瑞星卡卡安全论坛

2010年2月8日[计算机安全防范艺术]-讲义

讲师：TOM2000

本次课程答疑时间：2010年2月8日（周一）14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

计算机安全防范艺术讲义:http://bbs.ikaka.com/showtopic-8650787.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.2; MAXTHON 2.0)

占座哦 今天第一个 贼高兴了:kaka12: :kaka12:

恩 终于能在前排就座了 呵呵  还好现在还没去睡。。。。恩
先看看再去睡觉

暂时没什么问题，学习了，不过弱弱滴问下HIPS对于个人电脑来说有必要吗？

提问：
1.我和 随缘92WJC同学讨论时，他提到一点：“使用了火狐是否就能避免这些漏洞被攻击呢？当然不是，因为IE还存在于计算机内，用户并没有通过添加删除WIN功能将其取消”，一个程序既不运行也不联网，那他的漏洞还能被利用吗？这点我很疑惑。
2.卡卡助手在漏洞补丁上和微软是同步的吗？单从打补丁的方面上讲，卡卡助手是否能准确的检测出计算机上需要那些补丁？卡卡关于第三方软件漏洞的补丁来自哪里？是各家第三方软件商吗？
3.我个人对普通用户的计算机安全是这样理解的：  做好入口防御：即注意上网和可移动存贮设备，局域网还要防arp,不要随意安装来路不明的软件，软件尽量从官方或者名气大的下载站下载，使用一款用着顺手的安全软件等，    其实也就这么多，安防其实也很简单……但实际中由于普通用户的安全知识和意识太低，所以往往达不到防御效果，而防御级别较高的软件普通用户用起来又掌握不了。所以这实在是个矛盾的问题，我在处理一些同学的电脑问题时也很苦恼：告诉他们注意什么更本就不往心里去……    对我的观点老师是怎么认为的？或者老师有什么需要告诫我的吗？
4.现在的安全软件发展方向之一是智能化，这里我有个问题：比如行为分析，有时有的正规软件也会有不安全的行为动作，安全厂商为了防止误杀就会加入白名单，对这些动作不再拦截，那这样会不会有隐患呢？
问题发重复了……:kaka6:老师的回复在44楼

哈哈，昨天就吧讲义看完聊~嘎嘎:kaka12:
一会来提问~

请问老师：如果计算机所装的杀毒软件已经自带防火墙了，再安装一款其他的防火墙会导致计算机出现问题吗？我去年就是多装了一款防火墙，导致电脑不能上网，后来只能重装系统:kaka4:

提问：
讲义中说微软漏洞补丁未发布前代码已经满天飞，IE内核的浏览器可能会被不法者通过漏洞进行攻击，故而推荐第三方非IE内核的浏览器代替IE以及使用IE内核的第三方浏览器。
范围扩大点，不仅仅是IE，包括其他方面的漏洞，即使使用非官方内核的第三方软件，也不能保证安全吧？
文中开头也提到2007年开始WINDOWS的漏洞越来越少，故而很多黑客转移到第三方软件中存在的漏洞

所以，我认为某些软件应当还是使用微软官方的软件，某些可以利用微软内核的第三方，比如IE可以用世界之窗、火狐来代替
这样是否对系统来说相对稳定些，毕竟有些组建再怎么不用，都是系统自带的，比如IE、画图工具等？

恩？以前的帖子里没有啊！~  占座占座！！:kaka9:

当然会出问题了！功能重复不说，还很有可能出现底层驱动不兼容等现象，引起一系列问题。
防火墙好比看门狗，狗多了在一起会打架的！
其实也无需重装系统，安全模式下卸载就好了……当然重装更干净，卸载一般都不太彻底。

1.我觉得众多软件的最大问题就是怎么使现在的中层年龄的人明白并且熟练的使用它的操作和规则定义又或者交互的方式，傻瓜和智能化才是同类水平上安软或者HIPS能够占得用户地位的重要因素。嘿嘿 老师怎么看这个观点？好像有点商业了。。
2.现在有很多的安软都说有自己的智能判断技术，老师怎么看这些技术的？

想和你简单讨论一下：那微软的内核+第三方软件，漏洞岂不是更多？
还有世界之窗是IE内核，火狐是自己的内核，两者不要放在一起举例子。
我个人认为像火狐、谷歌、opera等非IE内核的小众软件要安全得多 ，更何况现在国内大部分人还用老旧的IE6……
我认为IE并不算是系统自带，可以看成一种强制捆绑安装……不知道说的对不岁？

我占座。。。。。。。。

目前安全软件套装一般称×is 如瑞星的RIS已经即成杀毒软件和防火墙，而某些防火墙如ZA ，online armor＋＋又集成杀毒功能。普通用户选用这些安全软件后就没有必要再单独安装防火墙或杀毒软件了。

同时安装多个安全软件不会起到1＋1＝2的效果，相反由于杀毒软件，HIPS等的权限争夺，以及防火墙的多层过滤等问题更会给用户带来很多不必要的困扰。

首先第三方浏览器确是也存在漏洞，但是我国目前网页漏洞等利用依旧以IE为主，而且以黑客的眼光来看他们一般只会针对最普及的浏览器下手。而同时在一个网页中即包含IE又包含其它第三方浏览器的情况很少出现。

还有一点就fire fox或 chrome等浏览器修复漏洞的速度一般要比IE快的多...

第三方软件的问题已经不单单是浏览器了，下载软件，影音软件等都会有问题，再加上普通用户一般很少及时更显这些软件，所以被骇客大家利用。其时也说得很多第三方用户程序的漏洞更新也越来越凸显，这成为安全软件公司要面对新的挑战！

1、漏洞是更多，但是有些情况不可避免，没办法的事儿，WIN自带WMP播放器并支持解码器，我们为何还要用第三方软件呢？方便！
2、其实这个也是按照个人爱好，一般系统装好，发现诶：IE7界面漂亮，但是不方便，所有有些人喜欢基于IE内核的世界之窗，而有些人则喜欢火狐，不过使用了火狐是否就能避免这些漏洞被攻击呢？当然不是，因为IE还存在于计算机内，用户并没有通过添加删除WIN功能将其取消
3、前半个问题同2！使用IE6，也避免不了漏洞，所以我认为可以统一考虑
4、不管是否捆绑还是自带，都是微软自带功能，就好比键鼠套装，自己有鼠标就可以不用新的鼠标，但是既然是套装了，鼠标、键盘是不是都属于套装自带呢？

谢谢老师解答
火狐、chrome用着不顺手···所以不是太了解:kaka6:

恩，真的很艺术，不错。
对于大部分的普通用户来说，他们的要求都很低，看电视，玩游戏，购物。。。。 甚至有的人仅仅会开机看电影，聊天，关机。
而对于他们，这些专业软件说很难来驾驭的，别说密码复杂度，让他们怎么输入密码都是一个问题，（昨天一个老乡来找我，让我帮他看电脑，说游戏怎么玩不了？到哪里一看，他说别人帮忙注册的账号，走的时候忘了把密码告诉他，所以玩不了。）
这种现象太普遍了，电脑在农村刚开始普及，真正意义上的玩电脑的没有几个，都是女方过来时带过来的嫁妆。所以，太多专业的东西对他们来说-------不太好使。
我知道为什么课题叫做安全防范艺术了。
因为懂艺术的人很少。

用户都希望安全软件能越来越傻瓜化，可病毒越来越狡猾，安全技术也越来越复杂，至少在可以预见的短时间内要实现还很难。

而且一台计算机的安全性完全取决于使用者自己安全知识的水平，这是任何软件都无法代替的。

提问：我曾经用过雨过天晴这个软件但几个月后硬盘空间被蚕食的只有10+g，期间也多次清空过还原点，是我使用的有问题还是这个软件特性如此？

你理解的没错：）

一般用户基本不会预见目标明确的定点是攻击，所以钓鱼式的随机攻击是最大的问题，相对偏门的软件就会避开对普及软件的特定漏洞攻击。毕竟代码是死人是活的。

如你清理的雨过天晴这种软件的还原点，还是会发生硬盘空间急剧减少的情况，多半是系统自带的还原引起的，所以在选定一款还原软件后最好关闭系统自带的还原。

嘿嘿！很有见解！

谢谢！其实病毒防范艺术一词来源于《the art of computrr virus research and defense》

1、已经分成NTFS格式的能不能在不影响磁盘内容的情况下再改成FAT32呢？ NTFS与FAT32有何区别呢？
2、GHOST安装是什么意思
3、使用ntsd-cq-p PID的时候 显示ntsd-cq-p4396 （4396是foobar的进程id）不是内部或外部命令，也不是可运行的程序，这是啥意思啊，为什么不管用呢？

超复杂:kaka8:

还真不知道具体的。

不过百度都有

NTFS在有数据的情况下貌似无法无损转换成FAT32，技术在进步也许有其它软件我不知道也是可能的。。。。

GHOST安装通过安装时间就能分辨出来几分钟就搞定系统安装，就是使用GHOST镜像还原的方式安装完系统的

－前要有空格

1.杀毒软件未来的发展是集成化和智能化，那么干脆建议操作系统生产商把安全软件也一起集成了，这样安装了系统之后岂不是一劳永逸？请问老师这样有技术上的可能性么？
2.假如完全使用虚拟机来进行操作，那么能彻底杜绝黑客和病毒么？现在有没有一种技术可以穿透虚拟机，或者把虚拟机当肉机的？
3.（呵呵，这是您去年布置的作业题，但是看了讲义以后还是有些问题希望老师指点~~:kaka12: ）目前很多家庭已经不仅仅只有一台计算机了，很多家庭用户已经开始组建家庭局域网，请问在家庭多机上网的情况你如何配置不同机器的安全软件。

我个人觉得哈，小众软件所谓的安全性是在于其对“广撒网”似的钓鱼难以上钩和针对大多普遍用户所使用的系统里的软件的漏洞分析以及攻击，它只是利用了自身的特别来逃过了病毒的监视，但是它自身的安全性也有待考虑。
另外，如果大家都去用这类小众软件，所谓“木秀于林，风必摧之 ”，迟早有一天它自己也会走进黑客的眼中，此时它自己技术层面上的不完善的缺点就被放大了很多倍，虽然我不好小众软件的编制者的水平，但是按照一般的理论来说，官方的技术水平和遭受攻击时对自己软件的维护和修复能力应该是普遍要比小众软件制作公司强的，一旦小众软件自身安全性的缺点被放大了，这对于用户就是致命的。
所以我认为小众软件的“安全性”其实是虚假的，相对的，它们的技术水平是必须要提高的。
另外，对于大多数用户来说，出于心理它们相信官方，出于界面它们选择官方，这是无可否认的。

1、在不损坏资料的前提下，没有方法可以转换为fat32
2、　Ghost（是General Hardware Oriented Software Transfer的缩写译为“面向通用型硬件系统传送器”）软件是美国赛门铁克公司推出的一款出色的硬盘备份还原工具。
可以备份系统、某个分区、整个磁盘，现在的GHOST系统都整合了相应软件、补丁、驱动后，利用各种封装工具通过系统自带的sysprep编写INF安装信息，完美封装，然后利用GHOST备份
其他机器都可利用此备份进行系统安装，即GHOST安装
3、ntsd-cq-p4396 
4396和P之间少了空格