关于网络安全的闲言碎语(无技术交流..)

ceats

在卡饭也呆了许久，从一个小白成为了一个老白。
在告别之际，谈谈自己的一些见解，与新一代小白交流一下，望高手一辈给与修正。
本人属于右脑型思维，所以文章可能显得抽象一些，多多包涵。


首先，我想先说说什么是病毒，其实病毒也是程序，或者说也是一个软件，只是不像IE浏览器那样，我们想打开就打开，想关闭就关闭。而是根据作者的实现设定来完成破坏效力，有点像我们平时使用的计划任务，为了更好的达到目的，就采用了隐藏等手段，所以就显得有些小恐怖吧。至于病毒的隐藏，我估计最先采用这种手法的作者是金牛座的，有兴趣的朋友可以查下“各星座藏A片方式”。


对于一个破坏性病毒，其实就是调用删除。
对于一个下载型木马，其实就是调用下载。

如此，这样不就和我们日常操作思路相同吗？
但是，却是在无声无息中完成，（电脑有时略显卡机）。那么，我觉得就是因为具体的方式不一样，调用命令不一样。
每一种不同的方式，打包整理为一个程序，也就是一个病毒。


下来说说杀软吧，目前的杀软重在引擎，辅在特征码库。两者相辅相成，缺一则能力大减。
杀软就像是一个“搜索+删除”。类似于工具栏里的“搜索”，却又有别于“搜索”。因为他不是搜索“文件名”，而是搜索“文件内容”。当然，有些山寨劣质可能会采用“病毒名搜索”。


举个列子..
在桌面上文件夹A，然后建立三个记事本，全部命名为“病毒”。其中一个保存“木马者”为内容。另两个保存“软件”为内容。
在桌面上文件夹B，然后建立三个记事本，全部命名为“病毒”。其中一个保存“木马者”为内容。另两个分别保存“木马软件”，“木马破解”为内容。


然后打开一款纯特征码杀软（已更新“木马者”病毒），扫描文件夹A，侦测出“木马者”。完成！
然后扫描文件夹B，同样侦测出“木马者”，但“木马软件”与“木马破解”因为稍稍与记录的名字有差异，则忽略。
这里，我们分析一下，“木马软件”或许就是“木马者”的变种，这种变动就像是病毒的加花加壳。及时更新病毒库后就可以查杀，但是有一定的延期，所以，这应属于纯特征码的弊端。


现在打开一款启发式杀软，（已更新“木马”病毒）扫描文件夹A，侦测出“木马者”。完成！
然后扫描文件夹B,同时检测出“木马者”“木马软件”“木马破解”。因为这三个内容都具备“木马”区段。所以完全查杀。


试想一想，要是使用“文件名”查杀的杀软该多恐怖啊，可能安全文件不会被杀，但危险文件只要“重命名”就可以逃避查杀。所以，我建议一定要使用“主流杀软”。


这里我们就可以看出“纯特征码码”与“高启发”的区别。前者给与已知的最精确的查杀。后者更像是广谱抗菌。
但是“木马破解”可能就是我们所需要的“CDkey”。他虽然像病毒一样替换文件，具有“木马”内容，但是他确实有利于我们的工作行为。


到了这里就牵涉除了“误杀”。
关于字面意思的理解，那就是错误的删除了不该删除的文件。这里的该与不该，是一种思想意识形态。人与人因为所处环境差异是有很大不同的。就像安装了“YLMF系统”后，默认的主页是“114la”，有些Fans则很高兴为YLMF做贡献了，有些过客则认为这事流氓行为。
我的观点就是，只要不是查杀了绝对“干净”文件。对于个别软件，都不应该算作误杀。因为您在享受了“去广告+美化”的同时是不是应该动手“添加排除”呢？

关于“纯特征码”与“高启发”的定位，我想就是企业与个人的定位，因为我们都是个人用户，所以对这个要求很模糊，两者各有优点，缺点。真的很不好选择。前者或许会遗漏，而后者或许会管得太多。

对于杀软，杀软卖的就是个服务。其中一个非常重要的就是，更新。
对于我前边举得例子，都说明了“已更新病毒”。杀软就像大法官审理案件，讲求的是证据，这里的证据就是最新的病毒库。引擎就像是对证据的详情要求。

比如，一个嫌疑人在密室杀了人，“纯特征码法官”要求侦查员出示“目击证人，凶器，罪案现场，笔录”所有完善后才可以判定。当然，少了一样，嫌疑人就被释放了。也就是病毒被漏杀了。
而“高启发法官”只要看到了“凶器，罪案现场等”任一，就立即判定其有罪，可是有那个不幸的过客在错误的时间路过了现场，怎么办呢？或许也会拉出去斩了，这不就误杀了吗？所以，本人奉劝各位朋友在回帖时切勿“路过”！

这里的侦查员就是奋斗在杀毒第一线的病毒分析工程师了。目击证人就是我们无私奉献的“上报户”。是你们给与了广大用户最新的病毒库数据，在此深表谢意！没有证据，就不能审判，由此可见“最新病毒库”的重要性。
所以，大家一定要及时更新杀软。

这里不得不提的就是，协助我公安干警维护城市容貌的伟大城管--单一的杀马软件！
因为我看到查杀的最多的就是cookie..这么多cookie商贩，对社会也没什么直接性大危害，却被追的满街跑，确实有些于心不忍，就当清洁系统好了。

最最重要的就是，我个人观点，木马和病毒没什么大区别。都是恶意程序。就像男人和女人。都是人。
我们感冒了就吃感冒药。不分男女版的吧？只要这种药治疗感冒就好！
所以，就像杀软，只要截取了木马或病毒的内容区段，有这个病毒库，就可以查杀！

关于查杀目前就想到这么多了..



[ 本帖最后由 ceats 于 2009-9-22 15:47 编辑 ]

ceats

编辑中..

[ 本帖最后由 ceats 于 2009-9-22 15:49 编辑 ]

ceats

第二节监控

王子带着刀

至少要留个板凳给我吧  陈小落

ceats

一下子连板凳都占掉..
是我计划好的..

冲冲

MJ?

王子带着刀

什么时候成老白了

我还停留在小白阶段

lsgster

不错支持一下

何常在

小白前排站座，等待楼主大餐。

xzthink

继续等LZ的大餐呢，快快更新吧！！！

LZ的语言很通俗，写的挺容易懂的。不错的东东哦。