用的系统进程……svchost、winlogon等……干掉所有陌生的模块,其中首恶是auth.dll、~*.tmp等;
3、进入C:\windows\system32\目录,强制删除上述卸载的文件;
4、搜索C盘,检查最近两天新建的.bat为后缀的批处理文件,打开所在目录,删除怀疑的文件(此步骤比较危险,不过坏人都有一个模样可认,哈哈),最典型的是几个.pif文件;
5、清空IE缓存、清空所有temp目录,清空最能藏污纳垢的回收站;
6、最后一步,检查启动项,果然已经被修改,去掉多余的选项,还要删除新注册的可疑服务。 至此,以通常的经验,病毒即使没有完全清理干净也已经成为废物了,于是我开始重启电脑,让设置生效。现在想来,这正是最错的一步。
重启的过程很慢,机器停留在关机画面很长时间,久久不肯关闭。见状我开始冷汗直冒,多半是道高一尺魔高一丈。没有清除干净的病毒开始发威了,是哪里出了乱子呢?我开始对刚才的清理过程进行反思,是注册表……问题变得有点棘手了,注册表是系统最私密的地方,也正是NOD32防毒软件的弱点所在,没有注册表监控的保护,用户根本无从知晓病毒对注册表的哪个地方进行修改,修复更是如大海捞针,毫无头绪。
现在唯一能启动又不触发病毒进一步动作的方式是安全模式了,因为安全模式不加载启动项、服务甚至于驱动,所以可谓是最最最干净的操作环境。于是我在系统启动阶段通过按F8试图进入安全模式寻求进一步的行动。在F8菜单中选择“安全模式”后,系统开始显示加载核心的画面,很久没有见到这个影像了,见到它我似乎见到了一线曙光…正当我筹划着怎么执行操作的时候,屏幕一下子泛蓝,#¥¥……◎¥#%!%¥%,我真的想咒骂这个天杀的木马嫁接者,居然破坏了我的安全模式,这下可好,当机蓝屏了。看来木马设计者是要坚持跟我在正常模式下公平较量了。此时,身边有人开始幸灾乐祸地笑我们上了“不干净”网页中招了,这好比在火上浇油,我分外的生气了……一定要秒杀这个可耻的罪魁祸首,还哥们一个清白!
可是安全模式已经被废了,现在剩下两条路——正常启动系统跟病毒正面交锋;通过干净的启动盘进入系统干掉病毒。在一般情况下,我是更愿意选择后者,事实上,对于我的机器(带光驱、正好手上有一张不错的启动盘),后者是最有把握的解决方法。不过无奈另外一位也中毒的兄弟没有光驱,我得想到周全的办法免去他的重装系统之苦。当我想到了,跟木马正面交锋虽然存在危险,但是能更好的检验一下自己最近的造诣,我毅然决定正常启动系统……这次开机过程很慢,已经表现出很不寻常的情况了,进入登陆界面很慢,启动explorer进程用了很长时间才进入桌面,期间硬盘狂转不停,恐怕这家伙已经给我制造了不少乱子了吧。果然,不出所料,进入桌面不久,任务栏最先出现状况,防火墙和杀毒软件的图标相继消失。我马上查看进程,好狠的病毒啊,已经注册为服务的防火墙和常驻内存、连冰刃都无法轻易干掉的杀毒软件核心进程都纷纷落下阵来。我心头一凉,估计冰刃也被列入“黑名单”了吧……果然够狠的,一上场就冻结了我最有力的几个工具,此外,连注册表、控制台、系统配置实用程序等都同时被禁用。开机不久,系统文件保护窗口一闪而过,提示系统文件被替换,要求插入Windows安装盘以修复……可是没等到我找出安装盘,修复窗口已经被无情了关闭。天啊,不仅是浏览器被劫持了,现在连系统和工具们都被劫持了。。。
情况紧急,下面每个操作、每次重启都来不得半点出错,因为我已经很难想象下次重启会是何等恶心的危险动作了。凭借对系统的最后仅有的认识,现在的困境肯定是因为病毒修改了注册表中的“映象劫持”了。但是病毒始终是人编制的,智者千虑必有一失,再严密的计划引导我走向危险的边沿,也始终有薄弱的地方,随着与木马程序较量的时间的加长,我慢慢记下了它的所有动作: 首先是进行浏览器劫持,在用户浏览网页的时候暗地里下载病毒文件;接着就开始安放病毒文件修改启动选项;然后注册服务注入进程;同时修改注册表破坏安全模式、进行映象劫持,让用户走投无路;最后一步是替换系统文件名正言顺地控制系统。
而正是这个安排周密的暗算计划,就在最后一步暴露了它所有的秘密——映象劫持。所谓的映像劫持(IFEO)就是Image File Execution Options,它位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下。这个项原本主要是用来调试程序用的,对一般用户意义不大,默认是只有管理员和local system有权读写修改。关于它的作用,可以用一个例子简单说明,比如我想运行QQ.exe,但是用了映象劫持后,结果运行的却可以是FlashGet.exe。也就是说,QQ程序被FLASHGET给劫持了。你可以理解如果我在QQ这个位置填的是系统工具,在FlashGet这个位置填的是病毒名或者格式化硬盘的话,后果会是多么严重。退一步说,我即使不做危险操作,只需在FlashGet这个位置填上一个没有用的值,就已经可以让系统工具没法运行了。
想必各大主流杀毒软件和防火墙软件的核心进程名都赫然在列了吧。对于明白这个原理的人来说,要进行反击只是时间的问题。我首先找到冰刃的主要文件,把它重命名位其它名字,尝试运行……弹出窗口了!OK,终于让我见到了第一缕曙光。然后快速地禁止进程创建,重复上一次的病毒清除工作……让病毒彻底退出内存。这个时候,可以认为 40% 的胜算已经掌握在我的手中了,此时要注意的是,病毒在运行时在每个系统盘下建立一个autorun.inf和病毒文件这种伎俩已经是业界公认的最基础的工作了。一旦双击系统盘符,那么恭喜你,你马上染毒了,如果你是刚重装的系统,那么再恭喜你一下,你刚才的努力已经付诸东流,赶紧再次重装吧。为了不再次中招,这里有个基本的技巧,就是右键点击选择“资源管理器”……接下来就是通过树状结构来访问目录,这样可以保证不会轻易触发到病毒文件。
回到正题。进入系统目录后,我尝试把系统文件夹中的regedit.exe(注册表编辑器)改名为regedit.com,运行……成功了,又是一缕曙光。于是迅速找到映象劫持的位置,因为现在已经是管理员身份了,所以直接删吧,狠狠地把有问题的选项都干掉!其实这一步也可以通过其它工具(例如 Autoruns 之类)来操作,这样更加安全,不怕删错东西把系统挂掉。然后是用工具sreng2来恢复受损的安全模式、删除多余的启动项、删除可疑的服务……工作都搞完后,为了防止病毒趁关机时再进行终极大反扑,我做了最关键的一步,也是一直以来感到最绝妙的一个步骤——通过硬件的重启按键强制重置电脑。关于为什么这么做,我觉得是显而易见的,因为关机是系统保存设置的时候,也是病毒发作、疯狂修改系统的时候,每次注册表的修改都要在下次启动的时候才能生效,所以如果病毒真的是在关机时再次发作,修改注册表,那么我刚才所做的操作就都是白费的,下次启动的时候同样还是会加载病毒进程。总结一下清除病毒的基本思路就是四步:清除出内存、删除罪魁祸首、恢复损坏重建启动、防止反弹。
重启系统以后再次确认系统文件夹内的病毒文件已经被删除干净并且没有被重建,确认注册表的几个敏感位置都正常,最后检查每个盘底下有没有存在可疑的autorun.inf和.exe文件,有就绝不留情!这里又得提到一个非常实用的技巧,当病毒发作破坏了显示隐藏文件选项以后,你就无法再通过资源管理器查看到隐藏文件了,而病毒往往是隐藏在明显的地方等待被触发的(放在隐秘位置的病毒根本无需实用隐藏选项,因为一般人很难把它揪出来)。面对这种情况,我推荐一个几乎所有人都会用的软件来端掉这些渣滓。主角就是WinRAR,别看它主要用来压缩文件,其实使用它就可以很容易地看到隐藏文件并删除它们,强大吧……没想到它的妙用吧。哈哈,这就提醒了我们,面对威胁的时候不要怕、不用拘泥于一两款杀毒软件和安全工具,要尽可能多地利用起身边一切可以协助的工具。
后记——强化安全意识,面对更广泛的威胁
相信很少朋友有像我这样既安装防毒软件又精心挑选一款足够强大的防火墙的吧。尽管我已经比不少人更加具有安全意识,但是日新月异的攻击策略和不断被发掘出来的安全漏洞已经确确实实地威胁到我们的数据安全。你不要以为你只是一个小小的计算机用户,黑客针对你就没有意义。我要提醒大家,即使你不通过互联网进行金钱交易和关键操作,仅仅是利用网络来获取一点点资讯、上上论坛或者看看新闻……只要你的安全意识不够充分,你随时都可能成为黑客的肉鸡、成为它们发动拒绝服务攻击的帮凶。而身处局域网的你,此刻可能在庆幸着自己身处内网的优势,免除了很多被黑客直接攻击的可能,但是你随时都会身陷于ARP病毒之中,成为破坏网络的幕后黑手而被万人唾骂。而根据最近了解到的消息,DNS系统本身所固有的漏洞已经在帮黑客获得了不错的访问量收入,简单的上网也可以被无意中连接到一个专为欺骗为设计的网站,你会不会也为贡献流量献了一分力呢?以上任何一方面都不是我们所希望见到的。为了数据的安全、为了保存好我们那点个人起码的隐私、为了在暴风骤雨的互联网海洋中架起一片宁静的港湾,推荐所有能坚持看完本文的朋友建立起属于自己的安全系统。
经历了多次攻击和防御之后,结合当今主流防御手段,我总结Windows系统下出全面保护个人终端计算机系统的安全构成,至少应该包括:
1、网络防火墙——第一道防线;
2、病毒、木马、蠕虫防护——及时阻止非法程序的破坏;
3、应用程序保护——发现并阻止危险进程;
4、注册表保护——保护系统设置;
5、文件保护——保护私密数据免于破坏。
简而言之就是:防火墙(Firewall)+杀毒软件(Antivirus)+主机入侵防御系统(HIPS.)
让我们营造一个更加安全的工作环境!
博文
