转：没有好的安全习惯，什么杀毒软件都是浮云

script

    没有好的安全习惯，什么杀毒软件都是浮云。


    比如，如果我想盗号，打算在XX网页上挂个马，那么这个马就必须能“过”常见的最新版本杀毒软件——这点对技术人员来说其实并不很难，当然脚本小子死远……

——这实际从根本上否定了所谓“中医最适合中国人”的宣传：我要在中国投放病毒，那么肯定是中国用户群流行啥杀毒软件，我就不得不让病毒能瞒过这些杀毒软 件。可你要用个在中国极其冷门的avg什么的，放毒的就懒得针对它折腾什么了。而且，国内用这种软件的一般都是相对专业的人士，在这方面投入，性价比就更 低了。


    所以，当一个新病毒出现时，没有任何杀毒软件能保证你不会中招。唯一能救你的，就是良好的安全习惯。

    而当这种病毒越来越流行后，杀毒软件公司就会有越来越大的机会注意到它。
    然后，个把月甚至几个月后，病毒样本终于被提取、分析、提炼特征码甚至特征行为；然后，病毒库更新——这个在你的电脑上“肆虐”了许久的连环杀手才终于落网。——当然，期间很可能还会出现若干变种，然后能识别A特征码的识别不了变种B、甚至某个“经实验”能抓到所有变种的特征码，同时也会把一些正常软件甚至windows组件、甚至杀毒软件本身的组件，都识别成了病毒，闹的安全人员焦头烂额。



    总之，杀毒软件只能事后捉凶，哪怕加上“智能”“启发式”之类噱头也没用。

    当然，比起裸奔，它还是提供了一个“亡羊补牢”的机会。这还是很有意义的。


    但，“羊”毕竟已经“亡”了。能不能想办法尽量把“羊”保住呢？

    当然能。这就是我一开始说的“良好的使用习惯”。

    ——————————————————————————————————————
    要理解什么是“良好的使用习惯”，首先得知道我们可以依靠什么。

    我们可以依靠什么呢？

    很简单，俩字：权限。


    首先，CPU通过硬件，把指令分成“有危险的”和“无危险的”两部分，前者就是特权指令。

    然后，操作系统“把持”住了ring0这个最高权柄，只允许用户应用程序在ring3执行：当ring3的程序需要做一些可能有危险的操作时，它必须向操 作系统申请——而操作系统会根据用户的授权策略、或临时请求用户授权，决定是否允许它做这些事（这就是windows vista 引入的 UAC）

    现在，轮到你做决定了：有位叔叔给你糖吃，你吃不吃呢？

    据我所见，99%的人，都毫不犹豫的吃了。你说你怎么就那么贪吃呢……


    所以，良好的使用习惯就是：
1、绝对不给不明来历的应用授权
2、绝对不要关UAC
3、点UAC提示框的“是”之前，请确认你知道自己在干什么
4、弹出任何提示框，不明白就先搞明白，没搞明白绝不点“是”
5、看不懂？点“否”
6、没“否”？点“No”、点“取消”、“cancel”、“拒绝”、“不”……
——三个字，别点“是”！！

    尤其是，如果你有很初级的脚本知识，那么……现在的应用都有数字签名。——没有？md5工具遍地皆是。下一个，用它给自己的系统做个快照。

    你只需要在安装任何新程序、补丁后，重新计算/检查一下数字签名就行了：从此，没有任何病毒能像过去那样，寄生到其他合法程序里。

    杀毒软件的亡羊补牢？切，我有数字签名，有点风吹草动就用脚本查一下，什么病毒能在我的机器上隐藏？

    现在，就剩下最后一个关卡了，请：
1、只用正版/开源软件
2、只从该软件的原始发布站点下载——比如，我绝不会用不是从http://www.7-zip.org/ 下载的7z
3、真要用盗版，找口碑好的大站下；安装前后注意检查系统文件的数字签名；有可能的话，把它安装到虚拟机/沙箱/另外一个系统里
4、拒绝口碑不好的公司的任何产品




ps：小白想问问红字处有现成的工具吗？

ws1234

白加黑笑而不语

virusdefender

其实原版系统一般自己去关闭uac的不多
更多的是用户使用的ghost等盗版系统 然后默认的就是管理员权限  而且很可能已经给你预装木马病毒了

z4195

。。好习惯。下载游戏 游戏修改器中毒比较大。

【乱】

就像曾经样本区有实机双击的坏习惯 杯具不少，每次杯具重装或恢复

realraul

红色文字我没看懂，能详述一下吗

script

realraul 发表于 2014-1-9 07:59
红色文字我没看懂，能详述一下吗

关于md5

不想了解太深入，看这个
http://briian.com/6457/hashmyfiles.html
想看看原理，wiki上的入门
http://zh.wikipedia.org/zh-hk/MD5

至于里面说的快照，就是将pc里应用的md5值算出，统计和归纳，形成一个档案或者数据库

hhcnxp

virusdefender 发表于 2014-1-8 22:54
其实原版系统一般自己去关闭uac的不多
更多的是用户使用的ghost等盗版系统 然后默认的就是管理员权限  而 ...

表示装完系统第一件事就是关UAC……我嫌他麻烦

geziliu

呵呵，其实安全依靠于规则，网上活动超过了规则的范围，当然也就安全不了呀！

吴一用

楼主的观点是正解