【科普】普通用户在日常中网络安全意识

柯林

从小白的角度胡扯几句（原谅我不懂编程）
“无文件病毒，shellcode攻击”以及“一旦打开某网页，或者运行某程序，立即下载病毒执行，从而中招”……诸如此类的说法，一度吓坏了俺这样的小白！到底有没有这么神，有木有，俺真的不知道，希望有人科普一下。

结合俺的小白认知水平，个人理解，似乎被宣传得“过头”了，有些违背基本常识，哪有“来无影去无踪毫无痕迹的东西”？0day漏洞那个就不用讨论了，厂商没推出补丁之前，基本是无解。

以所知而论，“无文件病毒”，貌似常指两类，一类是dll，一类就是脚本，相对于常见的exe之类，不容易捕捉。
至于一旦打开某网页，或者运行某程序（譬如adobeflash）就中毒，以及邮件投毒之类，似乎也专注于“吓人”了。
原理上来说，似乎并不存在“无文件”病毒，充其量是不写入本地或留存在本地磁盘上。以所见的一些帖子分析为例，这些病毒，关键主体是个脚本（很小，可能只有1kb左右），根据文件关联设定，这东西不管存在哪里，系统都会调用脚本解释器去执行（譬如powershell.exe与wscript.exe），
这个脚本病毒依据代码，要么去下载病毒主体，要么去下载危险代码来执行，可能喜欢以隐藏窗口的方式执行，完毕删除所有的东东，整个过程悄无声息，给人错觉（从不存在一样），好像大致就这样。

所以无论是office病毒还是其它什么，实际上是脚本病毒。有些杀软对脚本检查不力，可能就会翻车。依据脚本代码，大致是几种类型：
1、链接毒网，下载病毒，可能是传统的exe病毒，下载来后保存本地，直接用脚本启动或者设置注册表之类实现开机启动；也可能是个压缩包，里面有exe或者dll，不需要解压出来执行，是直接执行压缩包内的病毒。关键是脚本，控制住它的宿主（譬如wscript.exe）不让联网，或者不让执行根据位置（譬如%Temp%），实际是可以拦截的。
2、更鬼一点，直接下载代码（可能是个txt文件，一般的杀毒软件根本不会检测txt文件），读取代码执行，整个过程除了脚本宿主（譬如cmd.exe或wscript.exe），根本没有病毒主体存在，于是让人误以为“无文件病毒”。

主要的形式与手段，大概就是这样。说到底，其实是属于脚本病毒。这些脚本代码，可以附加在任何一种文件类型上（譬如pdf，html，txt，MP3，swf……）所以打开一张图片或播放一个动画视频中毒，其实是受害于“恶意脚本代码”。

有主防的杀软或者HIPS功能的，防御这些其实不是什么难事。shellcode之类一度被传得很神的东西，“只存在于内存”的病毒，其实并非是“鬼影”，实际上依然是有文件存在，只不过这文件可能是个脚本以及存储代码的txt文本或压缩包之类。无文件的东西太玄乎，违反逻辑与基本原理，不可能存在。

由于不懂编程，也不折腾分析，小白只能依据一知半解说个大致性的观感，如有错误，还请原谅与指正。

浅美

KK院长 发表于 2018-11-26 10:18
第三方office软件同样存在宏问题和本身软件0day漏洞，宏可以关闭，0day漏洞要么hips防范，要么缓冲区漏洞 ...

我在极速office根本找不到宏相关设置，不知道宏是开是关

KK院长

浅美 发表于 2018-11-26 12:35
我在极速office根本找不到宏相关设置，不知道宏是开是关

估计冷门的软件被干的机会相对少一点，我看事不大。

www-tekeze

1. 主力早就换成WPS了，虽然免不了存在漏洞，但没太多人去研究吧，最起码东欧、毛子的高级Hacker们不会感兴趣。
2. Office和WPS都是运行在SBie沙盘里，而沙盘是建在Ramdisk上，不落地？那就彻底让它全程落不了地！
3. 对不明调用cmd和powershell，特意加了规则，都有拦截提示。 %Temp%是建在Ramdisk上，里面的exe想执行也有拦截提示。
4. 一切未知程序想联网，都有拦截提示！
目前就只有这几板斧，走一步算一步，真希望有大佬放几个样本出来玩玩。。

柯林

不玩代码，看得稀里糊涂，有兴趣的看下：
查找恶意PowerShell脚本 ：https://www.sohu.com/a/198999800_750628
无文件powerdhell攻击实例分析：https://www.freebuf.com/column/149286.html
明白人说下这些东西究竟怎么防御？
补充下：ofiice文档宏病毒投毒实例，可以参看这篇文章：
http://www.cnblogs.com/ichunqiu/p/8659004.html

FD入口防御，除了管制%Temp%及禁止特定格式如*.ps1生成外，是否还有更好的方法？AD防御似乎管制相应的接口调用会有效果？

KK院长

柯林 发表于 2018-11-27 12:43
不玩代码，看得稀里糊涂，有兴趣的看下：
查找恶意PowerShell脚本 ：https://www.sohu.com/a/198999800_75 ...

把 系统PowerShell 和CMD 删了或阻止，同时禁止*.ps1等脚本不知道可否？win10系统的Windows Managerment Instrumentstion禁止
建议禁用WMI和PowerShell作为防止无文件攻击的预防措施。。

wohaofan1200

所以说多步智能主防很必要喽

卡反而

学习了，

柯林

KK院长 发表于 2018-11-27 18:34
把 系统PowerShell 和CMD 删了或阻止，同时禁止*.ps1等脚本不知道可否？win10系统的Windows Managerment  ...

好像说是ps1文件一般是不可以像bat文件一样直接执行的，似乎说是系统认为不安全，需要设置策略啥的才可以
系统自带了一些ps1文件，全部禁止执行，不知道是否影响系统功能。想到的一个方法是禁止创建新的ps1文件
毛豆是不是会入沙，可能没问题；禁止cmd执行powershell之类的可能没多大效果，或影响系统？

cmd.exe删除不用，是不是会影响一些功能？个人想到的折中办法，是禁止cmd执行关键位置（比如桌面、U盘啥的）及一些危险命令（比如格式化命令之类）

没精力折腾测毒，具体毒网、样本啥的，俺也木有。希望有样本或信息的分享下行为防御策略

ELOHIM

我感觉我遇到的普通用户无力这么操作。
对他们来说，这些几近天书。
他们会两种操作，双击和点击。并且执行速度很快，性子一般都很急。
他们需要现成的东西，所以，ghost系统将安全设置全部完成再给他们用最好。
当然，你会很快就烦他们跟你问问题，这个什么意思，那个什么意思，这个怎么执行不了，安装失败怎么办。。。。。。

还有重点，管理员密码是什么……