iLeichun

杀毒软件业野蛮生长法则：自己研发病毒自己杀
http://tech.163.com/10/1202/01/6MS5IRPN000915BF.html

　　随着中国信息化建设的高速发展，中国已经发展成全球第二大的互联网用户，也带来了互联网网站的高速发展。当前的互联网网站已经成为信息传播、流通、交换及存储的重要手段。政府部门的信息化建设，使得电子政务的加速增长，越来越多的传统办公业务转变成依懒互联网的网站业务。

　　企业的B2B、B2C业务的发展更多地依靠于网站业务的正常运行。各大商业银行为了方便业务的开展，依懒于网站提供更多的在线服务方式。随着网站与网页数的与日俱增，信息安全问题变得更为严峻。由于互联网网站处于全天候的开放状态，而承载网站的应用程序具有自身无法完全克服的漏洞问题，这就为黑客的入侵提供了可乘之机。

　　互联网网站与网页存在一些安全问题，比如网站服务器易出现的以下问题：

　　◆网站脚本程序的安全问题检测，如网站的默认数据库，默认管理帐号(admin，root，manager等);

　　◆网站程序设计存在的安全问题检测，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，如SQL注入，上传漏洞，脚本跨站执行等;

　　◆服务器配置不当，安全策略设置存在缺陷，可导致产品被入侵的问题检测;

　　◆应用服务权限设置导致系统被入侵的问题检测;

　　◆系统和服务的补丁未升级导致系统可被入侵的安全检测等。

　　利用网站的安全漏洞，尤其是Web应用程序漏洞：如SQL 注入等，黑客能够得到 Web 服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，通过"网页挂马"感染更多的客户端用户。通过这一行为，黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机，从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。由于网页木马制作的简单性和网络漏洞存在的必然性，通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。2007年微软系统的安全漏洞，以及各种应用软件存在安全漏洞，如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指针安全漏洞、暴风播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞问题。各种漏洞生成的相应的漏洞利用网马并进行挂马，使得网页挂马事件得到快速的发展。

　　网络信息化建设的不断发展、核心应用业务迅速网络化以及互联网用户的飞速增长，我们面临的安全威胁也日益增多和复杂。根据CNCERT的最新统计数据，2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个，同比增长1.5倍;其中政府网站(.gov.cn)被篡改3407个，占大陆被篡改网站的7%。CNCERT统计显示，大陆地区约有4.3万个IP地址主机被植入木马，约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。

　　国内被篡改的网站为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站，而一些中小企业的网站更是易被侵入篡改。网站被篡改带来的不良影响，不仅仅是单位组织的形象和声誉遭到破坏，而且会直接影响以网站运营为主的业务，带来一定的经济上的损失。如何保护网站的安全性，是众多网站管理员及单位组织关注的事情。除了网络管理员提供日常管理维护，还需要专业的安全人员对网站及相关服务器的安全性进行检测。

　　网站是否存在Web 应用程序漏洞，往往是被入侵后才能察觉;而网站是否已经被挂马，通常是在被访问者投诉或被监管部门查处才能察觉，但这个时候损失已经发生;如何在攻击发动之前主动发现Web应用程序漏洞以及网站在挂马发生之后迅速获悉，已成为构筑Web安全的上上策。目前解决这一问题的通常方式就是网站的运维管理人员购买专业的Web扫描工具，同时学习专业的安全知识，并对网站进行常规扫描、高频度检测，但专业的扫描工具往往不能解决木马问题，并且开销巨大，同时面对Web网站复杂的安全需求，也有自身的一些局限性。那么，能否设计一种具有这种功能的产品或服务，既能够预先扫描Web系统，防患于未然，又能够发现已经存在的网页木马，从而提醒网站管理者进行相应的应急处理呢？

　　近年来，SQL注入式攻击一直如幽灵般困扰着众多企业，成为令企业毛骨悚然的梦魇。从八月中旬以来，新一轮的大规模SQL注入式攻击袭掠了大量的网站，连苹果公司的网站也未能幸免。这种猖獗的攻击向业界招示其日渐流行的趋势，黑客们也越来越喜欢这种可以渗透进入企业的基础架构和数据库资源的攻击方式。

　　关于对付SQL注入攻击的方法已经有许多讨论，但是为什么还是有大量的网站不断地遭受其魔掌呢？安全研究人员认为，现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候，从而减轻与注入攻击相关的风险。笔者在此介绍的这些方法未必是革命性的创举，但是又有多少企业真正按照要求全面地实施这些方法呢？

　　下面，我们将一一谈论这些方法：

　　使用参数化查询

　　企业应当制定并强化自行开发软件的安全编码指南，要求开发人员使用参数化查询来构建SQL查询，这样就可以将数据与代码区分开来。

　　对于多数SQL查询来说，开发人员需要指明某类标准，为此，就需要利用参数化查询，其实就是在运行时可传递的参数。参数化查询就是在SQL语句中有一个或多个嵌入参数的查询。这种将参数嵌入到SQL语句中的方法与动态构造SQL字符串相比，不易产生错误。下面我们看一个在.NET应用程序中使用参数化查询的例子。假设我们想给张三增加工资500元，可参考如下的代码。这些代码范例演示了参数化查询的使用，并展示了如何使用更新语句：

　　通过利用SQL的更新命令，你可以更新记录。在上面的例子中，我们作了如下操作：创建并打开一个数据库链接;创建一个代表执行更新语句的数据库命令;使用EDBCommand 的ExecuteNonQuery()方法执行插入命令。

　　每一个参数都用一个EDBParameter对象指明。对于需要在SQL语句中指定的每一个参数来说，你需要创建一个EDBParameter对象，然后将值指派给这个对象。然后，将EDBParameter对象添加到EDBCommand命令的参数集中。

　　对于多数开发平台来说，应当使用参数化的语句而不是将用户输入嵌入到语句中。在许多情况下，SQL语句是固定的，每一个参数都是一个标量，而不是一个表。用户输入会被指派给一个参数。下面再给出一个使用Java和JDBC API的例子：

　　PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=？ AND PASSWORD=？");

　　prep.setString(1， username);

　　prep.setString(2， password);

　　prep.executeQuery();

　　笔者用这些例子只是想告诉开发人员，应当确保在查询数据库之前对输入进行净化。要保障用户输入到网站的内容就是你正要查找的数据类型，所以说，如果你正在寻找一个数字，就要努力保障这种输入一定是一个数字而非字符。

　　实施过滤和监视工具

　　在Web应用程序和数据库这个水平上的过滤和监视工具可有助于阻止攻击并检测攻击行为，从而减轻暴露在大规模的SQL注入式攻击中的风险。

　　在应用程序水平上，企业应当通过实施运行时的安全监视来防御SQL注入攻击和生产系统中的漏洞。同样地，Web应用防火墙也有助于企业部署某些基于行为的规则集，可以在发生损害之前阻止攻击。

　　在数据库水平上，数据库活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种很强大的工具。对于目前所知道的注入攻击而言，应当部署好过滤器，以便向数据库管理员发出警告：正在发生不太安全的问题;还要有一些一般的过滤器，用以查找SQL注入攻击中的典型伎俩，如破坏SQL代码的不规则的数字引用等。

　　精心编制错误消息

　　黑客可以利用你的错误消息，以便于将来对付你。所以开发团队和数据库管理员都需要考虑：在用户输入某些出乎意料的“数据”时，应当返回的错误消息。

　　企业应当配置Web服务器和数据库服务器，使其不输出错误或警告消息。因为攻击者可以利用“盲目SQL注入”等技术来了解你的数据库设计细节。

　　及时打补丁并强化数据

　　由于没有打补丁或者配置错误，而造成与Web应用程序相关联的数据库遭受攻击，那么与SQL注入攻击相关的风险也会因之增加。

　　很显然，只要有补丁可用，你就需要给数据库打补丁，并且还要给Web应用程序和Web服务打补丁。

　　此外，别忘了你的数据库是怎样配置的。你需要禁用不必要的服务和功能，目的是为了强化数据库及其赖以运行的操作系统。

　　限制数据库的特权

　　最后，企业需要更好地管理与Web应用程序相关的账户与后台数据库交互的方式。许多问题之所以发生，其原因在于数据库管理员全面开放了一些账户，其目的是为了让开发人员更轻松地工作。但是，这些超级用户账户极易遭受攻击，并会极大地增加由SQL注入攻击及其它Web攻击给数据库所造成的风险。

　　一定要正确地管理所有的账户，使其仅能以最低的特权访问后台的数据库，当然前提是能够完成其工作。你一定要保障这些账户不会拥有对数据库作出更改的权利。

据国外媒体报道，微软高级执行副总裁斯科特·查尼(Scott Charney)周四表示，为了确保互联网安全，被病毒感染的计算机应该被禁止接入互联网。

　　查尼在国际安全解决方案欧洲大会(ISSE)上称，为了避免僵尸网络和其他恶意软件感染用户PC，应该禁止被感染的计算机访问互联网，正如现实生活中的传染病人应该被隔离一样。

　　查尼表示，这需要政府、IT业界、互联网服务供应商和用户的配合，对消费电子设备的“健康状况”进行评估。如果存在不安全因素，则不允许接入互联网或其他重要资源。

　　查尼称，当前的防火墙、杀毒软件和补丁自动更新还不足以确保计算机安全，尽管付出了不少努力，但还是被恶意软件感染，或成为僵尸网络的一部分。

　　查尼的建议遭到不少网民的反对。有网民称，把不安全的计算机排除在互联网之外，按照该逻辑，还应该把运行Windows的计算机与互联网隔离。

我们无时无刻不与局域网在打着交道，提供更快更稳定的局域网访问一直是我们的追求。除了购买特别更贵的硬件外，只要我们稍作一些设置，并注意一些技巧，也可以得到更快的访问速度。

1.去掉无关的选项

在Windows XP中，双击“控制面板”中的“文件夹选项”，再单击“查看”标签，然后将鼠标指针滚动至窗口的最下方，可以看到有一个“自动搜索网络文件夹和打印机”项，默认是选中的，将它去掉（如图1）。这样，当我们打印时，Windows XP不会自作主张去寻找局域网上的打印机并安装驱动程序，以防止不经意将机密文档打到别的部门打印机上而自己却还找不到。同时，将此项去掉后，当我们通过“网上邻居”来访问局域网电脑时，它不会自动查找其上的共享文件夹，这样才会提升一些速度。

 

 

2.将网卡调至全速

按下Win+Pause/Break键，单击“硬件”标签，再单击“设备管理器”从而打开“设备管理器”，双击“网络适合器”下相应网卡，在打开窗口中单击“高级”标签，选中Link Speed/Duplex Mode（连接速度/双工模式），再在其下选择100 Full Mode（如图2）。这样可以让网卡调至全速。当然，如果你使用的是无线网络，则将其调至最高速即可，如图3，则是笔者的无线网卡D-Link AirPlus XtremeG+ DWL-G650+ Wireless Cardbus Adapter #2，笔者将其Desired Basic Rate Set（基本速率）设置为Up to 54Mbps。

 

 

 

 

3.去掉无关的协议 5.自动登录局域网

 

如果你每天都需要访问某个共享文件夹，不需要按部就班地双击“网上邻居”，然后找到服务器，双击后输入用户名和密码再访问。比如，你要访问一个名为server的电脑，用户名为user，密码是8888。则只要写一个bat文件，在其中输入如下语句：net use serverIPC$ "8888" /user:"user"（如图7），接着把该bat文件拖放到“开始→程序→启动”组中，这样一开机，系统就会以user为用户名，8888为密码登录server电脑，这样你在任何地方访问它上面的共享文件夹则无需再输入用户名和密码了。

 

 

如果你使用Windows XP，则可以在第一次打开共享电脑时，输入用户名和密码后，选中“记住我的密码”复选项（如图8），下次访问时将不会再向我们索取密码。

 

 

6.取消防火墙

如果你启用了Windows XP中防火墙，且共享了驱动器，那有可能别人无法在“网络邻居”中浏览共享驱动器，这时可以右击“本地连接”，选择“属性”，再单击“高级”标签，单击“配置”按钮，在打开如图9所示的窗口中选中“关闭（不推荐）”项即可。因为我们的局域网电脑本身就接在路由器上，可以考虑在上面设置防火墙。这样局域网内的机器不会受到外界的攻击，但是局域网内的机器访问也会快一些。

 

 

7.多系统相互快速访问

如果你发现Windows 2000机器访问98机器特别慢，可以在2000机器上按下Win+R，输入“regedt32”，在“注册表编辑器”中找到[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorerRemoteComputerNameSpace]，在该分支下找到并删除掉键，以后双击98同事的机器将会很快。

 

如果你经常需要将数据备份到局域网内的某文件服务器上，是不是再在本地硬盘上选中文件，然后切换到文件服务器上粘贴？这样就太麻烦了。事实上，我们只要知道文件服务器的名字（如file_bck），并知道其用户名（如user）和密码（如123456），则可以现在我们只要运行一个批处理文件就可以了，此批处理文件内容如下（如图10）：

 

 

set source=d:work

set dest=file_bckackup

net use file_bckIPC$ "1234" /user:"user"

xcopy %source% %dest% /e /v /r /y /z

将其保存为batchcopy.bat，以后只要双击此bat文件将会将d:work所有文件备份到file_bckackup下。

9.快速映射盘符

打开共享机器的根文件夹，如homepc，再选中相应的文件夹，右击，选择“映射网络驱动器”命令（如图11），即可立即把该文件夹映射成盘符（如图12）。如果直接选择“工具→映射网络驱动器”则需要我们选择映射路径。

 

 

 

 

 

10.取消不用的网络驱动器

如果你映射了网络驱动器，日后不再使用了，请务必打开“资源管理器”，再单击“工具”→“断开网络驱动器”命令，然后在如图13所示的窗口中取消相应的驱动器即可。否则每次开机时就会自动映射此盘，也会占用较多的系统资源，从而让局域网访问速度变慢。

 

 

11.考虑快捷方式访问共享文件夹

如果你经常要访问某个用户的共享文件夹，如homepcwritingsoft，那可以在“资源管理器”中打开homepcwritingsoft，然后用鼠标拖动地址栏中的文件夹图标到桌面上，等光标变为链接状时松开（如图14）。以后，要访问此文件夹，只要直接双击桌面的快捷方式即可，无需从“网上邻居”中逐层进入。

 

8.快速备份/更新数据

12.直接键入电脑名称

12.直接键入电脑名称

 

在“资源管理器”的地址栏中直接输入你想连接到的共享文件夹所在的计算机或者该共享文件夹的网络路径可以快速访问。如输入comp（其中comp就是计算机名称），就进入名称为comp的这台计算机，可以查看它的共享文件夹或文件。输入compshare，则会进入comp计算机的share共享文件夹中。

13.直接IP访问

如果你将某个共享电脑的网卡IP固定下来，则可以在“运行”窗口中直接输入电脑IP来访问此电脑，无需从“网上邻居”一层一层地打开。

14.在Total Commander下快速访问

在Total Commander中打开某共享文件夹后，双击其窗格，会弹出如图15所示的窗口，选择“添加当前文件夹”可以将其添加到文件夹列表中。如果以后要访问，只要双击窗格，再选择相应的项目即可快速到达。

 

 

13.动态/静态IP两相宜

如果在公司使用DHCP，而在家使用固定IP，那重复地修改网卡IP地址是一件很令人头疼的事情。如果你安装Windows XP，则可以让网卡同时拥有动态/静态IP：双击“控制面板”中的“网络连接”图标，再右击相应的网卡，如“无线网络连接”，选择“属性”命令，再在打开窗口中选中“Internet协议(TCP/IP)”项，单击下方的“属性”按钮。并在再次打开的窗口中选中“自动获得IP地址”和“自动获得DNS服务器地址”项（如图16）。再单击“备用配置”标签，然后在打开窗口中选中“用户配置”项，再在其中输入固定IP地址、子网掩码、默认网关、首选DNS服务器地址，如192.168.0.188、255.255.255.0、192.168.0.1（如图17）。这样，当我们的电脑发现有DHCP存在，就会从DHCP服务器上获得IP地址。否则就会使用我们设置的固定IP、子网掩码、默认网关、首选DNS服务器地址等，如上为192.168.0.188等，非常方便。

 

 

 

 

 

 

 

 

在“资源管理器”的地址栏中直接输入你想连接到的共享文件夹所在的计算机或者该共享文件夹的网络路径可以快速访问。如输入comp（其中comp就是计算机名称），就进入名称为comp的这台计算机，可以查看它的共享文件夹或文件。输入compshare，则会进入comp计算机的share共享文件夹中。

13.直接IP访问

如果你将某个共享电脑的网卡IP固定下来，则可以在“运行”窗口中直接输入电脑IP来访问此电脑，无需从“网上邻居”一层一层地打开。

14.在Total Commander下快速访问

在Total Commander中打开某共享文件夹后，双击其窗格，会弹出如图15所示的窗口，选择“添加当前文件夹”可以将其添加到文件夹列表中。如果以后要访问，只要双击窗格，再选择相应的项目即可快速到达。

 

 

13.动态/静态IP两相宜

如果在公司使用DHCP，而在家使用固定IP，那重复地修改网卡IP地址是一件很令人头疼的事情。如果你安装Windows XP，则可以让网卡同时拥有动态/静态IP：双击“控制面板”中的“网络连接”图标，再右击相应的网卡，如“无线网络连接”，选择“属性”命令，再在打开窗口中选中“Internet协议(TCP/IP)”项，单击下方的“属性”按钮。并在再次打开的窗口中选中“自动获得IP地址”和“自动获得DNS服务器地址”项（如图16）。再单击“备用配置”标签，然后在打开窗口中选中“用户配置”项，再在其中输入固定IP地址、子网掩码、默认网关、首选DNS服务器地址，如192.168.0.188、255.255.255.0、192.168.0.1（如图17）。这样，当我们的电脑发现有DHCP存在，就会从DHCP服务器上获得IP地址。否则就会使用我们设置的固定IP、子网掩码、默认网关、首选DNS服务器地址等，如上为192.168.0.188等，非常方便。

 

 

 

 

 

 

打开“网络连接”窗口，右击“本地连接”，选择“属性”，然后在打开窗口中将不需要的协议去掉（如图4）。如果你使用Windows 98，则“TCP/IP -拨号适配器”、“Microsoft友好登录”、“Microsoft虚拟专用网络适配器”、“IPX/SPX兼容协议”等都可以去掉，因为这些组件平时不怎么用到，如果选中它们的话，反而会影响工作站正常上网和浏览。

 

 

4.设置空密码登录

如果电脑上没有保存敏感数据，只是放一些公共的资源，那可以设置空密码登录。这样用户就不需要提供密码就能够直接进入，可以省却告诉别人密码的时间，也更加方便。

按下Win+R，输入gpedit.msc，打开“组策略编辑器”，找到“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”，再双击右侧窗口中的“帐户: 使用空白密码的本地帐户只允许进行控制台登录”，在打开窗口中将其设置为“已禁用”（如图5）。

 

 

接下来，在此机器上打开“资源管理器”，再选择“工具”→“文件夹选项”，单击“查看”标签，然后取消“去除简单文件共享（推荐）”前的小钩（如图6）。