瑞星卡卡安全论坛

该用户帖子内容已被屏蔽

曾有人说过,只要你的电脑连在网上,再安全的防护,也有人能攻破(没有绝对的安全.)现在,你不在网上,只要用U盘等,也能让你中个够.(时代进步了.~)

所以说,不管你对你的电脑做了如何铜墙铁壁的防护,都只是片面的安全吧.
当然,版主的意思.我想,应该是这样:在开启尽量少的服务,打开尽量少的端口,使用尽量小的权限,尽量的能够让自已了解运行的这些程序.尽量的能够明白那些安全工具发出的那些提示,是不是可能让自已尽量少的被攻破呢?

而现在网络上的用户,我觉得能做到版主说的这一步的,可能都很少.
剩下的那些大部分人,可能用一些扫描工具,就能轻松搞定了

我做为这个论坛里的菜鸟族的一员.真心的希望版主和网警能够真正的是在做一些显而易懂的技术上的讨论,而不是说些我们看不太懂的争执.

菜鸟们需要能够让自已逐渐的去学会守护自已的电脑.
授人以鱼,何不授人以渔!

呵呵，很久没有在kaka看到这样的讨论了，幸好小聪即时通知……

tom的文章，看起来说的的确有点乱。大多数人看完之后，恐怕都会感觉不知道你想强调的是什么。
我很费力地终于在前一篇文章里找到这么一句话：“安全并不是只在安全软件上操作系统甚至应用软件都有安全问题希望大家不要忽略。”
难道这就是你要说的核心观点？如果是，那我支持这个观点。但是你的思路的确有点“千丝万缕”，我的确是看不出来你通篇说的，跟这个观点有什么直接的紧密的联系。倒是taylor说了很多关于利用系统漏洞和应用软件安全问题的例子。

还有对前一篇文章，对非固定IP用户不是黑客的目标这种说法，我也觉得不合适。taylor对此也说了一些东西，比如黑客攻占服务器后挂马，其目的就是为了让防问服务的电脑中毒，这何尝不是一种“攻击手段和方式”？！这何尝不说明黑客对非固定IP用户的电脑感兴趣？！

我想，你所说的“最小的服务……”等等，目的应该是告诉大家要养成良好的安全习惯吧，如果是，在这一点上没有分歧。但是如果说“最小的服务……”这种思想就足够了，那还是片面的，这一点taylor又指出了一些例子。

还有，看完了整篇文章后，我很难理出一个清晰的逻辑思路，反而对帖子的逻辑思维产生了一些疑问：

1.既然承认“我们需要注意系统的漏洞”，就说明很明显知道一些系统漏洞是存在于系统关键文件本身的（如MS07-017，其中的ANI漏洞是存在于user32.dll中的），是不能用“最小的服务”这样的方式来避免的。

2.既然明确了“内防火墙必须防住病毒木马，阻止其向外传送数据”，这正是taylor提倡的思想，我没有看出在这一点上你和taylor的观点有任何的冲突。

3.既然承认了用户大多数情况下是通过浏览网页等方式中毒的，而一但中了后门之类的，防火墙又防不住的话，就会成为黑客的肉鸡。那么在这样的事实面前，怎么还可以说“非固定IP地址的用户电脑不是黑客的目标”“非固定IP用户没有价值”？
正如taylor所强调，这种用户中毒的方式正是现在黑客所广泛采用的手法，这种让用户“自己撞到枪口上”的手法，难道就不能算是黑客的“攻击手段”？（可是明显我们又承认黑客是在采取这种行动）
难道只有黑客直接手工入侵你的电脑，这样才能算是“攻击”？如果是这么定义的，那么我就更怀疑这篇帖子讨论的重点了，花这么大的篇幅说明非固定IP用户不需要担心这一类型的攻击，似乎并不必要，非固定IP用户更需要担心的，正如你所说，正是黑客给存在漏洞的电脑设下的“陷阱”。

4.从小细节上：
“非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决”
一方面强调ARP攻击是没有办法绝对防御的，一方面又认为非固定IP的用户转换IP后就可以解决了，这是不是矛盾的？因为一般ADSL或局域网的用户，虽然IP是变动的，但是总是在这个网段之中，总是要通过同一个网关，在你明确强调的“无针对性的攻击，这样基本上是一个IP段上的扫描”下，变换一个同一网段的IP，还是在它的覆盖范围之内呀？！
至于有多少普通用户会遭受ARP攻击，一些高校的局域网上ARP攻击泛滥的例子是很多的，我们学校某校区一年前就是这样子的（你总不会认为我们不是“普通用户”的范畴吧？！）

总体上我感觉，你似乎是要强调一些东西，但是总是不能把它说清楚。的确大部分正确的观念你已经说出来了，但是对某些问题的表述，仍存在需要商榷之处，没有很好地把它们连成一线，反而有种“越想面面俱到，越是顾此失彼”的感觉。


归纳你们前面说的一些，大体是如此的：

1.对于一般非固定IP用户来说，黑客直接手工入侵你的电脑，这种方式已经不是最主要的威胁。用户们更需要注意的是，由于自己的电脑系统存在漏洞，导致自己通过网页浏览等其他方式而把病毒木马“请进门来”的问题，这才是普通用户电脑安全系数无法提升的重要一环。

2.一款称职的防火墙，必须能够防止住病毒木马进入电脑或者进入后正常运作外传数据。

3.用户必须建立良好的安全意识，不仅仅是“最少的服务”这样的内容，更包括在所开启的“最少服务”中，要避免因系统和应用程序漏洞所带来的问题。

个人觉得，大家说了这么多，对于个人用户安全的建议，其实还是不超出以下这段“老调”：

打全系统和应用程序补丁，谨慎使用盗版软件。不上可能有危险的网站，不下载运行可能有危险的程序（这不就是所谓“最少服务”？！）。为电脑配置合适的安全软件（至少怎么样才叫合适，的确是见仁见智，根据个人的实际情况，不能一概而论）。学习基本的电脑安全常识（做到即使当你面临了威胁时，也不会六神无主，至少你知道怎么做会有益于解决问题）。

对于基本电脑安全常识，再罗嗦一句：就像生活中的“防火安全宣传月”等一样，难道“电脑使用安全宣传”就不需要吗？或者说，用电脑的大家，难道觉得学会如何避免火灾不难，而学会最基本的避免电脑中毒的知识就这么难？！

最后多谢tom和taylor的发帖和回复，卡卡社区反病毒论坛真的很久没有正儿八经地用这样的篇辐这样热烈地来讨论有关这方面的问题了。

思路确实会有一些问题，因为都是一些自己的凌乱的思绪组成的文字。但是这帖子的核心都是在攻击的者调度考虑防火墙及个人桌面安全的问题。

有关防火墙的问题，大家几乎还是没有明白他的理念和作用，面对浏览器漏洞以及下载包的木马防火墙是没有办法防御的，因为这已经超出防火墙的职责范围。而黑客注入攻击是防火墙要面对的，但是这种情况就像我说的那样机率很少

关于断网更换IP的问题，实际情况扫描器基本不会在一个IP断上进行反复的重复扫描.所以理上上是不可理解的问题，在显示确用最简单的方法就可以解决！

对我帖子有意见的朋友我 都虚心都听取，但是大家基本都是在理论上针对我的想法，问题是这些现时操作性呢？我的思路都是用可以在普通用户付出实现的，而且最主要的思路还是大家基本都是理论对理论，但是请贴近显现因为我的理论基础都是出自现时，大家可以分析一下自己朋友，同事，家人现时的网络情况安全，到底是什么！而且一个对普通用户可以实施解决方案是什么。

我举个例子理论上安装HIPS后系统就不会有任何安全上的问题，因为所有的非授权非规则设置。没有手动确认的情况下都是不执行的，但是问题现时中还是有技术可以突破！更重要的是现时用户基本都是把HIPS设置成学习模式或依靠内置规则保护，因为对于普通用户来说提示信息太专业了。即使是我们对计算机稍有了解的用户，在安装HIPS后在安装软件的 时候有几个人能只安装软件而软件捆绑的插件用HIPS阻止安装呢？
这基本就可以从一个侧面体现理论与现时的差距。

拒绝所有，是防火墙核心规则。而且这个点并不是大家字面上的所理解，大家有兴趣PHANT0M编写的LNS中的规则。

最后这2贴的讨论我都提及了我的浏览器安全理念，可惜几乎没有人去找，去看看.大家争论都仅仅只是停留在理论层面上。但是这些没有实际解决方案的，对普通用户几乎没有意义

大家说了那么多，我不知说点，会不会.......................

呵呵！！！！！

都有个问题，你们说的也只给类似你们这样的所谓的会家看咯。

在我所知的，到这里求助或临时参观的看客里，能理解你们所说的，少之又少，就连火影都是看了一遍，说了一些，然后觉得不行，又跑来修改了，嘿嘿！！！

这意味着你们这样的讨论，起点高了点，应该在以后的讨论中，说点简单的词汇，易懂的。

不然，大家只是看你们讨论好玩、有趣而已。对他们没什么帮助的。

尤其是从你们所说的内容看来，有一个主体。

1、就是新系统上网，只浏览网页，怎会中毒。

2、中过毒处理清了，上网浏览网页，怎又中了。

这才是来这的求助和参观一小会的人，最关心的。

如果你们在以后发这类讨论贴，不能从他们最关心得地方入手，不能用简单的语言让他们明白，还不如你们自己私下讨论呢。

可别都气哦。

我可说真的，没别的意思，只想让你们的知识能更好的帮助，来这求助的。

为什么“盖茨”捣鼓出视窗系统，就是因为过去的那些电脑操作，过于复杂和不能为广大用户所理解和熟练的，开发出的现在的这些个Windows系统，界面和操作简单多了，也为用户所接受。

呵呵！！！！

你们如果说的大家都不能很快理解。

这.........

这就只是你们自己的讨论了。

引用:

【tom2000的贴子】思路确实会有一些问题，因为都是一些自己的凌乱的思绪组成的文字。但是这帖子的核心都是在攻击的者调度考虑防火墙及个人桌面安全的问题。 有关防火墙的问题，大家几乎还是没有明白他的理念和作用，面对浏览器漏洞以及下载包的木马防火墙是没有办法防御的，因为这已经超出防火墙的职责范围。而黑客注入攻击是防火墙要面对的，但是这种情况就像我说的那样机率很少 关于断网更换IP的问题，实际情况扫描器基本不会在一个IP断上进行反复的重复扫描.所以理上上是不可理解的问题，在显示确用最简单的方法就可以解决！ 对我帖子有意见的朋友我 都虚心都听取，但是大家基本都是在理论上针对我的想法，问题是这些现时操作性呢？我的思路都是用可以在普通用户付出实现的，而且最主要的思路还是大家基本都是理论对理论，但是请贴近显现因为我的理论基础都是出自现时，大家可以分析一下自己朋友，同事，家人现时的网络情况安全，到底是什么！而且一个对普通用户可以实施解决方案是什么。 我举个例子理论上安装HIPS后系统就不会有任何安全上的问题，因为所有的非授权非规则设置。没有手动确认的情况下都是不执行的，但是问题现时中还是有技术可以突破！更重要的是现时用户基本都是把HIPS设置成学习模式或依靠内置规则保护，因为对于普通用户来说提示信息太专业了。即使是我们对计算机稍有了解的用户，在安装HIPS后在安装软件的 时候有几个人能只安装软件而软件捆绑的插件用HIPS阻止安装呢？ 这基本就可以从一个侧面体现理论与现时的差距。 拒绝所有，是防火墙核心规则。而且这个点并不是大家字面上的所理解，大家有兴趣PHANT0M编写的LNS中的规则。 最后这2贴的讨论我都提及了我的浏览器安全理念，可惜几乎没有人去找，去看看.大家争论都仅仅只是停留在理论层面上。但是这些没有实际解决方案的，对普通用户几乎没有意义 ………………

浏览器的漏洞也好,通过漏洞下载木马也罢.这些数据从哪里来? 从网络上来!!!

经过什么? 经过防火墙!!!

对于在01/02年的端口强制关闭防火墙的确比较难以防御此类漏洞以及漏洞利用程序

但是随着特征过滤的防火墙的推出,此类漏洞以及漏洞所利用的木马完全可以被特征过滤掉.

这也就是 为什么规则用户几乎不会中网页木马的原因.

时代是发展的,如果观念停留在01-02年的时代看现在的问题.你永远看不明白.


扫描网段的事情,我说的很明白了,自03年以后此类扫描很少见了.现有网络上流传的自动攻击/扫描主要是netbot/worm以及其他自动传播的东西.
回退到03年以前,网段扫描更换IP 根本是无用的原因如下

1 更换IP,基本不可能跳出 你城市所在的IP段

2 相同的IP段中 黑客并不止一个啊,你扫描了,放弃了,其他黑客呢?
这么简单的道理,为什么不会换一个角度去考虑呢?
----------------------------------
网络安全对于 安全人员是复杂的.需要一大堆的分析和演算.其工作强度是很高的.
但是对于普通用户,所作的一切是什么?

1 每个月的补丁

2 挑选一款杀毒软件并予以安装.
3 挑选一款防火墙并予以安装
4 及时升级

5 对于规则用户 多一个关注规则更新

以上所作的一切 都是绝大部分都只需要点击 下一步 直至完成.

根本不需要动脑子.

良好的安全习惯  还有不看 不明的网站,这些都不难做到啊.

所以我说过 对于用户而言 网络安全根本不复杂.对于网络安全人员而言网络安全非常复杂.
复杂的部分由专业人员做,用户只用 加载成品就成了.

就从这里的发贴求助的系统中，可以看出，大多中毒的，是通过浏览网页中的。

我知道会有人立即说：“不对，也有不少是通过移动存储设备中的毒。”

呵呵！！！

别急，那移动存储设备里的毒哪来的呢？

绝大多数，还不是在另一个浏览网页中毒的电脑上感染的嘛！！！

源头，绝大多数还是聚拢在浏览网页。

被人为故意黑了的，有！！

不是大多数哦。

因为真如你们所说的，黑一个系统必须是固定的IP才好黑，或黑一个没有任何防护的开放的系统。

这不是大多数的。

真正要强调的是，浏览网页中毒！！！！！

重中之重哦。

很多网页只含恶意代码，利用的是网页的脚本或任何网页中可以在点击网页后自动运行的任何口令来执行，这是现今的任何单机方法，不能完全阻止的，例如一个动画的图，在用户点击网页以后，这个动画动起来的口令都可能成为黑客挂恶意代码的专营方向。

想阻止这些漏洞，除非你不上网浏览网页。

现在的毒，大多是为了利益，下载木马才是最主要的，现在的杀软大多能干掉好多木马，这就迫使作恶的人必须想法，现在大多这样，一股脑塞进很多东西，其中只夹少量新变种的木马，大多用户是只依赖杀软的，无法彻底清除木马，导致很多网民利益损失。

那么这越来越多的木马怎么下来的，这也是很多求助的贴里常喊的、常问的、常骂的。

呵呵！！

这就得说说漏洞了，网页一旦放有恶意代码，有相应漏洞的系统使用者在点击网页后，系统将执行其恶意代码，大多是简单的去恶意代码指定的地址下载大量的木马病毒。并在下载后执行运行指令。

这一套下来，系统就哈哈了..............

我们真正应该关心的，就是怎样阻止这些，现在看来，打补丁和
上防火墙监控欲连接网络的东西，上一些能监控进程运行的小软件，例如一些具有主动防御的软件。都是必须的。

至于怎么做，这就得各位会家，各位版主们出出主意啦。


本人很菜啦，没大主意咯。

能说一下什么防火墙有你说的功能吗？我可以实验一下吗？其次特征过滤防火墙都是抓封包，这不能直接过滤木马，防火墙就是管理和控制。它不可能对木马进行所谓的识别！如果有请告诉我，我马上进行测试实验。而关于漏洞攻击则基本上是已知漏洞的防范，这个几乎没有再讨论的必要

前面已经用了大量的篇幅说用户面对安全威胁，是几乎无法防御的。但是解决方案又没有一个明确的配置。用这样的配置去抵御前文的 攻击是什么效果？

分析了个人用户安全日志了吗？结果是什么？再今天有多少用户仍然再 被反复的扫描所困扰。请不要再死包理论的东西，回到现时吧！

还是我说的我们的处在一个很尴尬的位置，一方面面对不断增场的 安全威胁，我们不断的更新的自己的知识。但是实际上我 的理论和现时是脱节的，又回到我们的话题我们用很多高深的安全攻击理念，以及防御理念，但是涉及到实际防御手段我们却仍旧停留现有的方法上，所以直扣主题。“有关个人桌面安全我们走错了路！”

还有有时间不要只针对我的文字内容，可以看看我 发浏览器安全的帖子，也许这样会有一个新的思路：）

引用:

【tom2000的贴子】能说一下什么防火墙有你说的功能吗？我可以实验一下吗？其次特征过滤防火墙都是抓封包，这不能直接过滤木马，防火墙就是管理和控制。它不可能对木马进行所谓的识别！如果有请告诉我，我马上进行测试实验。 前面已经用了大量的篇幅说用户面对安全威胁，是几乎无法防御的。但是解决方案又没有一个明确的配置。用这样的配置去抵御前文的 攻击是什么效果？ 分析了个人用户安全日志了吗？结果是什么 还是我说的我们的处在一个很尴尬的位置，一方面面对不断增场的 安全威胁，我们不断的更新的自己的知识。但是实际上我 的理论和现时是脱节的，又回到我们的话题我们用很多高深的安全攻击理念，以及防御理念，但是涉及到实际防御手段我们却仍旧停留现有的方法上，所以直扣主题。“有关个人桌面安全我们走错了路！” 还有有时间不要只针对我的文字内容，可以看看我 发浏览器安全的帖子，也许这样会有一个新的思路：） ………………

软件防火墙 装在哪里?

装在系统上!!!

当防火墙启动的时候要进入哪里?

内存!!!

好了,如果通过规则执行 行为特征静态扫描,所有的问题都解决了.

当然 遇到无法防御的威胁 特征码需要更新.


软墙和硬墙不一样.软墙驻留系统内存,而硬墙不可以(硬墙是独立的 硬件/OS)


所以 防火墙仅仅控制/管理以及特征过滤的墙仅仅抓封包,这是 很早以前的事情了.

测试随你做,但是前提有这么几点

1 瑞星防火墙必须是正版. 规则是最新规则下载地址看偶的签名

2 系统必须保证为原版,任何修改/精简/美化的版本 测试都不准确

3 系统不能装有或者曾经装过HIPS/还原类软件(比如还原精灵)此类软件会破坏系统低层

4 所谓leaktest 的测试软件 规则均视为无害,不予拦截


另外附 一段 其他人做的 运行 威金后 仅仅使用瑞星防火墙+ 规则阻断 威金感染 EXE 的录像 比较早了

偶一直没放出来, 对方用的是深度精简版 用原版 效果会更好.
下载地址
http://fanrong.cc715.com/taylor/luxiang.rar

恩！同意

其实讨论这么多，还不如用实验来证明：
找两台相同配置的机子，
安装相同的正版XP系统，相同应用程序，打齐补丁
安装全套瑞星，
区别是一台安装规则包。
然后在别的机子上用各种手段攻击这两台机器，
看一下实验结果。


俺一直想这么实验一下，可惜没条件。

引用:

【taylor05771的贴子】 2 系统必须保证为原版,任何修改/精简/美化的版本 测试都不准确 ………………

单就这个限制来说，已经失去测试的意义！

为什么？因为我敢说，超过80％的操作系统就是修改/精简/美化的版本！不信你去实际调查一下.........这正是理论跟实际的区别........


另外TOM2000所提的窗口防御是指这张帖子：<<2007个人计算计安全配置手册BATE1.5-IE窗口防御 07－3－22>>,http://forum.ikaka.com/topic.asp?board=28&artid=8285922
我本人暂不做评论.........

现在找原版操作系统应该不难，
最次用个**政府版的也可以吧；
非要用那些有问题的版本，还谈什么安全？

引用:

【天山雪狐的贴子】现在找原版操作系统应该不难， 最次用个**政府版的也可以吧； 非要用那些有问题的版本，还谈什么安全？ ………………

原版不难找，但是更多的普通用户使用的就是这些版本。
假如对于网络安全人员，光谈技术层面的话，当然原版啦，正版FPP版可能更好呢。但是问题是，假如我们要针对于普通用户给出解决方案，能够绕开这个问题吗？
要知道，你不可能指望全国人民都换成原版........

所以，TOM2000有一点是对的，理论跟实际，如何解决他们的矛盾.........当然，其它观点我还暂时不敢妄做评论，还是留待高手们的对话吧。

用番茄花园、电脑公司ghost版、精简版的，
对于新手是不懂，对于老鸟是图省事。
没有安全意识。

即使这样，安装规则包也比不装安全；
有条件的也可以用上面的办法做个实验啊。

引用:

【horseluke11的贴子】 单就这个限制来说，已经失去测试的意义！ 为什么？因为我敢说，超过80％的操作系统就是修改/精简/美化的版本！不信你去实际调查一下.........这正是理论跟实际的区别........ 另外TOM2000所提的窗口防御是指这张帖子：<<2007个人计算计安全配置手册BATE1.5-IE窗口防御 07－3－22>>,http://forum.ikaka.com/topic.asp?board=28&artid=8285922 我本人暂不做评论......... ………………

任何安全软件 运行在 修改/精简/美化的版本的系统上面 都是不能100%发挥的
这也就是为什么某些人装了卡巴会出现假死的现象,而有些人就不会.
区别在于系统


微软每月的补丁 都是基于原版的系统.对于修改/精简/美化的版本的系统修补漏洞的区别效果还是比较明显的.也就是曾经在魔波肆虐的时候,卡卡会出现 有人打了补丁却依旧中招的现象.


用户的系统选择权在用户好比 吸烟有害健康,是否吸烟 选择权依旧在你的手中.


作为测试 来说 必须有一个标准,当然要选择原版的系统.修改/精简/美化的版本可能会出现意外的现象.

好比在某些修改/精简/美化的版本 安装卡巴会有假死的现象,你说这是卡巴的错么?显然不是.
修改/精简/美化的版本的系统在加载安全软件不是没用,而是效果比不上原版系统,这点要区别开来!!!

----------------------------------

对于窗口防御的帖子,我原先没看见,现在看见了我还是要说.

1 抛开 虚拟IE 对系统低层的影响不说,此类非虚拟硬件 在I/O端口 写代码就废了.也就是说 前段时间 有人说影子被穿透了 道理是一样的.玩毒的碰上sandboxie 被穿透是常事.为何 几乎没听说 VPC虚拟机被穿透? 区别在于 虚拟机是虚拟硬件 而影子之类是虚拟磁盘.


2 对于LinkScanner 仅仅局限在部分搜索引擎.甚至baidu也不支持.

3 对于反钓鱼插件我要说的是,MSR Strider URL Tracer 碰上一个新的钓鱼网址呢?Generate types for 就没用了.

4 随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外)


最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了.


在加上一大堆的窗口防御的软件,其易用性又有多少??又有多少用户懂得英文?

学习

也去看了窗口防御的文章。taylor已经说了很多了，我觉得还有一点：
进行更为全面的窗口防御就要依靠非IE核心的浏览器。
我觉得这样说不完全正确。我也可以说“要拒绝病毒更为全面的措施就是放弃Windows系统”。
Firefox、Opera等非IE内核浏览器，的确不会受IE漏洞的影响。但这也只是因为人家针对IE漏洞而已。至于非IE而完全是系统的漏洞如ANI漏洞，之所以Opera不受影响，不是因为没漏洞，而是因为Opera不支持动态设置鼠标光标图案的代码！也就是说，恶意的畸形图片文件不会发作，正常的鼠标动态光标也不能设置。
Firefox和Opera等非IE内核浏览器，对网页各种各样的代码的支持，都不如IE这样全面。所以当我们用非IE内核浏览器的时候，其实是在牺牲功能而希望因此少一点被威胁的可能。更何况非IE内核浏览器不是没漏洞。甚至有利用它们处理javascript上的弱点，利用一个特殊的网页就可以让Firefox出错崩溃的例子。

如果的确是抱着不惜牺牲功能而确保安全的思想，那么有一种方法更彻底，那就是注销WSH脚本宿主，这样大多数恶意脚本皆不能起作用了。

当然，对于普通用户来说（这里特指那些根本不打系统补丁的用户），为了避免电脑中存在的漏洞的影响，当然非IE浏览器是一个选择。但是，不能认为放着漏洞不补而换非IE浏览器，以牺牲某些功能为代价，就是根本的解决措施。打全漏洞补丁，又有一定安全设置的IE浏览器，一般其安全性能其实并不会比非IE浏览器差到哪里去（有人说，这样有恶意代码杀软还是会报毒，而用非IE的就不会，回答是，无论报不报毒，你的相应漏洞补上了，恶意代码根本就不能得逞）。当然，除非有0day的漏洞被大量利用，这时需要暂时使用非IE浏览器，或配合其他安全软件（如杀软查杀利用ANI漏洞的畸形文件）。

所以，并不是说非IE浏览器不需要，但是用非IE浏览器广泛代替IE浏览器，既不现实也不必要。

首先我提出的概念是一个可以实行的方法，在任何人没有亲自体会就妄加评论是否不妥，而且面对以上种种理论上的东西我最少给出老 一个解决方案，而不是把更高级别的安全方案交给“专业人士”了事

其次我在文中已经强调，IE本身的限制很多，有关IE的窗口防御只是针对多数IE用户，而有效的防御方法要看非IE的设置，只是该贴关注程度让我极其失望没有更新下去......

1关于沙盘的软件的问题，多数破坏都是用户自身误操作引起的。而且关于**的穿透我也看了，但是那是一次在黑客攻击条件下完成的吗？那时在能对机器有物理接触并且在管理员条件下完成的。这根本就不能体现现时，因为在这种条件下根本就没有什么安全可言因为权限全给你了。而且关于浏览器沙盘你在没有测试的情况下一些都是主观推断。

搜索安全指示器不只LinkScanner一个，也不是没有对BAIDU可以的支持的东西，单说不支持BAIDU 来否认不是很可笑吗？其次搜索安全指示器有其片面性，但是用户面对搜索引擎的列出的网址后，指示器会有一个很直观的指示，并且会列出为什么提示安全或不安全的理由。你还是没有使用就说.....

钓鱼前期是很难预防的，至少世界还没有一种有效提前规避的方法。对IE用户来说只有MSR Strider URL Tracer 的数据更新进行辅助，非IE用户的方法就多了像MSR Strider URL Tracer 之外还有拼写放大提示，网页服务器信息提示等方法预防，只是对于普通用户来说还是认真检查拼写不连接地址和MSR Strider URL Tracer 简单有效。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－引用
随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外)


最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
窗口防御和漏洞以及网页好想没有关系吧
而且窗口防御本身不信任任何网页，即使是以前浏览的网页现在被攻陷了浏览器沙盘仍就还是在黑盒模式下不影响安全。其次钓鱼本身就是后发安全策略这没有什么追究的必要，而安全指示器是在实时更新而且它的作用就是安全参考的用途。

还有说说我测试墙和规则吧，目前测试时间还是不长但是对木马DLL渗透根本就没有保护这不是一个遗憾吗？这不是规则就可以解决的而是防火墙本身一些问题。

在说说小聪
首先非IE是完全支持标注的网页代码的，指示很多网页都因为对IE加一些其它代码而已，而且目前非IE也不是没有解决的方法。
其它说到漏洞代码确实是这样任何东西都有漏洞，但是还请看我的帖子并且主要浏览器黑盒的问题，都在说0DAY，但是黑盒的原理是什么？

而且一个网页可以针对不同的浏览器都注入漏洞代码？这样的网页有多少人见过？而且这还是没有用我的方案的臆测。所以请用过之后在说好吗？

我有一个疑问：
Geswall这样的浏览器沙盘，木马在其中运行的话，的确不是直接对真实的系统做操作，但是反馈给木马的信息还是属于真实系统的信息对不？
也就是说，木马还是可以得到用户保存在系统里的隐私数据。
然后，木马是否可以像在正常系统中运作一样，把这个隐私数据发送出去？（沙盘不可能把用户与网络的界面交互都阻止，否则用户就没法进行登陆邮箱等操作了）
如果可以，那木马已经达到它的目的了。即使你一关闭沙盘，木马就不再运行了，木马没有真正地感染你的系统，但是这一切都已经不重要了。


这同样也就是我个人不提倡把装影子系统看成是免疫病毒的法宝的原因。shadow模式下重启一下，木马是没了，但是在木马运行在shadow模式的过程中，它很可能已经得到了你的隐私信息并发送出去了，这样你的实质损失还是已经付出了。因为木马的真正目的不是为了感染系统，而是为了获取隐私信息，只要这个目的达到了，木马就完成了它的使命了。

引用:

【tom2000的贴子】首先我提出的概念是一个可以实行的方法，在任何人没有亲自体会就妄加评论是否不妥，而且面对以上种种理论上的东西我最少给出老 一个解决方案，而不是把更高级别的安全方案交给“专业人士”了事 其次我在文中已经强调，IE本身的限制很多，有关IE的窗口防御只是针对多数IE用户，而有效的防御方法要看非IE的设置，只是该贴关注程度让我极其失望没有更新下去...... 1关于沙盘的软件的问题，多数破坏都是用户自身误操作引起的。而且关于**的穿透我也看了，但是那是一次在黑客攻击条件下完成的吗？那时在能对机器有物理接触并且在管理员条件下完成的。这根本就不能体现现时，因为在这种条件下根本就没有什么安全可言因为权限全给你了。而且关于浏览器沙盘你在没有测试的情况下一些都是主观推断。 搜索安全指示器不只LinkScanner一个，也不是没有对BAIDU可以的支持的东西，单说不支持BAIDU 来否认不是很可笑吗？其次搜索安全指示器有其片面性，但是用户面对搜索引擎的列出的网址后，指示器会有一个很直观的指示，并且会列出为什么提示安全或不安全的理由。你还是没有使用就说..... 钓鱼前期是很难预防的，至少世界还没有一种有效提前规避的方法。对IE用户来说只有MSR Strider URL Tracer 的数据更新进行辅助，非IE用户的方法就多了像MSR Strider URL Tracer 之外还有拼写放大提示，网页服务器信息提示等方法预防，只是对于普通用户来说还是认真检查拼写不连接地址和MSR Strider URL Tracer 简单有效。 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－引用 随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外) 最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了. －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 窗口防御和漏洞以及网页好想没有关系吧 而且窗口防御本身不信任任何网页，即使是以前浏览的网页现在被攻陷了浏览器沙盘仍就还是在黑盒模式下不影响安全。其次钓鱼本身就是后发安全策略这没有什么追究的必要，而安全指示器是在实时更新而且它的作用就是安全参考的用途。 还有说说我测试墙和规则吧，目前测试时间还是不长但是对木马DLL渗透根本就没有保护这不是一个遗憾吗？这不是规则就可以解决的而是防火墙本身一些问题。 在说说小聪 首先非IE是完全支持标注的网页代码的，指示很多网页都因为对IE加一些其它代码而已，而且目前非IE也不是没有解决的方法。 其它说到漏洞代码确实是这样任何东西都有漏洞，但是还请看我的帖子并且主要浏览器黑盒的问题，都在说0DAY，但是黑盒的原理是什么？ 而且一个网页可以针对不同的浏览器都注入漏洞代码？这样的网页有多少人见过？而且这还是没有用我的方案的臆测。所以请用过之后在说好吗？ ………………

1 请搞明白 什么是虚拟磁盘 什么是虚拟硬件  什么是I/O端口写代码 再来说好么?


2 抛开 搜索安全指示器 使用局限不说,用户通过论坛 QQ  MSN 网站的友情链接 获取的链接呢? 很遗憾 搜索安全指示器根本无效.

3 反钓鱼功能 IE7 有 firefox 也有.浏览器本身都有了 还有装 插件的必要么? 很明显没有任何意义!!

窗口防御和漏洞以及网页 有什么关系?
碰上挂马的网页 不属于 窗口防御的范畴???  那你那个窗口防御帖子里面提 虚拟IE干啥??
------------------------------

防火墙 DLL 渗透,防火墙规则 在内存中就可以中断其行为.这是表象看不到的.测试就看表象你这个测试可以 不做了.

另外 DLL文件生成  注册表写入等 这是杀毒软件的范畴了吧

作为一个安全人员 应该区分 杀毒软件和防火墙的区别吧


----------------------------
任何浏览器都有着高危漏洞,这是不争的事实.即使firefox 这些号称安全的浏览器,其补丁又有多少呢?

IE浏览器和非IE浏览器 利用的区别 很简单 就像 linux病毒 和windows病毒一样.谁都跑不掉 都有针对的办法.

给你贴张图吧 针对firefox 的 exp 以及shellcode(仅仅是 部分)


把 安全寄托在非IE浏览器上 不如寄托在 停电 身上 更切实际

附件: 2434252007514144744.jpg

首先指向文件都在一个虚拟的文件中。这些都不涉及系统的问题，小聪的其它疑问可以看软件说明，上面很详细

我觉的要是在这样争论下来已经没有必要的了，因为你不是针对我整个问题而是仅仅指示准对一点，其它全然不顾

1 请搞明白 什么是虚拟磁盘 什么是虚拟硬件 什么是I/O端口写代码 再来说好么?


这一切的前提是权限，你在攻击状况下如何完成以上这些？防火墙穿透，杀毒软件，权限提升，以及其它。

2 抛开 搜索安全指示器 使用局限不说,用户通过论坛 QQ MSN 网站的友情链接 获取的链接呢? 很遗憾 搜索安全指示器根本无效.

这个和我 说的搜索引擎安全指示有关系吗？现在有 什么方法能告诉用户所有连接的安全性！不要用不可能去和我争论好吗？

3 反钓鱼功能 IE7 有 firefox 也有.浏览器本身都有了 还有装 插件的必要么? 很明显没有任何意义!!
首先写之前IE7还没有出来，其次IE7也不过是改进在说有几个用户开着？你开了吗？而且我已经强调对钓鱼没有一个提前防御的方法只能是事后防御！

窗口防御和漏洞以及网页 有什么关系?
碰上挂马的网页 不属于 窗口防御的范畴??? 那你那个窗口防御帖子里面提 虚拟IE干啥??
网页是网络上，我的窗口防御是 用户自己机器上有关系吗？在说明白点网页是用户不能左右的但是窗口是用户可以做的！

FF的 漏洞是有！但问题是，有几个人能利用！看看我们全中国的网站有几个是在利用FF漏洞的？还是那句话，都只是和我在一个问题上一点进行不休止的争论有意义，而且此时就抛弃一切现时情况？着还有必要吗？

关于DLL的问题则更没有必要说看看你上面自己的回复吧！

我想最终还是那句话，必须得彻底由用户控制所有要运行的东西。



如果我们不能彻底控制要运行的任何东西，浏览网页时，就不能更好的防护自己。


例如熊猫病毒在运行时，能控制不允许运行，就不会搞出那多事情。


不过缺点是，没有多少上网的能懂得这些提示。

汗.................

再好的方法，没人懂，唉....................

发现霏凡的moonforest写过关于Geswall的文章：
http://hi.baidu.com/moonforest/blog/item/1c218150a7173d6285352494.html
看了之后，发现Geswall还是rule-based的，其实也就是HIPS的样子，不过对注册表和文件操作多了重定向这个选择（这个倒有点像sandbox了，但是moonforest坚称它不是sandbox），还有不像其他HIPS那样弹出那么多提示（因为设置方式不太一样）。
我想本质上还是HOOK了N多的API来达到目的吧。

而且还是需要规则的，对一些问题的防范也需要用户自己添加规则。
所以不知道易用性方面会不会有问题（还是回到那句话，你会不会用它了……）。

还有，正因为其实还是通过HOOK了API，通过规则和重定向来实现，那么会不会影响速度（又提到sandbox，在sandbox里运行的软件速度肯定多多少少慢于正常系统）？

sandbox的应用，轩辕小聪 自己用吗？

呵呵！！！

引用:

【tom2000的贴子】首先指向文件都在一个虚拟的文件中。这些都不涉及系统的问题，小聪的其它疑问可以看软件说明，上面很详细 我觉的要是在这样争论下来已经没有必要的了，因为你不是针对我整个问题而是仅仅指示准对一点，其它全然不顾 1 请搞明白 什么是虚拟磁盘 什么是虚拟硬件 什么是I/O端口写代码 再来说好么? 这一切的前提是权限，你在攻击状况下如何完成以上这些？防火墙穿透，杀毒软件，权限提升，以及其它。 2 抛开 搜索安全指示器 使用局限不说,用户通过论坛 QQ MSN 网站的友情链接 获取的链接呢? 很遗憾 搜索安全指示器根本无效. 这个和我 说的搜索引擎安全指示有关系吗？现在有 什么方法能告诉用户所有连接的安全性！不要用不可能去和我争论好吗？ 3 反钓鱼功能 IE7 有 firefox 也有.浏览器本身都有了 还有装 插件的必要么? 很明显没有任何意义!! 首先写之前IE7还没有出来，其次IE7也不过是改进在说有几个用户开着？你开了吗？而且我已经强调对钓鱼没有一个提前防御的方法只能是事后防御！ 窗口防御和漏洞以及网页 有什么关系? 碰上挂马的网页 不属于 窗口防御的范畴??? 那你那个窗口防御帖子里面提 虚拟IE干啥?? 网页是网络上，我的窗口防御是 用户自己机器上有关系吗？在说明白点网页是用户不能左右的但是窗口是用户可以做的！ FF的 漏洞是有！但问题是，有几个人能利用！看看我们全中国的网站有几个是在利用FF漏洞的？还是那句话，都只是和我在一个问题上一点进行不休止的争论有意义，而且此时就抛弃一切现时情况？着还有必要吗？ 关于DLL的问题则更没有必要说看看你上面自己的回复吧！ ………………

1 怎么完成?
我前面说的 很明白了不理解 没关系 我换种方式说

当你 访问 挂马网页的时候 没有补丁 是不是最终下载一个Exe 最后执行它

导致中招?

好

然后你说 你的 虚拟IE 将这一切 在一个虚拟文件中执行  重启后一切都消失了

但是很遗憾地 告诉你

当IE 执行 这个 利用I/O端口 写代码方式 的 EXE 虚拟软件被穿透了,换种说法 就是这个EXE 不再在 虚拟文件中执行 而是泄漏到你的 真实主机去了!!!!

所以叫你 去学习 I/O 端口写代码 以及 虚拟磁盘 虚拟硬件

很可惜 你根本没有理解!!!!

2 链接安全不安全根本是没有意义的.因为以利用 MS06-014 漏洞的网页为例 网址可以无数变化 而链接也存在无数可能.但是 不变的是这个漏洞.处理好这个漏洞就可以了.怎么处理??
补丁!!
防火墙!!!

做安全 掌握的是 不变的东西

检测 链接 和  那些 文件名查毒的软件 本质是一样的.也是可笑的!!!

3  我怀疑你装过IE7么? IE7 反钓鱼 默认是开启的.如果人们连IE自带的反钓鱼都不开启 还会去装第三方的插件 而且还是E文的???


4 窗口防御 不谈网页 不谈网络 你还防御什么???  你以为还是286的时代?  大家都是单机???


5 FF浏览器的漏洞,刚才的截图 相关连接点击进去就是代码了  IE的 漏洞也是这么来的.

接下去 只要编译 就好了
就这么简单!!!!

利用 FF的漏洞网页虽少  但是 FF浏览器的 比例又有多少????
何况 FF浏览器 更新免费 IE 更新 要麻烦得多(盗版原因)!!!

如果作为安全人员 把 眼光仅仅放在中国 放在国内 是不是太看不起美国 等发达国家了????

DLL的 问题 你当然不回答了,因为你根本不知道 什么叫内存阻断!!!

和你讨论技术真的很没意思. 你的观念太陈旧了,而且根本没有学习新的理念的可能!

能力有限！~~~- -!
看不明白！~~~- -!

我说的吧！！！

又一个不明白的。

所以别讨论了。

说说你们怎么对付浏览网页阻止异常东西的运行，才是他们关心的，还不能说太难懂的。

不要说用户不可能遇到这样的攻击，即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担，“呀！有人攻击我”之外有什么意义？

瑞星就是利用这点哄用户掏腰包买他的安全软件的。声、光、电一起来，吓得用户神经兮兮，以为就要被人攻进来了。相比之下，你看人家Tiny或Z-A!最多在日志你悄悄记一笔而已，绝不会象瑞星声光电一起探出来吓用户。