About Cookie/Spyware Cookie and Anti-Spyware！

嘁。不稀罕~

前言：
许多人对杀软查杀Cookie有分歧，并以此判断杀软的优劣，因此写一篇帖子讨论下Cookie以及查杀Cookie的反间谍软件。欢迎大家拍砖！

About Cookie/Spyware Cookie
Cookie/Cookies：打开 Web 站点时，有些站点会向您的计算机中自动发送Cookie(小型文本文件)。下次打开 Web 站点时，Internet 浏览器软件发送适当的Cookie 来确定是否是反复访问者。Web 站点经常使用Cookie 来跟踪用户的首选项或进行身份认证，但有些站点也用Cookie 来跟踪用户的 Web 浏览习惯。

Spyware Cookie：Cookie不一定是安全威胁，但是由于有些Cookie用于商业目的或者用于在线信息采集，因此通常较严格的反间谍软件程序会移除。

下面是一些Cookie相关的介绍：
追踪Cookie：记录的活动历史纪录。
跨站Cookie：记录用户在不同网站之间的活动纪录。
第一方Cookie：是你正在浏览的网站的Cookie。例如登录卡饭后接受来自kafan.cn的Cookie。
第三方Cookie：非正在浏览的网站发给你的Cookie。例如登录卡饭后会收到来自51.la的Cookie。
持久Cookie：在关闭浏览器后继续存在。例如登录卡饭选择有效期为“永久、一个月、一天、一小时”。
会话Cookie：浏览器进程关闭后删除。例如登录卡饭时选择有效期为“浏览器进程”。

不管杀软对Cookie如何定义，都有他的道理，也不会对杀软整体的好坏产生影响。

Anti-Spyware：
Spyware：削弱用户对其使用经验、隐私和系统安全的物质控制能力；使用用户的系统资源，包括安装在他们电脑上的程序；或者搜集、使用、并散播用户的个人信息或敏感信息的程序。

      ”Spyware“这个名词，首次出现在1995年10月16日Usenet新闻网，1999年Zone Labs在Zone Alarm Personal Firewall新闻稿中使用“Spyware”后开始广泛使用。之前对于“Spyware”的定义存在很多分歧，有些厂商称此为“Malware”。

      现在我们所说的”Spyware“是所有恶意软件的统称，包括了间谍、木马、广告等有害的程序，也包括那些被归类为潜在有害程序的软件。潜在有害程序是指那些经常在用户不知情的情况下运行的软件。 尽管某些潜在有害程序是没有危险的，但大部分都具有隐蔽的或无意的隐私或安全隐患。间谍软件危害很大，浏览器劫持，广告软件、Tracking Cookie，在线追踪用户行为，根据用户习惯，度身订造弹出式广告。木马，键盘记录程序和系统监视器，按键记录，截屏，会泄露个人资料，身份证，银行帐户，用户名和密码或信用卡号码。

通常系统感染间谍软件后会导致：
电脑性能降低
不停弹出窗口
未经授权安装的新工具栏，且不能删除
未经授权改变的主页设置
奇怪的搜索结果
电脑频繁的死机

从技术层面来说：
对于隐私保护，可以通过拦截第三方Cookie、删除隐私头信息、经常清除Cookie或设置过期时间。
对于网页威胁，可以通过阻止弹出窗口、拦截JavaScript、拦截嵌入式对象、拦截MIME对象、拦截VBscript来防护。
对于恶意程序，可以通过反间谍实时监控系统关键部位和进程或使用HIPS拦截可疑行为。
对于木马类威胁可以通过双向防火墙拦截未知程序联网，并制定规则对网络协议以及端口进行管理。

从用户角度来说：增强安全意识更重要。良好的上网习惯，不运行未知的软件，看清内容在做选择，不清楚的邮件不要打开包括附件等。

        根据PCSL的样本数据统计，含有商业利益的木马类恶意软件数量，远大于传统病毒数量，而且不管是间谍软件还是病毒都在快速增长。所以选择一款或DIY一套至少含有反病毒、反间谍、防火墙功能的安全组合很有必要！
       注意：不少反病毒厂商的反间谍产品多数是为了配合自身的反病毒产品，所以对间谍软件的分类不同（详见附1），有些威胁被定义为病毒后，反间谍无法查杀，因此在DIY时，最好选择与反病毒同一品牌或专业的反间谍软件。（专业的反间谍软件定义全面，配合时不会出现盲区）反间谍软件除了能阻止间谍软件，还提供完整的清除功能，这是反病毒与4D做不到的。（详见附2）

附1：4个业界领先的厂商对间谍软件的分类及定义：

A厂商对间谍软件的分类（反间谍产品为收购整合）：
广告软件
浏览器绑架程序
Cookie
拨号软件
骇客应用程序
恶作剧程序
按键记录程序
密码破解程序
远端存取工具
追踪软件

B厂商对间谍软件的分类（反间谍产品为自主研发）：
广告软件
间谍软件
主页劫持
Cookie
键击记录程序
远程管理工具

C厂商对间谍软件的分类及定义（独立的反间谍产品研发）：
广告软件
    通常，广告软件组件随共享或免费软件程序安装后，在您的计算机上展示目标广告。这些广告能为软件开发者带来收益。广告软件通过弹出窗口或干扰性广告横幅展示基于网页的广告。

浏览器辅助对象（BHO）
    浏览器辅助对象（BHO）可伪装成 MIcrosoft Internet Explorer （IE浏览器）中可用的浏览器工具条。恶意的浏览器辅助对象会修改您的默认主页，指向其他站点，或为达到广告定位的目的，把包含您网页浏览习惯的历史记录发送给第三方。

浏览器劫持程序
    浏览器劫持程序可对您的浏览器进行控制。劫持程序可以更改您的浏览器设置，或修改默认主页，使主页指向其他站点，还会把个人信息发送给第三方。劫持程序能够伪装成 IE 浏览器的组成部分，所以难以被防火墙软件检测。因其可对多项功能进行控制，浏览器劫持程序可归类为特洛伊程序。

拨号器
    拨号器通常是安装在个人计算机上，用来拨号的软件。有的拨号器连接到互联网服务提供商（ISP），目的是提供真实的帮助。但是，恶意的拨号器会未经您的允许，擅自连接到长途或收费电话，导致高额的话费账单。

击键记录器
    又称之为“键盘记录器”或“按键记录器”。记录器程序在您的计算机后台运行，能记录您在键盘上的每一次按键。击键记录器搜集的信息，常包括个人信息和您向计算机输入的密码，这些信息可随后被第三方获取。

层服务提供商（LSP）
    分层服务提供商是若干段代码，用来控制、截取和控制 WinSock 和调用 WinSock 的互联网应用程序（如您的互联网游览器）之间的通信。恶意的分层服务提供商可用来窃取您通过互联网提交的信息。

恶意软件
    用于涵盖恶意间谍软件的通称，包括广告软件，特洛伊，浏览器劫持程序，击键记录器，拨号器和追踪 cookie。

间谍软件
    隐藏程序。利用您的互联网连接，对您通过计算机进行各种活动的信息进行搜集，并发送给第三方。信息在您不知情或未经您许可的情况下进行搜集和发送。和广告软件一样，间谍软件经常由免费和共享软件捆绑，作为第三方组建安装，致使两者很难区分。有时您在网上也会看到“间谍软件”用于对恶意软件的通称。

追踪 Cookie
    Cookie 是包含少量数据（如网站设置）的小型文本文件，在访问某些网站时，存到您的计算机中。互联网浏览器对Cookie 进行读写操作。多数情况下，Cookie 能保留设置，用于您下一次访问网站，为用户提供方便。然而，Cookie有时被用于摘录和追踪您在多个网站间的行为，为的是向市场营销人员提供您的网页浏览习惯信息。

特洛伊程序
    和间谍软件一样，特洛伊程序（又称之为特洛伊木马）能潜入您的系统，并在您不知情的情况下运行。特洛伊程序能对多项功能进行控制。如，有些特洛伊程序能通过计算机的调制解调器对长途或收费号码进行拨号（类似于拨号器），有可能造成高额的话费。特洛伊程序和病毒及蠕虫不同，不进行自我复制。

D厂商对间谍软件的分类及部分定义（反间谍产品为收购集成）：
Adware 、 Annoyance 、 ANSI Bomb 、 AOL Pest 、 AV Killer 、 Backdoor 、 Bait 、 Binder 、 Browser Helper Object 、 Commercial RAT 、 Cracking Misc 、 Cracking Tool 、 DDoS 、 Dialer 、 DoS 、 Downloader 、 Dropper 、 Encryption Tool 、 Error Hijacker 、 Exploit 、 Firewall Killer 、 Flooder 、 FTP Server 、 Hacking Tutorial 、 Hijacker 、 Hoax 、 Homepage Hijacker 、 Hostile ActiveX 、 Hostile Java 、 Hostile Script 、 HTTP Server 、 IRC War 、 Key Generator 、 Key Logger 、 Loader 、 Mail Bomber 、 Mailer 、 Misc Tool 、 Notifier 、 Nuker 、 P2P 、 Packer 、 Password Capture 、 Password Cracker 、 Password Cracking Word List 、 Phreaking Tool 、 Port Scanner 、 Probe Tool 、 Proxy 、 RAT 、 Rogue Security Software 、 Rootkit 、 Search Hijacker 、 Sniffer 、 SPAM Tool 、 Spoofer 、 Spyware 、 Surveillance 、 Telnet Server 、 Toolbar 、 Tracking Cookie 、 Trackware 、 Trojan 、 Trojan Creation Tool 、 Trojan Source 、 Usage Tracks 、 Virus Creation Tool 、 Virus Source 、 Virus Tutorial 、 War Dialer 、 Worm Creation Tool 。

Adware:  在网页上方或后方的弹出广告的软件，此时主用户界面还不可见，或与产品没有什么关联。

Downloader:  设计用于在运行时检索并安装附加文件的程序。 大部分这类程序会被配置为从指定的 web 或 FTP 站点进行检索。

Hijacker:  重新设置您的浏览器，使其指向其他站点的任何软件。 劫持时可能会将您的信息及您请求的地址改变路径发送，使其经由一个不可见的站点，以便捕获那些信息。 在这样的劫持中，您的浏览器可能仍能正常运行，只是稍微慢一些。

Rogue Security Software:  使用欺骗性手段进行安装和进行其他企图的安全软件。安装后，流氓软件通常使用威吓手段通知用户在他们的系统中已经安装了间谍程序或恶意程序。之后流氓安全软件要求用户付款以取得解决方法。这些应用程序可能与具有不同目的的其他恶意程序捆绑出现。该类型软件通常以反间谍程序或防病毒应用程序的形式出现。

Spyware:  在用户不知道的情况下后台使用用户的 Internet 连接，并收集/传送关于用户或用户行为信息的任何产品。许多间谍程序产品都会收集指向信息（从您的 web 浏览器泄露的您所连接的 URL 的信息）、您的 IP 地址（用于在网络上标识您的计算机的数字）、系统信息（例如访问时间、使用浏览器类型、操作系统和平台，以及 CPU 速度）。间谍程序有时会包装于其他商业产品里，并在安装这些商业产品时进入计算机。 请参见“广告程序”。

Tracking Cookie:  在两个或多个网页之间共享的任何 cookie，目的是跟踪用户的网上冲浪历史。

Trojan:  有隐藏意图的任何程序。特洛伊木马程序是侵入计算机的主要方式之一。如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏，则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan（特洛伊）可以用作动词：要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如，被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码，这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。

附2：反间谍产品D对Kafan VirList [2008.07.12]样本中080712-5-7.exe的资料：

威胁评估：
   总体风险： 中
   隐私：无
   效率：低
   系统完整性：中

类型：Rogue Security Software

起源：url: htto://xpantivirus.com/ 开始时间：2007年七月

删除：
注册表项：
HKEY_CURRENT_USER\software\356e07c12b51d7b9bc8dc55e6aece287
HKEY_CURRENT_USER\software\356e07c12b51d7b9bc8dc55e6aece287\options billingurl2
HKEY_CURRENT_USER\software\356e07c12b51d7b9bc8dc55e6aece287\options billingurlapproved
HKEY_CURRENT_USER\software\356e07c12b51d7b9bc8dc55e6aece287\options billingurlapproved2
HKEY_CURRENT_USER\software\356e07c12b51d7b9bc8dc55e6aece287\options labelurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options advancedscantype
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options afterregisterurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options billingregurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options billingurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options billingurl2
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options billingurlapproved
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options billingurlapproved2
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options firstrunurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options helpurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options labelurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options lastrun
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options termsurl
HKEY_CURRENT_USER\software\b1620b31a5fa751bf2f93cde6773fd72\options transactionkey
HKEY_CURRENT_USER\software\xp antivirus\options billingregurl
HKEY_CURRENT_USER\software\xp antivirus\options billingurl2
HKEY_CURRENT_USER\software\xp antivirus\options billingurlapproved2
HKEY_CURRENT_USER\software\xp antivirus\options lastrun
HKEY_CURRENT_USER\software\xp antivirus\options scans
HKEY_CURRENT_USER\software\xp antivirus\options securityvector
HKEY_CURRENT_USER\software\xp antivirus\options termsurl
文件：
install_v2.exe
rhc540j0e9cl.exe
rhcr1cj0er1q.exe
rhcrecj0en8t.exe
xpa.exe
xpa2008.exe
xpainstall_880042[1].exe
xpantivirus2008_b28.exe
xpantivirus2008_v77024216.exe
xpantivirus2008_v880019.exe
xpantivirus2008_v880167.exe
xpantivirus2008_v880187.ex
xpantivirus2008_v880187.exe
xpantivirus2008_v880188.exe
xpantivirus2008_v880339.exe
%desktopdirectory%\antivirus xp 2008.lnk
%desktopdirectory%\xp antivirus 2008.lnk
%profile%\application data\microsoft\internet explorer\quick launch\xp antivirus 2008.lnk
%program_files%\rhc540j0e9cl
%program_files%\xp antivirus\xpa.exe
%startmenu%\xp antivirus 2008\uninstall xp antivirus 2008.lnk
%startmenu%\xp antivirus 2008\xp antivirus 2008.lnk
%system%\scui.cpl
%program_files%\xp antivirus\xpa.exe
xpantivirus2008_v880339.exe
xpantivirus2008_v880188.exe
xpantivirus2008_v880187.exe
xpantivirus2008_v880167.exe
xpantivirus2008_v880019.exe
xpantivirus2008_v77024216.exe
xpantivirus2008_b28.exe
xpainstall_880042[1].exe
xpa2008.exe
rhcrecj0en8t.exe
rhcr1cj0er1q.exe
rhc540j0e9cl.exe
install_v2.exe
目录：
%program_files%\xp antivirus
%startmenu%\xp antivirus 2008

参考数据来源：PCSL。
参考资料来源：CA、McAfee、PC Tools、Trend Micro、Webroot。

本文由abeyl编辑发表于卡饭，如未注明作者与相关版权声明，严禁转载！

jeffgree

终于完成了

maggic

恩，看完了，相当的不错呢！！
阿贝出品，必属精品！！

wcb46888

写了很多哦,支持下..

黑白君

好一篇文章，写了4天！

黑白君

感觉也只有一些外国的反间谍软件才报cookie，杀软似乎很少报这玩意，我用过的里面也只有panda报过…

ps:楼主最好推荐几个反间谍的反间谍的软件或组合。

xuange

说好了让我抢沙发的...

贝大叔此帖写了很长时间，花了不少精力啊～
不错不错，支持

kasper

原帖由 朝闻道 于 2008-7-27 10:01 发表
感觉也只有一些外国的反间谍软件才报cookie，杀软似乎很少报这玩意，我用过的里面也只有panda报过…

ps:楼主最好推荐几个反间谍的反间谍的软件或组合。

趋势报，而且很多
BD也有cookie的检测，不过报的很少

ichigo71

cookies就是浏览器缓存。
LZ文章不错