这个版本目前只有KIS,没有KAV版本;正好同上次7.0.0.6版本相反.
安装完成后,进入主界面,你会发现有两个“主动防御”模块,增加了一个“Scan Rootkits”选项和“虚拟键盘”.
测试激活码:T1JVS-NNMBD-K1QTN-SUBP8
下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.20%20old%20GUI%21/kis.en.msi
 |
| KIS 7.0.0.20 old GUI |
2007年3月31日星期六
Kaspersky Internet Security 7.0.0.20 old GUI
该版本有不小的改进,并增加了一些新功能,只是界面仍然延续着6.0版本的界面.
这个版本目前只有KIS,没有KAV版本;正好同上次7.0.0.6版本相反.
安装完成后,进入主界面,你会发现有两个“主动防御”模块,增加了一个“Scan Rootkits”选项和“虚拟键盘”.
测试激活码:T1JVS-NNMBD-K1QTN-SUBP8
下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.20%20old%20GUI%21/kis.en.msi
这个版本目前只有KIS,没有KAV版本;正好同上次7.0.0.6版本相反.
安装完成后,进入主界面,你会发现有两个“主动防御”模块,增加了一个“Scan Rootkits”选项和“虚拟键盘”.
测试激活码:T1JVS-NNMBD-K1QTN-SUBP8
下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.20%20old%20GUI%21/kis.en.msi
Kaspersky News Reader
如果你是一名卡巴斯基的铁杆粉丝,那么经常阅读和浏览官方网站或论坛是一件必不可少的事情.Kaspersky News Reader,这个阅读小工具完全可以帮助你及时快速的了解卡巴斯基各种资讯.
该阅读工具提供了:病毒预报、病毒分析、产品新闻和比较测试等各方面的资讯.
下载:http://www.51files.com/?QO9EC9171CFNO45JU9WK
该阅读工具提供了:病毒预报、病毒分析、产品新闻和比较测试等各方面的资讯.
下载:http://www.51files.com/?QO9EC9171CFNO45JU9WK
 |
| Kaspersky News Reader |
安全动力—杀毒软件引擎技术之窥探
病毒和反病毒产品是天生的冤家,由于病毒永无休止的存在,反病毒产品这片领域自然也会出现众多厂商来分割的局面,因此也就衔生出了多种杀毒引擎技术。杀毒引擎是决定一款杀毒软件技术是否成熟可靠的关键,什么是杀毒引擎呢?简言之,它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制,引擎不仅需要具备判断病毒的能力,还必须拥有足够的病毒清理技术和环境恢复技术,如果一款杀毒产品能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功恢复,那它也只能是鸡肋。
为了达到查杀病毒的目的,杀毒引擎自身要实施的行为就要比病毒还病毒,例如,为了及时获得环境变动的监控数据,一些杀毒引擎采用DLL的钩子技术将自身注入系统进程中,这一行为和DLL木马无异;而为了成功拦截查杀驱动级别木马Rootkit,杀毒引擎更需要将自身的一部分作为驱动形式运行,以便进入系统内核领域……说到这里,一些计算机配置较低的用户应该能明白,为什么自己安装杀毒软件后计算机速度明显变慢了,这多半是因为杀毒软件的“文件监控”等功能导致的,因为这一功能的实现原理就如文件型病毒的寄生过程一样,只不过文件型病毒是守候在内存中伺机感染每一个打开的文件,而“文件监控”功能是时刻驻守在内存里检查每一个打开的文件是否存在病毒,两者导致的后果都是程序载入内存的时间增加,在低配置的计算机表现得比较明显罢了。
由于以上提到的原因,杀毒软件是会不可避免的对用户计算机运行速度造成一定影响的,但是为了安全,大部分用户只能牺牲一点工作效率来换取安全了,那么,杀毒引擎的具体实现过程又是如何呢?且让我们来对其窥探一番。
一、守住每一个关卡——程序行为捕获
每个程序运行时都需要进行各种交互动作,如收发网络数据、响应某个触发事件、文件读写操作等,这些交互都被称为“行为”(Action),这个周期过程是可以被跟踪记录的,这就是杀毒引擎必须干涉的第一步,当杀毒软件的环境监视模块启动后,它会嵌入系统的操作接口,使得任何非核心程序和除了杀毒软件自身程序的运作过程都要被它实时监视,这一技术通常通过钩子技术和驱动层挂载实现,每个杀毒软件厂商都预先定义了一套病毒行为判断规范,即在一个给定的范围和置信度下,判断相关操作是否为合法。
例如一个代码执行后被发现试图将自己写入用户请求执行的程序文件体内、或进行特定的复制动作和添加注册表操作,则可将其怀疑为病毒,移交给查毒过程的第二步进一步判断处理。为了实现行为捕获操作,杀毒软件引擎必须将自身模块嵌入系统底层,在这个实现方法上,各大厂商都有自己的一套方案,一般厂商普遍采用的是中间件技术,即通过Hook挂钩方式实现对每个进程的访问,这种方案通过在系统底层与应用程序之间嵌入一个全局钩子DLL模块达到目的,从严格上来说,它的相对安全和稳定性较低,但是在源代码不开放的操作系统层面上,这是最简单的方法。
一部分厂商因为与操作系统厂商存在合作关系,因而获得了较其他厂商杀毒产品要高的操作系统特权,所以他们采用的方案是基于系统最底层的系统核心驱动,这种实现方式是最安全的,或者说最高级的实现方式,至今只有Norton获得了这个特权。随着病毒技术逐渐渗透到Rootkit层次,过去的Hook技术逐渐有点力不从心,于是杀毒厂商开始转入驱动方案,当然,由于没有操作系统厂商的授权,他们并无法实现最底层的核心驱动解决方案,于是杀毒厂商编写了一个称为“软件驱动”的中间件,用于在系统中产生一个虚拟硬件。众所周知,在操作系统中,只有驱动模块能通过一个“硬件抽象层(HAL)”的通讯接口而到达系统底层,如今流行的Rootkit木马也是采用驱动形式进入系统核心的,因此杀毒厂商使用“软件驱动”来实现底层监视的方案是要比一般的Hook技术效果显著的,但是这也不可避免会出现一些问题,如果这个“软件驱动”存在缺陷或者被某些程序异常终止(例如出现未预料的错误),在系统底层无任何保护措施的环境下,最直接的一个后果就是系统蓝屏崩溃,造成可能的损失。
操作系统作为一个复杂的运作体系,其内部是必须实现一定的功能模块来进行分工合作的,这些功能模块像金字塔一样层层堆积,形成了系统的几个“层”,分别是系统核心层、硬件抽象层、用户层。系统核心层(Kernel Layer)位于整个操作系统的最底层,负责系统的基本运作,在这一层里的所有行为都由系统内置的指令来实现,所有外界因素都不会对这一处的行为造成影响。能直接进入这个层交互的程序不多,除了操作系统自身,第三方厂商若要能在此层直接工作,必须和系统厂商建立合作关系,使用系统厂商提供的接口函数才能进入。目前能在这个层面直接工作的杀毒软件只有赛门铁克的Norton AntiVirus。硬件抽象层(Hardware Abstraction Layer)是美国微软公司为了便于操作系统在不同硬件结构上进行移植而提出的将系统底层与硬件相关的部分独立运作的思想,HAL为系统实现了“硬件无关性”,即在不同的硬件平台上,硬件与操作系统的交互也不会有所差异,这样一来,硬件厂商开发驱动的难度便能大大降低,HAL将硬件的接口细节隐藏起来,并为操作系统提供一个标准硬件交互接口,目前所有的硬件驱动都工作在这个层面上,当外界硬件存在指令请求时,驱动程序响应请求并将指令通过HAL转换为系统核心层能理解的指令交给内核执行,如果未找到相应的驱动程序类型,则将其视为“默认硬件”(Default Hardware)处理,什么叫“默认硬件”呢?最简单的例子就是进入安全模式,这时候大部分驱动程序不会被加载,此时的系统便是工作于“默认硬件”上。大部分使用“软件驱动”解决方案的杀毒软件就是在HAL层上虚拟了一个硬件来达到与核心层交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通过这个方案实现了内核交互。用户层(User Layer)就是平时我们直接看到的部分,例如桌面,大部分杀毒软件也是在这一层运行的,主要用于用户接口交互和将指令传递到杀毒引擎。一般运行于Ring3的程序行为也产生于此,一个应用程序产生的指令要求首先被传递到HAL层,HAL层将其解释处理为核心层可以识别的指令串,然后提交给核心层最后进入CPU的指令处理循环,CPU处理完毕后将结果反向送回到用户层上的应用程序,最终得到运算结果。
二、检测的核心——基于引擎机制的规则判断
这一步环节可以称之为病毒判断的核心阶段,一个好的杀毒引擎能在这个阶段识别出相当规模的病毒,其原理是在引擎中内置一部分病毒的特征代码,称为“基于特征码的静态扫描技术”,即杀毒引擎直接在文件中查找自身携带的特征代码,力求尽量在这一步发现病毒。
早期的计算机用户应该记得,当初的杀毒产品并没有非常大的病毒特征数据库,甚至KV300+的所谓病毒特征数据库还是ASCII格式的,并由用户自己手工加入,仅仅作为一种简单的扩充手段来运作而已,这是因为KV300+的主程序内就已经包含了当时各种流行病毒的特征码。但是如今由于网络普及和计算机技术发展,病毒攻势铺天盖地而来,如果单纯靠杀毒引擎自身携带病毒特征代码,将会造成主程序体积过于庞大而无法高效率运行,且升级麻烦等难点,因而杀毒引擎不得不将病毒特征库从自身脱离开来,形成独立的病毒数据库结构来与自身保持联系,这就是“基于特征码的静态扫描技术”的扩展产物:病毒特征代码数据库。
三、在翰林辞典中穿梭——引擎与病毒特征库的交互
由于上述原因,如今的杀毒软件已经不得不采用外部数据库连接的方法来达到识别病毒的效果,病毒特征代码数据库中以特定格式储存了各种病毒的行为标识和静态代码,在工作时,杀毒引擎需要将捕获到的程序行为转换为它自身可以识别的行为标识和静态代码,然后进入病毒特征代码数据库中查询并期待其返回查询结果,因此这个步骤是整个杀毒过程中最慢的,但是不可否认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒引擎的不足之处,但是当今病毒越发复杂和繁多,如此长期以往,病毒特征库将会有一天过于臃肿而导致不良后果,要解决这个问题,只能在核心技术上尽量实现将病毒检测工作在第二步完成,只可惜在当前我们仍然没有能够实现这个想法的杀毒引擎技术,因此如今的杀毒软件或多或少都依赖着一个几十MB的病毒特征库来维持工作,杀毒厂商在杀毒引擎核心未进行关键修改时发布的病毒更新其实也就是为了往这个特征数据库中添加最新发现的病毒数据,以达到查杀新病毒的作用。
“基于特征码的静态扫描技术”的最大弱点在于它无法发现和查杀“未公开”或“未收录”的病毒,由于它的大部分判断依据来自病毒特征代码数据库,一旦用户被感染了病毒中的“0day”或“私人后门”,杀毒软件就无能为力,甚至落得个被病毒终结运行的下场,当然,由于杀毒软件自身的校验机制,一般不会有病毒愚蠢到去感染杀毒软件,但是如果一个杀毒软件被病毒终止了,它就无法对用户的计算机实施病毒防护了,但是如何判断阻止由病毒发出的关闭指令,而不影响用户正常点击杀毒软件自身提供的“退出”功能,这也是个难题。
一部分杀毒引擎会通过自身的病毒行为判断规范来“怀疑”某些未收录在数据库中的程序为病毒,并询问用户需要什么解决方案,一般情况下,杀毒软件最折衷的默认解决方案是将被怀疑动机不纯的程序文件改名备份到一个被称为“隔离区”的文件夹中,然后将该原始文件销毁。这样做或许能达到查杀未知病毒的目的,但是我们也不能忽视其可能带来的严重后果,例如某个关键文件或重要文档感染了病毒,如果杀毒软件不由分说就将其消灭,那就很可能引发系统崩溃甚至经济损失,因为一个健全稳妥的查杀过程和环境恢复是很重要的。
四、月光宝盒——病毒查杀和系统环境恢复
当杀毒引擎检测到病毒时,需要分为两种情况对待,首先是尚未来得及进行感染或破坏行为的病毒,在这种情况下杀毒引擎只需要简单删除文件就可以了,但是日常操作中用户面临最多的还是已经被病毒实施感染破坏行为后的系统环境,在这种情况下,杀毒引擎必须在使用适当的方式查杀病毒后,根据病毒特征库中记录的病毒行为来智能判断当前系统环境遭受破坏的情况并进行恢复,例如对于受病毒感染的文件,杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除,这个过程必须非常谨慎,否则直接的后果就是导致原文件被破坏,这样的杀毒就毫无意义了。
而对于非文件型的木马和恶意程序,由于它们会通过各种方式篡改系统注册表甚至系统文件来达到加载自身之目的,杀毒引擎在清除了这些病毒后能否准确有效的恢复受破坏的系统环境,就是对杀毒引擎的最大挑战。病毒隐藏技术已经从最初的简单加载单一启动项,演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式,甚至采用多项结合的方法,使得查杀工作变得十分困难,甚至只要遗漏了一个文件未能清除,病毒便能卷土重来,因此,如何有效准确的判断和修复受损环境,也是衡量杀毒引擎技术是否成熟的关键。
以上说的是杀毒引擎完整工作过程的原理,那么,它所采取的技术有哪些呢?目前,主流的技术有两种:虚拟机技术、实时监控技术。除此之外,还有两种最新的技术仍在试验阶段,分别是智能码标识技术和行为拦截技术。
1.虚拟机技术一提起虚拟机,部分读者可能就会联想到VMWare去了,然而这里提到的虚拟机并非如此。在反病毒界里,虚拟机也被称为通用解密器,已经成为反病毒软件中最重要的部分之一。杀毒引擎的虚拟机技术并非是为病毒提供一套计算机仿真系统,让其在内部折腾直到暴露出病毒行为特征,在这里的虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。
这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果,最初虚拟机技术是为了对付变形病毒而产生的,因为变形病毒会将自身代码以一定的方式进行多次变换,这样传统静态特征码扫描技术就对其无能为力,因为它根本无法确认特征码,但是即使再强悍的变形病毒也不可避免在运行时出现一段相对固定的机器码,否则它自身也无法正常运行完成变形过程,而由于这段机器码只有在运行时才能被捕获到,因此工程师开发了“虚拟机技术”诱使病毒在杀毒引擎产生的“CPU”里尽情运行,而后根据其固定机器码匹配病毒特征数据库中的静态特征来判断这个程序是否病毒。虽然这个技术可能会导致误报,但是仍不能否认其是一种有效的方法。
2.实时监控技术,说白了其实就是一个文件监视器,它会在文件打开、关闭、修改等操作时将其拦截并送入查毒模块进行分析,而在如今的操作系统中要实现对所有文件操作的拦截并非易事,这需要涉及系统核心,因此,这里所采取的方案原型,就是“软件驱动”。通过驱动进入核心,便能获知每个文件的操作情况并做出反应了。这项技术的难度在于驱动代码的编写,由于内核没有异常处理过程,在这里执行的代码稍有一点错漏都能直接导致系统崩溃,且驱动与用户层的实时交互也需要一套复杂的实现方案,因此只有一定实力的厂家才实现这项技术,且实现了这项技术的厂家大部分都会连同虚拟机技术、静态特征码扫描技术一起结合起来,最终形成自己的产品。
为了达到查杀病毒的目的,杀毒引擎自身要实施的行为就要比病毒还病毒,例如,为了及时获得环境变动的监控数据,一些杀毒引擎采用DLL的钩子技术将自身注入系统进程中,这一行为和DLL木马无异;而为了成功拦截查杀驱动级别木马Rootkit,杀毒引擎更需要将自身的一部分作为驱动形式运行,以便进入系统内核领域……说到这里,一些计算机配置较低的用户应该能明白,为什么自己安装杀毒软件后计算机速度明显变慢了,这多半是因为杀毒软件的“文件监控”等功能导致的,因为这一功能的实现原理就如文件型病毒的寄生过程一样,只不过文件型病毒是守候在内存中伺机感染每一个打开的文件,而“文件监控”功能是时刻驻守在内存里检查每一个打开的文件是否存在病毒,两者导致的后果都是程序载入内存的时间增加,在低配置的计算机表现得比较明显罢了。
由于以上提到的原因,杀毒软件是会不可避免的对用户计算机运行速度造成一定影响的,但是为了安全,大部分用户只能牺牲一点工作效率来换取安全了,那么,杀毒引擎的具体实现过程又是如何呢?且让我们来对其窥探一番。
一、守住每一个关卡——程序行为捕获
每个程序运行时都需要进行各种交互动作,如收发网络数据、响应某个触发事件、文件读写操作等,这些交互都被称为“行为”(Action),这个周期过程是可以被跟踪记录的,这就是杀毒引擎必须干涉的第一步,当杀毒软件的环境监视模块启动后,它会嵌入系统的操作接口,使得任何非核心程序和除了杀毒软件自身程序的运作过程都要被它实时监视,这一技术通常通过钩子技术和驱动层挂载实现,每个杀毒软件厂商都预先定义了一套病毒行为判断规范,即在一个给定的范围和置信度下,判断相关操作是否为合法。
例如一个代码执行后被发现试图将自己写入用户请求执行的程序文件体内、或进行特定的复制动作和添加注册表操作,则可将其怀疑为病毒,移交给查毒过程的第二步进一步判断处理。为了实现行为捕获操作,杀毒软件引擎必须将自身模块嵌入系统底层,在这个实现方法上,各大厂商都有自己的一套方案,一般厂商普遍采用的是中间件技术,即通过Hook挂钩方式实现对每个进程的访问,这种方案通过在系统底层与应用程序之间嵌入一个全局钩子DLL模块达到目的,从严格上来说,它的相对安全和稳定性较低,但是在源代码不开放的操作系统层面上,这是最简单的方法。
一部分厂商因为与操作系统厂商存在合作关系,因而获得了较其他厂商杀毒产品要高的操作系统特权,所以他们采用的方案是基于系统最底层的系统核心驱动,这种实现方式是最安全的,或者说最高级的实现方式,至今只有Norton获得了这个特权。随着病毒技术逐渐渗透到Rootkit层次,过去的Hook技术逐渐有点力不从心,于是杀毒厂商开始转入驱动方案,当然,由于没有操作系统厂商的授权,他们并无法实现最底层的核心驱动解决方案,于是杀毒厂商编写了一个称为“软件驱动”的中间件,用于在系统中产生一个虚拟硬件。众所周知,在操作系统中,只有驱动模块能通过一个“硬件抽象层(HAL)”的通讯接口而到达系统底层,如今流行的Rootkit木马也是采用驱动形式进入系统核心的,因此杀毒厂商使用“软件驱动”来实现底层监视的方案是要比一般的Hook技术效果显著的,但是这也不可避免会出现一些问题,如果这个“软件驱动”存在缺陷或者被某些程序异常终止(例如出现未预料的错误),在系统底层无任何保护措施的环境下,最直接的一个后果就是系统蓝屏崩溃,造成可能的损失。
操作系统作为一个复杂的运作体系,其内部是必须实现一定的功能模块来进行分工合作的,这些功能模块像金字塔一样层层堆积,形成了系统的几个“层”,分别是系统核心层、硬件抽象层、用户层。系统核心层(Kernel Layer)位于整个操作系统的最底层,负责系统的基本运作,在这一层里的所有行为都由系统内置的指令来实现,所有外界因素都不会对这一处的行为造成影响。能直接进入这个层交互的程序不多,除了操作系统自身,第三方厂商若要能在此层直接工作,必须和系统厂商建立合作关系,使用系统厂商提供的接口函数才能进入。目前能在这个层面直接工作的杀毒软件只有赛门铁克的Norton AntiVirus。硬件抽象层(Hardware Abstraction Layer)是美国微软公司为了便于操作系统在不同硬件结构上进行移植而提出的将系统底层与硬件相关的部分独立运作的思想,HAL为系统实现了“硬件无关性”,即在不同的硬件平台上,硬件与操作系统的交互也不会有所差异,这样一来,硬件厂商开发驱动的难度便能大大降低,HAL将硬件的接口细节隐藏起来,并为操作系统提供一个标准硬件交互接口,目前所有的硬件驱动都工作在这个层面上,当外界硬件存在指令请求时,驱动程序响应请求并将指令通过HAL转换为系统核心层能理解的指令交给内核执行,如果未找到相应的驱动程序类型,则将其视为“默认硬件”(Default Hardware)处理,什么叫“默认硬件”呢?最简单的例子就是进入安全模式,这时候大部分驱动程序不会被加载,此时的系统便是工作于“默认硬件”上。大部分使用“软件驱动”解决方案的杀毒软件就是在HAL层上虚拟了一个硬件来达到与核心层交互的效果,如McAfee、卡巴斯基等,瑞星2006也是通过这个方案实现了内核交互。用户层(User Layer)就是平时我们直接看到的部分,例如桌面,大部分杀毒软件也是在这一层运行的,主要用于用户接口交互和将指令传递到杀毒引擎。一般运行于Ring3的程序行为也产生于此,一个应用程序产生的指令要求首先被传递到HAL层,HAL层将其解释处理为核心层可以识别的指令串,然后提交给核心层最后进入CPU的指令处理循环,CPU处理完毕后将结果反向送回到用户层上的应用程序,最终得到运算结果。
二、检测的核心——基于引擎机制的规则判断
这一步环节可以称之为病毒判断的核心阶段,一个好的杀毒引擎能在这个阶段识别出相当规模的病毒,其原理是在引擎中内置一部分病毒的特征代码,称为“基于特征码的静态扫描技术”,即杀毒引擎直接在文件中查找自身携带的特征代码,力求尽量在这一步发现病毒。
早期的计算机用户应该记得,当初的杀毒产品并没有非常大的病毒特征数据库,甚至KV300+的所谓病毒特征数据库还是ASCII格式的,并由用户自己手工加入,仅仅作为一种简单的扩充手段来运作而已,这是因为KV300+的主程序内就已经包含了当时各种流行病毒的特征码。但是如今由于网络普及和计算机技术发展,病毒攻势铺天盖地而来,如果单纯靠杀毒引擎自身携带病毒特征代码,将会造成主程序体积过于庞大而无法高效率运行,且升级麻烦等难点,因而杀毒引擎不得不将病毒特征库从自身脱离开来,形成独立的病毒数据库结构来与自身保持联系,这就是“基于特征码的静态扫描技术”的扩展产物:病毒特征代码数据库。
三、在翰林辞典中穿梭——引擎与病毒特征库的交互
由于上述原因,如今的杀毒软件已经不得不采用外部数据库连接的方法来达到识别病毒的效果,病毒特征代码数据库中以特定格式储存了各种病毒的行为标识和静态代码,在工作时,杀毒引擎需要将捕获到的程序行为转换为它自身可以识别的行为标识和静态代码,然后进入病毒特征代码数据库中查询并期待其返回查询结果,因此这个步骤是整个杀毒过程中最慢的,但是不可否认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒引擎的不足之处,但是当今病毒越发复杂和繁多,如此长期以往,病毒特征库将会有一天过于臃肿而导致不良后果,要解决这个问题,只能在核心技术上尽量实现将病毒检测工作在第二步完成,只可惜在当前我们仍然没有能够实现这个想法的杀毒引擎技术,因此如今的杀毒软件或多或少都依赖着一个几十MB的病毒特征库来维持工作,杀毒厂商在杀毒引擎核心未进行关键修改时发布的病毒更新其实也就是为了往这个特征数据库中添加最新发现的病毒数据,以达到查杀新病毒的作用。
“基于特征码的静态扫描技术”的最大弱点在于它无法发现和查杀“未公开”或“未收录”的病毒,由于它的大部分判断依据来自病毒特征代码数据库,一旦用户被感染了病毒中的“0day”或“私人后门”,杀毒软件就无能为力,甚至落得个被病毒终结运行的下场,当然,由于杀毒软件自身的校验机制,一般不会有病毒愚蠢到去感染杀毒软件,但是如果一个杀毒软件被病毒终止了,它就无法对用户的计算机实施病毒防护了,但是如何判断阻止由病毒发出的关闭指令,而不影响用户正常点击杀毒软件自身提供的“退出”功能,这也是个难题。
一部分杀毒引擎会通过自身的病毒行为判断规范来“怀疑”某些未收录在数据库中的程序为病毒,并询问用户需要什么解决方案,一般情况下,杀毒软件最折衷的默认解决方案是将被怀疑动机不纯的程序文件改名备份到一个被称为“隔离区”的文件夹中,然后将该原始文件销毁。这样做或许能达到查杀未知病毒的目的,但是我们也不能忽视其可能带来的严重后果,例如某个关键文件或重要文档感染了病毒,如果杀毒软件不由分说就将其消灭,那就很可能引发系统崩溃甚至经济损失,因为一个健全稳妥的查杀过程和环境恢复是很重要的。
四、月光宝盒——病毒查杀和系统环境恢复
当杀毒引擎检测到病毒时,需要分为两种情况对待,首先是尚未来得及进行感染或破坏行为的病毒,在这种情况下杀毒引擎只需要简单删除文件就可以了,但是日常操作中用户面临最多的还是已经被病毒实施感染破坏行为后的系统环境,在这种情况下,杀毒引擎必须在使用适当的方式查杀病毒后,根据病毒特征库中记录的病毒行为来智能判断当前系统环境遭受破坏的情况并进行恢复,例如对于受病毒感染的文件,杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除,这个过程必须非常谨慎,否则直接的后果就是导致原文件被破坏,这样的杀毒就毫无意义了。
而对于非文件型的木马和恶意程序,由于它们会通过各种方式篡改系统注册表甚至系统文件来达到加载自身之目的,杀毒引擎在清除了这些病毒后能否准确有效的恢复受破坏的系统环境,就是对杀毒引擎的最大挑战。病毒隐藏技术已经从最初的简单加载单一启动项,演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式,甚至采用多项结合的方法,使得查杀工作变得十分困难,甚至只要遗漏了一个文件未能清除,病毒便能卷土重来,因此,如何有效准确的判断和修复受损环境,也是衡量杀毒引擎技术是否成熟的关键。
以上说的是杀毒引擎完整工作过程的原理,那么,它所采取的技术有哪些呢?目前,主流的技术有两种:虚拟机技术、实时监控技术。除此之外,还有两种最新的技术仍在试验阶段,分别是智能码标识技术和行为拦截技术。
1.虚拟机技术一提起虚拟机,部分读者可能就会联想到VMWare去了,然而这里提到的虚拟机并非如此。在反病毒界里,虚拟机也被称为通用解密器,已经成为反病毒软件中最重要的部分之一。杀毒引擎的虚拟机技术并非是为病毒提供一套计算机仿真系统,让其在内部折腾直到暴露出病毒行为特征,在这里的虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。
这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果,最初虚拟机技术是为了对付变形病毒而产生的,因为变形病毒会将自身代码以一定的方式进行多次变换,这样传统静态特征码扫描技术就对其无能为力,因为它根本无法确认特征码,但是即使再强悍的变形病毒也不可避免在运行时出现一段相对固定的机器码,否则它自身也无法正常运行完成变形过程,而由于这段机器码只有在运行时才能被捕获到,因此工程师开发了“虚拟机技术”诱使病毒在杀毒引擎产生的“CPU”里尽情运行,而后根据其固定机器码匹配病毒特征数据库中的静态特征来判断这个程序是否病毒。虽然这个技术可能会导致误报,但是仍不能否认其是一种有效的方法。
2.实时监控技术,说白了其实就是一个文件监视器,它会在文件打开、关闭、修改等操作时将其拦截并送入查毒模块进行分析,而在如今的操作系统中要实现对所有文件操作的拦截并非易事,这需要涉及系统核心,因此,这里所采取的方案原型,就是“软件驱动”。通过驱动进入核心,便能获知每个文件的操作情况并做出反应了。这项技术的难度在于驱动代码的编写,由于内核没有异常处理过程,在这里执行的代码稍有一点错漏都能直接导致系统崩溃,且驱动与用户层的实时交互也需要一套复杂的实现方案,因此只有一定实力的厂家才实现这项技术,且实现了这项技术的厂家大部分都会连同虚拟机技术、静态特征码扫描技术一起结合起来,最终形成自己的产品。
2007年3月30日星期五
卡巴斯基“豪情开春”推广月即将火爆登场
为了让国内用户全面体验到世界级反病毒技术以及提高零售终端服务水平,近期,国际知名信息安全厂商卡巴斯基发起“豪情开春”推广月活动。此活动将在国内30多个大中城市全面展开,在推广月期间,用户不但能够在零售终端获取卡巴斯基产品及服务等相关信息,还可以参与其所举行的相关优惠活动,此举也拉开了卡巴斯基2007年春季大规模市场推广活动的序幕。
据了解,在“豪情开春”推广月期间,卡巴斯基将在各地推出限量版预售、有奖促销及 “月月大酬宾 幸运抽大奖”消息发布等多项内容。届时,卡巴斯基限量版预售将在线上、终端店面及路演现场同步展开。限量版包装精美,极具收藏价值,另外,还有超值礼品敬候各地卡饭们;在各地路演现场举行的有奖促销活动上,消费者在购买卡巴斯基旗舰产品后,除了获取由主办方赠送的礼品外,还有机会免费得到价值570元的KIS6.0。
同时,为了回馈国内用户对卡巴斯基的鼎力支持,其与数字星空共同制定的用户答谢计划也将在此间启动,从2007年4月1日至6月30日,卡巴斯基将凭借用户提交的盒装产品条码,抽选出月度幸运消费者,中奖用户可获得由卡巴斯基与数字星空联手馈赠的笔记本电脑及数码照相机等超值大礼一份,详情可参见卡巴斯基官方指定下载升级站:http://www.kaba365.com/?fsid=83
另据卡巴斯基相关人士介绍,3月31日,首批路演活动将在成都、沈阳、哈尔滨等十几个城市同步展开。此次在推广月活动的全力投入将为国内用户深入了解卡巴斯基倾入活力。
据了解,在“豪情开春”推广月期间,卡巴斯基将在各地推出限量版预售、有奖促销及 “月月大酬宾 幸运抽大奖”消息发布等多项内容。届时,卡巴斯基限量版预售将在线上、终端店面及路演现场同步展开。限量版包装精美,极具收藏价值,另外,还有超值礼品敬候各地卡饭们;在各地路演现场举行的有奖促销活动上,消费者在购买卡巴斯基旗舰产品后,除了获取由主办方赠送的礼品外,还有机会免费得到价值570元的KIS6.0。
同时,为了回馈国内用户对卡巴斯基的鼎力支持,其与数字星空共同制定的用户答谢计划也将在此间启动,从2007年4月1日至6月30日,卡巴斯基将凭借用户提交的盒装产品条码,抽选出月度幸运消费者,中奖用户可获得由卡巴斯基与数字星空联手馈赠的笔记本电脑及数码照相机等超值大礼一份,详情可参见卡巴斯基官方指定下载升级站:http://www.kaba365.com/?fsid=83
另据卡巴斯基相关人士介绍,3月31日,首批路演活动将在成都、沈阳、哈尔滨等十几个城市同步展开。此次在推广月活动的全力投入将为国内用户深入了解卡巴斯基倾入活力。
卡巴斯基小助手V1.2
该软件为为绿色软件,无任何插件或广告程序.
运行前,请先确认安装了Microsoft.NET Framework 2.0没有.
功能介绍:
1.更改病毒库位置
2.查杀病毒(内存扫描和全盘扫描)
3.在线升级(病毒库升级和程序组件升级)
4. 下载程序(官方简体中文版本)
下载:http://www.51files.com/?A72N59TMG3TABA42FZ38
运行前,请先确认安装了Microsoft.NET Framework 2.0没有.
功能介绍:
1.更改病毒库位置
2.查杀病毒(内存扫描和全盘扫描)
3.在线升级(病毒库升级和程序组件升级)
4. 下载程序(官方简体中文版本)
下载:http://www.51files.com/?A72N59TMG3TABA42FZ38
 |
| 卡巴斯基小助手V1. |
防重于杀 杀毒软件PK灰鸽子实测
这段时间里,到处可见关于灰鸽子的新闻。先是金山宣布灰鸽子爆发,当天网站遭报复;随后灰鸽子工作室发表声明表示自己无辜,并发布卸载器;3月21日,灰鸽子工作室宣布关门,至此可算告一段落了。但是,由于灰鸽子的流传广泛,即使官方停止了开发,网络上仍流传不同的变种版本。所以对于普通用户来说,不能放松警惕而导致感染其他的变种。
虽然风头差不多已经过去,但是我们觉得仍然有必要就灰鸽子来检验一下常用安全软件强度如何,以防造成任何的损失。所以我们选择了国内三家,国外三家安全产品来进行一次测试。这六款产品分别是:金山毒霸、瑞星杀毒软件、江民杀毒软件、诺顿防病毒软件、NOD32和卡巴斯基。
测评报告:
1.参测软件
2.如何测试
3.测试表现(一)
4.测试表现(二)
5.测试表现(三)
6.测评总结
附:本人认为,其实灰鸽子并没有大规模爆发的迹象,这完全是金山抄做的结果.在熊猫烧香“泛滥”的那段时间里,瑞星出尽了风头,名利双收;所以金山想借这次机会,好好“表现”一下自己.
虽然风头差不多已经过去,但是我们觉得仍然有必要就灰鸽子来检验一下常用安全软件强度如何,以防造成任何的损失。所以我们选择了国内三家,国外三家安全产品来进行一次测试。这六款产品分别是:金山毒霸、瑞星杀毒软件、江民杀毒软件、诺顿防病毒软件、NOD32和卡巴斯基。
测评报告:
1.参测软件
2.如何测试
3.测试表现(一)
4.测试表现(二)
5.测试表现(三)
6.测评总结
附:本人认为,其实灰鸽子并没有大规模爆发的迹象,这完全是金山抄做的结果.在熊猫烧香“泛滥”的那段时间里,瑞星出尽了风头,名利双收;所以金山想借这次机会,好好“表现”一下自己.
2007年3月29日星期四
卡巴斯基KIS授权许可key文件
卡巴斯基封锁非法授权无可厚非,毕竟你用了人家的服务还不给钱,放在那里都说不过去.但是卡巴斯基在中国出售产品的价格,确实定的有点高,没有考虑地域性和国内的消费水平.因而造成目前正版用户没多少,到处是非法用户....
呵呵,废话就不多说了.为了广大卡巴斯基爱好者,我从网络上收集了一些目前可用的key文件(适合于KIS,至于KAV完全可以用360安全卫士提供的半年激活码);这些授权文件我已经都试过了(有效期都在2008年),完全可用,至于能否用到2008年,那还得看卡巴斯基的脸色,一个不好又被封了!
下载:http://www.51files.com/?UTFTPLNMXNA94Q8CE5TH
呵呵,废话就不多说了.为了广大卡巴斯基爱好者,我从网络上收集了一些目前可用的key文件(适合于KIS,至于KAV完全可以用360安全卫士提供的半年激活码);这些授权文件我已经都试过了(有效期都在2008年),完全可用,至于能否用到2008年,那还得看卡巴斯基的脸色,一个不好又被封了!
下载:http://www.51files.com/?UTFTPLNMXNA94Q8CE5TH
本是同根生 相煎何太急
目前,有人发现卡巴斯基旧版(5.0版本)出现了对最新简体中文版(6.0.2.621)的误杀现象.该误杀的6.0.2.621版本包括卡巴斯基国内指定下载升级站上的3.22版和昨天发布在卡巴斯基官方FTP上的3.28版.
KAV 6.0.2.621(3.22)MD5:9B34274AC6427E83FA51432432739B41
KIS 6.0.2.621(3.22)MD5:0333EE6D173B9F893452A6F7902FCAEE
KAV 6.0.2.621(3.28)MD5:640437C43057BDBE42A8CBB08C7C5BBE
KIS 6.0.2.621(3.28)MD5:F01A3C562DF88110B857C52F0BF6ECFC
附:由于我的电脑上没有安装卡巴斯基5.0,所以无法对这个误杀进行确认;如果有人装了5.0版,可以试试看.
刚刚(2007.03.29 19:45)登陆卡巴斯基国内指定下载升级站后,发现简体中文版6.0.0.307已经替换了原来的6.0.2.621版本(3.22).
KAV 6.0.2.621(3.22)MD5:9B34274AC6427E83FA51432432739B41
KIS 6.0.2.621(3.22)MD5:0333EE6D173B9F893452A6F7902FCAEE
KAV 6.0.2.621(3.28)MD5:640437C43057BDBE42A8CBB08C7C5BBE
KIS 6.0.2.621(3.28)MD5:F01A3C562DF88110B857C52F0BF6ECFC
 |
| 本是同根生 相煎何太急 |
附:由于我的电脑上没有安装卡巴斯基5.0,所以无法对这个误杀进行确认;如果有人装了5.0版,可以试试看.
刚刚(2007.03.29 19:45)登陆卡巴斯基国内指定下载升级站后,发现简体中文版6.0.0.307已经替换了原来的6.0.2.621版本(3.22).
2007年3月28日星期三
卡巴斯基(Kaspersky) KAV/KIS 6.0.2.621官方简体中文版(3.28)
该版本(28/03/2007)没有实质性的改进,仅仅是解决了上一个版本中乱码情况.目前,在卡巴斯基实验室官方FTP上,6.0.2.621简体中文版共有3.20,3.22和3.28这三个版本.
Kaspersky Anti-Virus 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070328/kav6.sch.msi
Kaspersky Internet Security 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070328/kis6.sch.msi
Kaspersky Anti-Virus 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070328/kav6.sch.msi
Kaspersky Internet Security 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070328/kis6.sch.msi
KIS 6.0注册信息清除工具
当你的非法授权key文件,被卡巴斯基封了后;大家都会自己动手到“服务”面板,删除掉被封了的key文件,然后再添加可以用的.但有时候,重新添加的key文件,无法显示授权许可信息(序列号、类型、过期时间),这是因为系统中还残留有非法key文件的信息,这里有一个注册信息清除工具可以帮助你.大家可以按照下面五张图的步骤来操作.
下载:http://www.51files.com/?BIE9S7EP7T0RW6JZ73T1
下载:http://www.51files.com/?BIE9S7EP7T0RW6JZ73T1
 |
| KIS6.0注册信息 |
下一代入侵检测关键技术浅谈
入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威胁”等术语,这里所指的“威胁”与入侵的含义基本相同,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图,致使系统不可靠或无法使用。1987年DorothyE. Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。1988年,Morris蠕虫事件加快了对入侵检测系统(IDS :Intrusion Detection System)的开发研究。
在过去的20年里,网络技术在不断发展,攻击者水平在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们正不遗余力地与所有安全产品进行着斗争。攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代,使得IDS产品从一个简单机械的产品发展成为智能化的产品。
一、目前IDS存在的缺陷入侵检测系统作为网络安全防护的重要手段,有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题,有待于我们进一步完善。
1.高误警(误报)率误警的传统定义是将良性流量误认为恶性的。广义上讲,误警还包括对IDS用户不关心事件的告警。因此,导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。
2.产品适应能力低 传统的IDS产品在开发时没有考虑特定网络环境的需求,千篇一律。网络技术在发展,网络设备变得复杂化、多样化,这就需要入侵检测产品能动态调整,以适应不同环境的需求。
3.大型网络的管理问题很多企业规模在不断扩大,对IDS产品的部署从单点发展到跨区域全球部署,这就将公司对产品管理的问题提上日程。首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;此外,还要解决攻击特征库的建立,配置以及更新问题。
4.缺少防御功能检测,作为一种被动且功能有限的技术,缺乏主动防御功能。因此,需要在下一代IDS产品中嵌入防御功能,才能变被动为主动。
5.评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断升级才能保证网络的安全性。
6.处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现,如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。
二、下一代IDS系统采用的技术为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器,下一代入侵检测产品需要包含以下关键技术。
1.智能关联智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误警。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
下面将详细介绍指纹识别技术。
(1)IDS有时会出现误报(主机系统本身并不存在某种漏洞,而IDS报告系统存在该漏洞)造成这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时,没有考虑主机的脆弱性信息。以针对Windows操作系统的RPC攻击为例,当网络中存在RPC攻击时,即使该网络中只有基于Linux的机器,IDS也会产生告警,这就是一种误报现象。为了解决这个问题,需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库,该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统(OS)类型。
(2)被动指纹识别技术的工作原理被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小(Windowsize)、数据报存活期(TTL)、DF(don'tfragment)标志以及数据报长(Totallength)。窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。多数UNIX操作系统在TCP会话期间不改变它的值,而在Windows操作系统中有可能改变。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值代表不同的OS,TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。
(3)被动指纹识别技术工作流程具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。指纹识别引擎检查SYN报头,提取特定标识符;从特征库中提取目标主机上的操作系统信息;更新主机信息表;传感器检测到带有恶意信息的数据报,在发出警告前先与主机信息表中的内容进行比较;传感器发现该恶意数据报是针对Windows服务器的,而目标主机是Linux服务器,所以IDS将抑制该告警的产生。 因此,当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的证据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。一些IDS经销商已经把OS指纹识别的概念扩展到应用程序指纹识别,甚至到更广泛的用途上。
2.告警泛滥抑制IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥;IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样,网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.告警融合该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4.可信任防御模型改进的IDS中应该包含可信任防御模型的概念。事实上,2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时,IPS(入侵防御系统)产品的使用率在增长,但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做,部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型;所以,开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。下一代IDS产品中,融入可信任防御模型后,将会对第一代IPS产品遇到的问题(误报导致合法数据被阻塞、丢弃;自身原因造成的拒绝服务攻击泛滥;应用级防御)有个圆满的解决。
在过去的20年里,网络技术在不断发展,攻击者水平在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们正不遗余力地与所有安全产品进行着斗争。攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代,使得IDS产品从一个简单机械的产品发展成为智能化的产品。
一、目前IDS存在的缺陷入侵检测系统作为网络安全防护的重要手段,有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题,有待于我们进一步完善。
1.高误警(误报)率误警的传统定义是将良性流量误认为恶性的。广义上讲,误警还包括对IDS用户不关心事件的告警。因此,导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。
2.产品适应能力低 传统的IDS产品在开发时没有考虑特定网络环境的需求,千篇一律。网络技术在发展,网络设备变得复杂化、多样化,这就需要入侵检测产品能动态调整,以适应不同环境的需求。
3.大型网络的管理问题很多企业规模在不断扩大,对IDS产品的部署从单点发展到跨区域全球部署,这就将公司对产品管理的问题提上日程。首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;此外,还要解决攻击特征库的建立,配置以及更新问题。
4.缺少防御功能检测,作为一种被动且功能有限的技术,缺乏主动防御功能。因此,需要在下一代IDS产品中嵌入防御功能,才能变被动为主动。
5.评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断升级才能保证网络的安全性。
6.处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现,如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。
二、下一代IDS系统采用的技术为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器,下一代入侵检测产品需要包含以下关键技术。
1.智能关联智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误警。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
下面将详细介绍指纹识别技术。
(1)IDS有时会出现误报(主机系统本身并不存在某种漏洞,而IDS报告系统存在该漏洞)造成这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时,没有考虑主机的脆弱性信息。以针对Windows操作系统的RPC攻击为例,当网络中存在RPC攻击时,即使该网络中只有基于Linux的机器,IDS也会产生告警,这就是一种误报现象。为了解决这个问题,需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库,该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统(OS)类型。
(2)被动指纹识别技术的工作原理被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小(Windowsize)、数据报存活期(TTL)、DF(don'tfragment)标志以及数据报长(Totallength)。窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。多数UNIX操作系统在TCP会话期间不改变它的值,而在Windows操作系统中有可能改变。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值代表不同的OS,TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。
(3)被动指纹识别技术工作流程具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。指纹识别引擎检查SYN报头,提取特定标识符;从特征库中提取目标主机上的操作系统信息;更新主机信息表;传感器检测到带有恶意信息的数据报,在发出警告前先与主机信息表中的内容进行比较;传感器发现该恶意数据报是针对Windows服务器的,而目标主机是Linux服务器,所以IDS将抑制该告警的产生。 因此,当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的证据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。一些IDS经销商已经把OS指纹识别的概念扩展到应用程序指纹识别,甚至到更广泛的用途上。
2.告警泛滥抑制IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥;IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样,网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.告警融合该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4.可信任防御模型改进的IDS中应该包含可信任防御模型的概念。事实上,2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时,IPS(入侵防御系统)产品的使用率在增长,但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做,部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型;所以,开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。下一代IDS产品中,融入可信任防御模型后,将会对第一代IPS产品遇到的问题(误报导致合法数据被阻塞、丢弃;自身原因造成的拒绝服务攻击泛滥;应用级防御)有个圆满的解决。
2007年3月27日星期二
网络防火墙和病毒防火墙的差别
“防火墙(Firewall)”一词,在网络术语中是指一种软件,它可以在用户的计算机和Internet之间建立起一道屏障(Wall),把用户和网络隔离开来;用户可以通过设定规则(rule)来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输。通过这样的方式,防火墙承受住所有对用户的网络攻击,从而保障用户的网络安全。
“病毒防火墙”,这种与网络防火墙不同范畴的软件由于有着"防火墙"的名义,所以用户通常把这两种产品给混淆了;甚至有用户问到类似"我已经安装了杀毒软件,还需不需要安装防火墙这样的问题。所以在这里我们有必要阐述这两种产品之间有些怎么样的本质差别。
病毒防火墙
通过一些病毒防火墙的软件实例我们可以知道,所谓的“病毒防火墙”,其实和网络防火墙根本不是一个范畴的东西,它确却的说应该该称为“病毒实时检测和清除系统”,是反病毒软件的工作模式之一。当它们运行的时候,会把病毒特征监控的程序驻留内存中,随时查看系统的运行中是否有病毒的迹象;一旦发现有携带病毒的文件,它们就会马上激活杀毒处理的模块,先禁止带毒文件的运行或打开,再马上查杀带毒的文件。病毒防火墙就是以这样的方式,监控着用户的系统不被病毒所感染。
所以实际上,病毒防火墙不是说对网络应用的病毒进行监控;它是对所有的系统应用软件进行监控。由此来保障用户系统的“无毒”环境。
网络防火墙
上面已经说过了,网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置,使得合法的链路得以建立;而非法的连接将被禁止,同时通过各种手段屏蔽掉用户的隐私信息,以保障用户的对网络访问的安全。
同上所说,网络防火墙并不监控全部的系统应用程序进程,它只是对有网络访问那部分应用程序做监控。当它控制了系统的网络传输之后,所有的网络流量都必须通过它的规则匹配。所以利用网络防火墙,可以有效的管理用户系统的网络应用,同时保护用户的系统不为各种非法的网络攻击所伤害。
由于目前有许多病毒通过网络的方式来传播,所以,范畴不同的这两种产品有了交叉应用的可能。出于对网络的全权控制,网络防火墙可以切断病毒对网络的访问;而且不管它是如何的变形、变种,只要病毒的危害还是必须通过网络才能实现的话就无法逃离网络防火墙的控制。与此同事,一些网络入侵特有的后门软件(像木马),也被列入“病毒”之列而可以被“病毒防火墙”所监控到并清除。这样来看,反病毒产品和网络安全产品有了交叉融合。
“病毒防火墙”,这种与网络防火墙不同范畴的软件由于有着"防火墙"的名义,所以用户通常把这两种产品给混淆了;甚至有用户问到类似"我已经安装了杀毒软件,还需不需要安装防火墙这样的问题。所以在这里我们有必要阐述这两种产品之间有些怎么样的本质差别。
病毒防火墙
通过一些病毒防火墙的软件实例我们可以知道,所谓的“病毒防火墙”,其实和网络防火墙根本不是一个范畴的东西,它确却的说应该该称为“病毒实时检测和清除系统”,是反病毒软件的工作模式之一。当它们运行的时候,会把病毒特征监控的程序驻留内存中,随时查看系统的运行中是否有病毒的迹象;一旦发现有携带病毒的文件,它们就会马上激活杀毒处理的模块,先禁止带毒文件的运行或打开,再马上查杀带毒的文件。病毒防火墙就是以这样的方式,监控着用户的系统不被病毒所感染。
所以实际上,病毒防火墙不是说对网络应用的病毒进行监控;它是对所有的系统应用软件进行监控。由此来保障用户系统的“无毒”环境。
网络防火墙
上面已经说过了,网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置,使得合法的链路得以建立;而非法的连接将被禁止,同时通过各种手段屏蔽掉用户的隐私信息,以保障用户的对网络访问的安全。
同上所说,网络防火墙并不监控全部的系统应用程序进程,它只是对有网络访问那部分应用程序做监控。当它控制了系统的网络传输之后,所有的网络流量都必须通过它的规则匹配。所以利用网络防火墙,可以有效的管理用户系统的网络应用,同时保护用户的系统不为各种非法的网络攻击所伤害。
由于目前有许多病毒通过网络的方式来传播,所以,范畴不同的这两种产品有了交叉应用的可能。出于对网络的全权控制,网络防火墙可以切断病毒对网络的访问;而且不管它是如何的变形、变种,只要病毒的危害还是必须通过网络才能实现的话就无法逃离网络防火墙的控制。与此同事,一些网络入侵特有的后门软件(像木马),也被列入“病毒”之列而可以被“病毒防火墙”所监控到并清除。这样来看,反病毒产品和网络安全产品有了交叉融合。
2007年3月26日星期一
Kaspersky Anti-Virus Personal 6.0.2.621 绿色版
在20060712日卡巴斯基推出卡巴斯基6.0绿色版V1.0版以来,一路更新到V2.3版,官方从推出6.0.307版后一直没有再更新中文版,这次终于更新6.0.2.621的官方中文版了,之前收官方版本限制无法支持VISTA,6.0.2.621版本已经支持,于是推出支持VISTA的绿色版。在第一次运行的时候要手工导入KEY。
注意:运行必需运行avp6.exe,而不是原来的avp.exe,否则是不能运行的!另,运行本软件会造成卡巴斯基公司的其他软件出错,运行前请确认你的机器没有安装过卡巴斯基公司的其他软件。
提示文件black.lst丢失的解决方法,在出现该提示的时候选择升级,升级完成后退出升级界面,再点击升级进行升级后即不会再出现该提示。该问题有可能是卡巴的反盗版引起的,由于没时间进一步修正,而且不影响使用也就一直没进行修改。
下载地址:Kaspersky Anti-Virus Personal 6.0.2.621 绿色版
说明:
1.这个绿化版具有安装版的查杀毒模块,目前已在Win9X、Win2000、WinXP、Win2003、VISTA下进行测试,如果你不能运行本绿色版,请与我联系,并且告知我你所运行的操作系统和出错提示。
2.解压到任何目录,再运行文件夹下的“AVP6.EXE”。
3.退出时自动卸载。
4.任何人修改本绿色版后进行发布的,希望注明来源!
版本历史:
20060716 V1.0版制作完成。
20060716 V1.1版修正一个BUG。
20060717 V1.2版添加清华大学的卡巴斯基升级服务器;更新病毒库为20060717。
20060724 V1.3添加第一次运行的时候自动导入KEY;加入发布以来的升级文件。
20060725 V1.4增加Avp6setup.exe和Avp6unstall.exe,恢复5.0的安装、卸载模式。
20060727 V1.5清华大学的卡巴斯基升级服务器不支持卡巴6,所以暂时去掉;去掉自我保护;关闭运行自动更新;关闭重要提示。
20060731 V1.6经查,自动导入key后在更新后会出现black.lst文件损坏的提示,所以又再去掉自动导入key,在第一次运行的时候手工导入后就可以了。
20060901 V1.7新增加支持9x,该功能由于测试环境不是很充足,只在虚拟机进行测试,希望使用9x系统的朋友进行测试,有问题的多多反馈。
20060913 V1.8修正原1.7版一个重要的BUG,在XP使用V1.7版本后再次启动会提示一个问题阻止系统认证从而造成系统无法进入,对使用1.7版本后系统出现问题的朋友表示歉意,不过就目前论坛回帖的情况来看似乎还没有朋友反馈这个情况,^v^ ,对于1.7版使用后出现上述问题的,可以进入安全模式后运行regsvr32 rsaenh.dll,重启后就解决。
20060926 V2.0本次跳过1.9版直接升级到2.0版本,这次的升级主要是能够支持目前主流的操作系统,包括Win9X、Win2000、WinXP、Win2003,升级到6.0.0.307的内核。本版本在升级的时候更新模块会反而降成原300的内核,所以建议在提示重新启动以更新内核的时候不要重启,当然,如果你讨厌每次更新都出现那个提示的话也可以重启让其进行“升级”。
20060928 V2.12.0版本不支持WinME,V2.1添加相应代码支持WinME。
20061011 V2.2修正2.1添加WinME支持后造成在Win98不能运行的BUG。
20061101 V2.3修正原版本在退出后系统残留AVP的服务。
20070313 V2.4更换6.0.2.616内核。
20070324 V2.5更换6.0.2.621官方中文正式版内核,支持在VISTA运行。
绿化制作:pURPLEfox
附:我建议杀毒软件最好是用原版,不要使用一些破解版或绿色版之类的;如果非要使用的话,建议用在U盘或移动硬盘上.
注意:运行必需运行avp6.exe,而不是原来的avp.exe,否则是不能运行的!另,运行本软件会造成卡巴斯基公司的其他软件出错,运行前请确认你的机器没有安装过卡巴斯基公司的其他软件。
提示文件black.lst丢失的解决方法,在出现该提示的时候选择升级,升级完成后退出升级界面,再点击升级进行升级后即不会再出现该提示。该问题有可能是卡巴的反盗版引起的,由于没时间进一步修正,而且不影响使用也就一直没进行修改。
下载地址:Kaspersky Anti-Virus Personal 6.0.2.621 绿色版
说明:
1.这个绿化版具有安装版的查杀毒模块,目前已在Win9X、Win2000、WinXP、Win2003、VISTA下进行测试,如果你不能运行本绿色版,请与我联系,并且告知我你所运行的操作系统和出错提示。
2.解压到任何目录,再运行文件夹下的“AVP6.EXE”。
3.退出时自动卸载。
4.任何人修改本绿色版后进行发布的,希望注明来源!
版本历史:
20060716 V1.0版制作完成。
20060716 V1.1版修正一个BUG。
20060717 V1.2版添加清华大学的卡巴斯基升级服务器;更新病毒库为20060717。
20060724 V1.3添加第一次运行的时候自动导入KEY;加入发布以来的升级文件。
20060725 V1.4增加Avp6setup.exe和Avp6unstall.exe,恢复5.0的安装、卸载模式。
20060727 V1.5清华大学的卡巴斯基升级服务器不支持卡巴6,所以暂时去掉;去掉自我保护;关闭运行自动更新;关闭重要提示。
20060731 V1.6经查,自动导入key后在更新后会出现black.lst文件损坏的提示,所以又再去掉自动导入key,在第一次运行的时候手工导入后就可以了。
20060901 V1.7新增加支持9x,该功能由于测试环境不是很充足,只在虚拟机进行测试,希望使用9x系统的朋友进行测试,有问题的多多反馈。
20060913 V1.8修正原1.7版一个重要的BUG,在XP使用V1.7版本后再次启动会提示一个问题阻止系统认证从而造成系统无法进入,对使用1.7版本后系统出现问题的朋友表示歉意,不过就目前论坛回帖的情况来看似乎还没有朋友反馈这个情况,^v^ ,对于1.7版使用后出现上述问题的,可以进入安全模式后运行regsvr32 rsaenh.dll,重启后就解决。
20060926 V2.0本次跳过1.9版直接升级到2.0版本,这次的升级主要是能够支持目前主流的操作系统,包括Win9X、Win2000、WinXP、Win2003,升级到6.0.0.307的内核。本版本在升级的时候更新模块会反而降成原300的内核,所以建议在提示重新启动以更新内核的时候不要重启,当然,如果你讨厌每次更新都出现那个提示的话也可以重启让其进行“升级”。
20060928 V2.12.0版本不支持WinME,V2.1添加相应代码支持WinME。
20061011 V2.2修正2.1添加WinME支持后造成在Win98不能运行的BUG。
20061101 V2.3修正原版本在退出后系统残留AVP的服务。
20070313 V2.4更换6.0.2.616内核。
20070324 V2.5更换6.0.2.621官方中文正式版内核,支持在VISTA运行。
绿化制作:pURPLEfox
附:我建议杀毒软件最好是用原版,不要使用一些破解版或绿色版之类的;如果非要使用的话,建议用在U盘或移动硬盘上.
安全加固 主流杀毒软件Vista下运行测试
2007年3月25日星期日
Agnitum Outpost Firewall Pro 4.0.1014.596
该版本同时支持:英文和意大利语.
在官方论坛首页上,标明4.0.1007.7273(591)是当前最新版本;所以看来,该版本(4.0.1014.596)还是侧重于意大利语方面.
呵呵,没有找到更新日志,只好拿以前的来“滥竽充数”了.
下载:Outpost Firewall Pro 4.0.1014.596
Changes in Outpost Firewall Pro 4.0.1005.590(January 11, 2007) :
The following features are new:
- Fake Protection Revealer leaktest interception
- SpyCar tests interception
- Allow Once action in real-time spyware protection learn dialog
- Real-time spyware protection learn dialog improved for critical objects changes detection
- Addition of Expandable String Value and similar variables to the HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun registry key is now controlled
The following issues are fixed (only significant ones are listed):
- Compatibility issues with third-party software (KAV, eTrust, CygWin, Diskeper 10, Spy Sweeper 5.0.x)
- Self-protection false positives
- Anti-Spyware plug-in was not loaded under Windows 98
- Outpost Firewall could crash on restoring objects from Anti-Spyware quarantine
- Outpost Firewall could crash on thread opening
- Several localization and interface issues
在官方论坛首页上,标明4.0.1007.7273(591)是当前最新版本;所以看来,该版本(4.0.1014.596)还是侧重于意大利语方面.
呵呵,没有找到更新日志,只好拿以前的来“滥竽充数”了.
下载:Outpost Firewall Pro 4.0.1014.596
Changes in Outpost Firewall Pro 4.0.1005.590(January 11, 2007) :
The following features are new:
- Fake Protection Revealer leaktest interception
- SpyCar tests interception
- Allow Once action in real-time spyware protection learn dialog
- Real-time spyware protection learn dialog improved for critical objects changes detection
- Addition of Expandable String Value and similar variables to the HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun registry key is now controlled
The following issues are fixed (only significant ones are listed):
- Compatibility issues with third-party software (KAV, eTrust, CygWin, Diskeper 10, Spy Sweeper 5.0.x)
- Self-protection false positives
- Anti-Spyware plug-in was not loaded under Windows 98
- Outpost Firewall could crash on restoring objects from Anti-Spyware quarantine
- Outpost Firewall could crash on thread opening
- Several localization and interface issues
卡巴斯基密钥查看器(最新版)
该密钥查看器目前只有英文版本.与老版本相比,新版本的界面布局更加合理、清爽;还多了一些原来所没有查询项目.有兴趣的朋友可以去试试!
下载:http://www.51files.com/?W9NXJUC91NMCWBKEMNWK
下载:http://www.51files.com/?W9NXJUC91NMCWBKEMNWK
 |
| 卡巴斯基密钥查看器 |
2007年3月24日星期六
CeBIT 2007上的卡巴斯基实验室
CeBIT 2007结束已经有几天了,各厂商在展会上大显神通,展示自己最新的产品和技术.卡巴斯基实验室作为全球反病毒领域的主要厂商之一,同样也发布了自己在企业IT平台保护的新概念--卡巴斯基开放空间安全,即卡巴斯基实验室的6.0版企业级产品.
对于没能去参观欧洲最大的信息技术展览的卡巴斯基爱好者,无疑不是一件遗憾的事情.这里有13张图(7张是CeBIT 2007的,6张是CeBIT 2006的),让你领略卡巴斯基实验室在CeBIT上的风采,聊当慰藉.
对于没能去参观欧洲最大的信息技术展览的卡巴斯基爱好者,无疑不是一件遗憾的事情.这里有13张图(7张是CeBIT 2007的,6张是CeBIT 2006的),让你领略卡巴斯基实验室在CeBIT上的风采,聊当慰藉.
 |
| CeBIT 2007 |
 |
| CeBIT 2006 |
2007年3月23日星期五
Outpost Security Suite Pro v5.0.1184.7516(611) Public Beta-Release
Agnitum的Outpost前哨防火墙大家都很熟悉,Outpost Security Suite Pro是最新推出的集合反病毒和反木马功能的专业防火墙安全套装,这是它的第一次公开测试,喜欢的朋友试试!
After months of hard work, Agnitum releases a public beta of its first-ever comprehensive security product to protect home and small office users against the entire range of modern threats. With Outpost Security Suite Pro, you'll enjoy:
* Safe Internet presence behind the best-of-breed personal firewall
* Integrity of your personal data by having the Host Protection module preemptively block unauthorized program activity
* 360-degree protection against all forms of malware
* Protection that is immune to unauthorized termination
* Personalized, easily adoptable anti-spam for Outlook and Outlook Express users
* Easy installation and auto-configuration for novice users
Please help us improve our product while it's still in the works. Jump right in and participate in an open testing of the upcoming Outpost Security Suite Pro.
Thank you for registering Outpost Security Suite Public Beta.
官方网站:http://www.agnitum.com/products/securitysuite/beta.php
Key:
0JGm64OI7FEWrPDhLjsdohlAZo3qBajN7e8Jru2p92bGjKtLTO9g08qQBIBgo9Kuj0Lv7eI6IhavjsPZpOYE0LHRhVdQvMieAn9CN2/P79xYeyymKyqim2bXOlhhlqt/5TIClymBRapWOuhn/6LIrbZ8G0BahOUvZ/UY7KoiFPl2A62lSCyU=
官方下载:
32bit:http://www.agnitum.com/download/Outpost-Security-Suite-Pro-Install.exe
64bit:http://www.agnitum.com/download/Outpost-Security-Suite-Pro-Install-64.exe
卡巴斯基实验室发布中文版6.0.2.621版本
卡巴斯基实验室昨天发布了其官方6.0.2.621版本后,今天就在去FTP上出现了该版本的中文版.并在服务器上更新了6.0.0.307版本....
Kaspersky Anti-Virus 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070322/kav6.sch.msi
Kaspersky Internet Security 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070322/kis6.sch.msi
Kaspersky Anti-Virus 6.0.0.307:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/Chinese/6.0/070322/kav6.sch.msi
Kaspersky Internet Security 6.0.0.307:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/Chinese/6.0/070322/kis6.sch.msi
Kaspersky Anti-Virus 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070322/kav6.sch.msi
Kaspersky Internet Security 6.0.2.621:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070322/kis6.sch.msi
Kaspersky Anti-Virus 6.0.0.307:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/Chinese/6.0/070322/kav6.sch.msi
Kaspersky Internet Security 6.0.0.307:
下载:ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/Chinese/6.0/070322/kis6.sch.msi
Outpost Firewall Pro 4.0增强设置规则
该增强设置规则,主要增强对顽固广告的屏蔽,易受攻击端口屏蔽,防护增强,浏览网页更快速安全!
部分增强功能:屏蔽中天论坛JS弹出“秀舞网”、帖子蓝色字体广告、侧边栏广告、114广告、now广告、chinau.cn广告、17luntan.com广告同样较顽固的猪猪论坛广告、飞鸟论坛广告、卡饭论坛广告、剑盟、霏凡软件站论坛广告、163、tom、qq等等上百个网站不必要的骚扰广告,大大加速网页浏览,绝不影响阅读!防护增强加到最大,关闭outpost弹出警告窗,入侵拦截屏蔽加大到8分钟,关闭攻击播放声音。自动创建BitComet、μTorrent、电驴等P2P下载规则阻止一些软件联机影响网速问题,如超级兔子、Winamp、KMPlayer、ALG.exe文件共享等等。关闭outpost反间谍插件、内容过滤、附件隔离插件,这些都比较鸡肋,如果非常喜欢请在插件里开启。工具保留日志记录和自我保护,大大减低防火墙对资源的占用。
使用方法:解压到C:\Program Files\Agnitum\Outpost Firewall中(其他文件夹也可,解压到这主要考虑到需要卸载时更干净。)Outpost左上角文件导入配置.cfg即可。
由于个人使用软件不同,更多程序规则需要自己设置,本规则注重的更多反广告提高访问速度等。
下载:http://www.51files.com/?D2GFG72Q7SKGSMPW0NQJ
部分增强功能:屏蔽中天论坛JS弹出“秀舞网”、帖子蓝色字体广告、侧边栏广告、114广告、now广告、chinau.cn广告、17luntan.com广告同样较顽固的猪猪论坛广告、飞鸟论坛广告、卡饭论坛广告、剑盟、霏凡软件站论坛广告、163、tom、qq等等上百个网站不必要的骚扰广告,大大加速网页浏览,绝不影响阅读!防护增强加到最大,关闭outpost弹出警告窗,入侵拦截屏蔽加大到8分钟,关闭攻击播放声音。自动创建BitComet、μTorrent、电驴等P2P下载规则阻止一些软件联机影响网速问题,如超级兔子、Winamp、KMPlayer、ALG.exe文件共享等等。关闭outpost反间谍插件、内容过滤、附件隔离插件,这些都比较鸡肋,如果非常喜欢请在插件里开启。工具保留日志记录和自我保护,大大减低防火墙对资源的占用。
使用方法:解压到C:\Program Files\Agnitum\Outpost Firewall中(其他文件夹也可,解压到这主要考虑到需要卸载时更干净。)Outpost左上角文件导入配置.cfg即可。
由于个人使用软件不同,更多程序规则需要自己设置,本规则注重的更多反广告提高访问速度等。
下载:http://www.51files.com/?D2GFG72Q7SKGSMPW0NQJ
2007年3月22日星期四
卡巴斯级(Kaspersky) KAV/KIS 6.0.2.621官方正式版发布
Changes in version 6.0.2.621(更新日志):
1. Error that caused resource leakage in case of intense activity of third-party applications has been fixed.
2. Error that caused slowdown in operating system loading has been fixed.
3. Error that caused application crash during virus scan task execution has been fixed.
4. Error that occurred during the use of sysprep utility has been fixed.
5. Problem that cased errors while updating through the following proxies: UserGate 4.0, Usergate - 3.1, WinGate 3.0.5, has been eliminated.
Known problems(已知问题):
1. Disinfection of e-mail databases in PST format attached to a message is not supported.
2. After work in the advanced disinfection mode to prevent an active infection links to deleted infected files may remain in the registry in some cases.
3. Application of defined settings in Microsoft Internet Explorer functions incorrectly if different proxy servers are specified for various protocols.
4. Scanning of VBA macros: monitoring of APIFUNCTION macro execution is disabled
Kaspersky Anti-Virus 6.0.2.621:
下载:http://www.kaspersky.com/productupdates?chapter=186435857&downlink=206908135
或者:http://dnl-us4.kaspersky-labs.com/products/release/english/homeuser/kav6.0/kav6.0.2.621en.exe
Kaspersky Internet Security 6.0.2.621:
下载:http://www.kaspersky.com/productupdates?chapter=186437046&downlink=206908134
或者:http://dnl-us4.kaspersky-labs.com/products/release/english/homeuser/kis6.0/kis6.0.2.621en.exe
1. Error that caused resource leakage in case of intense activity of third-party applications has been fixed.
2. Error that caused slowdown in operating system loading has been fixed.
3. Error that caused application crash during virus scan task execution has been fixed.
4. Error that occurred during the use of sysprep utility has been fixed.
5. Problem that cased errors while updating through the following proxies: UserGate 4.0, Usergate - 3.1, WinGate 3.0.5, has been eliminated.
Known problems(已知问题):
1. Disinfection of e-mail databases in PST format attached to a message is not supported.
2. After work in the advanced disinfection mode to prevent an active infection links to deleted infected files may remain in the registry in some cases.
3. Application of defined settings in Microsoft Internet Explorer functions incorrectly if different proxy servers are specified for various protocols.
4. Scanning of VBA macros: monitoring of APIFUNCTION macro execution is disabled
Kaspersky Anti-Virus 6.0.2.621:
下载:http://www.kaspersky.com/productupdates?chapter=186435857&downlink=206908135
或者:http://dnl-us4.kaspersky-labs.com/products/release/english/homeuser/kav6.0/kav6.0.2.621en.exe
Kaspersky Internet Security 6.0.2.621:
下载:http://www.kaspersky.com/productupdates?chapter=186437046&downlink=206908134
或者:http://dnl-us4.kaspersky-labs.com/products/release/english/homeuser/kis6.0/kis6.0.2.621en.exe
卡巴斯基插件:Kaspersky Tester Toolkit
卡巴斯基6.0支持插件,是由一群俄罗斯卡巴斯基爱好者编写的,主要功能是查询和上传本地信息.
该插件同时支持英语和俄语.
下载地址:http://ktt.kasperskyclub.com/
该插件同时支持英语和俄语.
下载地址:http://ktt.kasperskyclub.com/
 |
| Kaspersky Tester Toolkit |
2007年3月21日星期三
卡巴斯基(Kaspersky) KAV/KIS 6.0.2.614官方中文版发布
简体中文(SimpChinese) 070320版本:
KAV: ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070320/kav/kav6.sch.msi
KIS: ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/SimpChinese/070320/kis/kis6.sch.msi
注意:简体中文(SimpChinese) 070320版本可能是FTP上本身版本的原因!下载后,安装开始后会出现乱码,然后中断!
繁体中文(TradChinese) 070314版本:
KAV: ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/TradChinese/6.0/070314/kav6.tch.msi
KIS: ftp://nv-user0:RBXuXQBPVqpgoUfj@partner.kaspersky.ru/TradChinese/6.0/070314/kis6.tch.msi
哈哈,繁体的这个可以正常安装!
卡巴斯基中国公司推出3台双线升级服务器
卡巴斯基中国公司推出3台双线升级服务器, 三台服务器均为 电信/网通 的双线服务器, ping 值都在 42ms 左右, 速度相当快!
以下为新更新地址:
http://dnl-cn1.kaspersky-labs.com
http://dnl-cn2.kaspersky-labs.com
http://dnl-cn3.kaspersky-labs.com
使用升级站点步骤 (仅适用于6.0个人版用户) :
1、在 "服务" -〉 "更新" 上点鼠标右键, 选择 "设置" ;
2、在 "更新设置" 中选择 "自定义" 按钮;
3、在弹出的对话框中, 选择 "更新服务器" 标签;
4、点击 "添加" 按钮, 在 "源" 后的方框中加入"http://dnl-cn1.kaspersky-labs.com"或 "http://dnl-cd1.kaspersky-labs.com" , 点击 "确定" ;
5、退回到 "更新服务器" 标签下, 去掉 "卡巴斯基实验室更新服务器" 前面的勾. 如果之前使用了离线升级包的方式进行升级, 也请去掉相应的离线升级包前的勾, 选择确定;
6、进行升级. 提示: 由于升级用户数量众多, 造成网络拥塞, 如使用此方法升级一次不成功, 请多试几次, 或选在升级用户较少的时间进行升级!
以下为新更新地址:
http://dnl-cn1.kaspersky-labs.com
http://dnl-cn2.kaspersky-labs.com
http://dnl-cn3.kaspersky-labs.com
使用升级站点步骤 (仅适用于6.0个人版用户) :
1、在 "服务" -〉 "更新" 上点鼠标右键, 选择 "设置" ;
2、在 "更新设置" 中选择 "自定义" 按钮;
3、在弹出的对话框中, 选择 "更新服务器" 标签;
4、点击 "添加" 按钮, 在 "源" 后的方框中加入"http://dnl-cn1.kaspersky-labs.com"或 "http://dnl-cd1.kaspersky-labs.com" , 点击 "确定" ;
5、退回到 "更新服务器" 标签下, 去掉 "卡巴斯基实验室更新服务器" 前面的勾. 如果之前使用了离线升级包的方式进行升级, 也请去掉相应的离线升级包前的勾, 选择确定;
6、进行升级. 提示: 由于升级用户数量众多, 造成网络拥塞, 如使用此方法升级一次不成功, 请多试几次, 或选在升级用户较少的时间进行升级!
卡巴斯基:Vista不如XP安全
日前Microsoft合作伙伴,著名杀毒软件公司卡巴斯基声称,Microsoft号称最安全的OS Vista实际上还不如XP安全。
卡巴斯基CEO Natalya Kaspersky声称,如果没有UAC功能的话,Vista还不如Windows XP SP2安全。Natalya告诉Zdnet UK记者说:"Vista安全性到底是提高了还是降级了真的是一个问题。"
Kaspersky是Microsoft的合作伙伴,他们为Microsft商业安全产品ForeFront提供扫描引擎。
Microsoft的商业安全产品经理Arno Edelmann表示Kaspersky言论不可理解:"我们有很多合作伙伴,Kasperky是其中最好的之一,我认为他们的声明有些蹊跷,因为他们最了解Microsoft的安全产品。"
Kaspersky则表示,安全师已经发现有5种方法可以绕过UAC,这样黑客将会发现更多的安全漏洞。
详细报道:ZDNet UK2007年3月20日星期二
4月中旬,KIS/KAV 7.0公开测试
官方开发人员透露:
KIS/KAV7.0,从4月中旬开始公开测试,暂时不考虑WKS/FS 7.0.
Recently there had been a number of questions about the version 7.0 (7.0.0.6), and I would like to clarify some of the points. This version is now under active development and is only partially done. As soon as it is ready for public consumption, I will write about it additionally on the forum and will be uploaded onto the FTP. Before that point, the intermediate builds will be released based on 6.xx architecture with the new functionality we would like a large community to beta test for us. Please discuss only the functionality, which is indicated for those builds. Answering the same questions, that were already answered, (for instance how come there is no major differences between 6 and 7) will not be considered.
Current Plan: Begining to middle to April start beta testing version KIS/KAV7WKS/FS 7.0 will not be uploaded, because the plans are not targeted, therefore are in lower priority mode at this time.
Kaspersky 7.0的开发目标和改进点:
1.Intermediate Builds Targets (从版本6到版本7 的过渡版的目标)
2.Latest leaktests and ALKT (完全通过Latest leaktests and ALKT)
3.Version 7.0 Targets (版本7的目标)New GUI (新的用户界面)
4.New components Privacy Control and Parental Control (隐私控制和父母控制新的模块)
5.Leak test passing (完全通过数据泄露测试)
6.Improved rootkit detection (改进对隐藏进程rootkit的侦测能力)
7.Improved new hueristic engine (改进新的启发引擎)
The list can be changed at any time and is currently tentative.
附:有点期待新版本.而前几天发布的KAV 7.0.0.6真正上只能算是KAV 6.5版本,不能称为7.0
KIS/KAV7.0,从4月中旬开始公开测试,暂时不考虑WKS/FS 7.0.
Recently there had been a number of questions about the version 7.0 (7.0.0.6), and I would like to clarify some of the points. This version is now under active development and is only partially done. As soon as it is ready for public consumption, I will write about it additionally on the forum and will be uploaded onto the FTP. Before that point, the intermediate builds will be released based on 6.xx architecture with the new functionality we would like a large community to beta test for us. Please discuss only the functionality, which is indicated for those builds. Answering the same questions, that were already answered, (for instance how come there is no major differences between 6 and 7) will not be considered.
Current Plan: Begining to middle to April start beta testing version KIS/KAV7WKS/FS 7.0 will not be uploaded, because the plans are not targeted, therefore are in lower priority mode at this time.
Kaspersky 7.0的开发目标和改进点:
1.Intermediate Builds Targets (从版本6到版本7 的过渡版的目标)
2.Latest leaktests and ALKT (完全通过Latest leaktests and ALKT)
3.Version 7.0 Targets (版本7的目标)New GUI (新的用户界面)
4.New components Privacy Control and Parental Control (隐私控制和父母控制新的模块)
5.Leak test passing (完全通过数据泄露测试)
6.Improved rootkit detection (改进对隐藏进程rootkit的侦测能力)
7.Improved new hueristic engine (改进新的启发引擎)
The list can be changed at any time and is currently tentative.
附:有点期待新版本.而前几天发布的KAV 7.0.0.6真正上只能算是KAV 6.5版本,不能称为7.0
让你的"驴子"飞起来
使用卡巴斯基KIS后,明明自己已经做了端口映射,但驴子仍然由高ID变成了低ID,并且速度越来越慢;别急,这里将告诉你在KIS里如何进行设置,再次让你的驴子飞起来.(这里有九张图片,请按步骤进行设置)
注意:在第七和第八两张图中,你所设置的端口一定要和你驴子上的端口相对应.
注意:在第七和第八两张图中,你所设置的端口一定要和你驴子上的端口相对应.
 |
| 让你的"驴子"飞起来 |
卡巴斯基(Kaspersky) KAV/KIS 6.0.2.621 MP2 CF1发布
昨天,卡巴斯基再次发布了MP2的修复补丁....
Kaspersky Anti-Virus 6.0.2.621 MP2 CF1
下载:ftp://data.kaspersky.ru/6.0.2.621%20MP2%20CF1/KAV/English/2007_03_15_15_12/kav6.en.msi
或者:http://www.51files.com/?N2HXY7NL4NLHGQY1W3G4
Kaspersky Internet Security 6.0.2.621 MP2 CF1
下载:ftp://data.kaspersky.ru/6.0.2.621%20MP2%20CF1/KIS/English/2007_03_15_15_12/kis6.en.msi
或者:http://www.51files.com/?9OLOZWIBJZ41EIWO3ZCL
Kaspersky Anti-Virus 6.0.2.621 MP2 CF1
下载:ftp://data.kaspersky.ru/6.0.2.621%20MP2%20CF1/KAV/English/2007_03_15_15_12/kav6.en.msi
或者:http://www.51files.com/?N2HXY7NL4NLHGQY1W3G4
Kaspersky Internet Security 6.0.2.621 MP2 CF1
下载:ftp://data.kaspersky.ru/6.0.2.621%20MP2%20CF1/KIS/English/2007_03_15_15_12/kis6.en.msi
或者:http://www.51files.com/?9OLOZWIBJZ41EIWO3ZCL
2007年3月19日星期一
卡巴斯基实验室荣获Computer Shopper五星级奖
卡巴斯基实验室荣获享有声望的Computer Shopper杂志所颁发的五星级奖。Computer Shopper杂志仅颁发了三个五星级奖,而获得此项最高荣誉奖的三个公司的产品都使用了卡巴斯基技术。
Computer Shopper对主要的反病毒厂商的产品在检测病毒、木马和间谍程序的效率方面做了测试。测试分为两组:第一组是测试产品检测邮件病毒的效率;第二组是测试产品检测网络威胁的效率。所有的测试都是在Windows XP专业版平台上进行的,该平台包含微软的最近更新和默认设置。
评论员强调了卡巴斯基实验室的产品检测邮件病毒和间谍程序的精确性,尤其是与McAfee 和赛门铁克相比较,评论员表示:“我们期望这个程序带来非凡的效果,它没有令我们失望……它检测到91%的邮件病毒和48%的网络威胁,平均检测率为73%,成为竞争者中的佼佼者。诺顿反病毒产品的平均检测率是55%,而McAfee VirusScan的平均检测率是50%。”
测试中,卡巴斯基反病毒6.0同时在可用性方面取得高分:“卡巴斯基反病毒包含友好的用户界面和简洁的报告,高级的设置和精确的威胁检测率……它使您能够创建一个可启动的CD连同病毒扫描仪和最近的更新。这在您需要恢复一台受到严重感染的个人电脑时是至关重要的。”
评论员还说道:“在我们以前的反病毒测试中,卡巴斯基实验室的产品,或者那些在核心部件集成了卡巴斯基技术的产品,能够精确检测出测试中几乎所有的病毒样本。”
卡巴斯基实验室英国办事处的管理总监Svetlana Ivanova表示:“卡巴斯基实验室的反病毒引擎是卡巴斯基技术的核心部分,它被集成于120多个全球领先的安全厂商的产品中。卡巴斯基实验室的反病毒技术在质量和性能上拥有很高的声望。此次测试证明了我们的技术高效率,对我们来说非常重要,并且我们非常高兴能够在测试中获得如此殊荣。
解决ZA与KAV的网页防毒冲突问题
一直使用ZA和KAV到现在,ZA和KAV的唯一冲突就表现在ZA的隐私控制和KAV的网页防毒,此前所见到的所谓解决办法、像关闭KAV的WEB防病毒等都没有根本上解决问题,由此会引申出其他问题,比如ZA占资源大、卡机等问题。
二者冲突的原因在于KAV为了扫描网页病毒,充当服务器角色,这样一来,ZA没法直接得知网站服务器上的相关信息而仅仅是通过KAV所担当的服务器来了解。
要保证ZA的隐私控制和KAV的网页扫毒共同协作,只要在ZA的“程序控制”里做一个简单的设置,右键点击"Kaspersky Anti-Virus"--“选项”(option)--"开启对此程序的隐私控制”(Enable Privacy for this Program),确定。二者再也不会掐架了。
目前,ZA pro6.5.737与KAV6.0.307测试通过。而且这么设置后,开机后ZA的内存使用量大约降低了12M。
附:再通俗地说一下ZA的隐私控制和KAV网页反病毒为什么会冲突:
KAV一贯比较霸道,既然开启了网页防毒,自然就要第一时间过滤网页内容,也就是要充当本机服务器的角色,而ZA也负有隐私控制的任务,自然也想在第一时间过滤来自各个网页的隐私信息;但是ZA在这个时候打不过KAV,所以隐私控制失败,没办法在第一时间从浏览器收取有关隐私的信息。
ZA做不了第一,可以做第二,你KAV不是一定要抢在ZA前面扫毒吗,那我就跟在你后面,你扫完毒之后的信息全归我,也就是开启对Kaspersky Anti-Virus(avp.exe)的隐私控制,也不影响ZA我的隐私控制任务,这样以来,二者就不会因为抢这个优先权而打架了。
做一个简单的测试,在pcflank做一个quick test:http://www.pcflank.com/test.htm
或者专门针对浏览器的测试browser test:http://www.pcflank.com/browser_test1.htm
1)ZA隐私控制“高”,开启对浏览器的隐私控制,KAV开启默认设置的WEB防病毒。
Browser privacy check,结果:danger
2)ZA隐私控制“高”,开启对浏览器的隐私控制,开启对avp.exe的隐私控制,KAV开启默认的WEB防病毒。
Browser privacy check,结果:safe
3)ZA隐私控制“高”,关闭对浏览器的隐私控制,开启对avp.exe的隐私控制,kav开启默认的WEB防病毒。
Browser privacy check,结果:safe
这个测试验证了上述的分析,如果开启kav的网页防毒,ZA可以关闭对浏览器的隐私控制(留着也不影响什么),关键是要开启对avp.exe的隐私控制,ZA和KAV就可以各司其职,互不冲突,成为真正的强强联合。
2007年3月18日星期日
世界著名防火墙最新测评报告的详细解读KIS
该篇文章取自www.matousec.com,由于该公司是专业的安全性产品评估测试公司,因此其发表的结论性报告有一定的参考价值,同时该公司还是一家测试并出售Bug产品的商业公司,其对送测安全类产品的标准相当的严格,评论近乎严苛,所以不管您是哪款防火墙产品的拥护者,阅读本文请以平和的心态面对,说到底,防火墙的实际应用和实验室测试还是有比较大的区别,一款产品是否好用,只有使用者心里最清楚,世界上没有完美的防火墙,只有最适合自己的防火请,发表这些文字只是希望对大家在选择该类产品时提供必要的参考资料。原文地址:http://www.matousec.com/projects/windows-personal-firewall-analysis/Kaspersky-Internet-Security-6.0.2.614/,感兴趣的朋友可以浏览。
Kaspersky Internet Security 6.0.2.614 - Review
Kaspersky Internet Security is a mature security software that also includes personal firewall features. Kaspersky Internet Security benefits from its multilayered security design and although this design is not bulletproof, it is one of the best that are available today. This software also offers pleasant and well arranged user interface. So, even if not perfectly secure, we can recommend Kaspersky Internet Security to end users.
卡巴斯基互联网安全套装6.0.2.614 – 概览
卡巴斯基互联网安全套装(以下简称KIS)是一款同时包含个人防火墙功能的成熟的安全软件。KIS的成功得益于其多层次的安全设计,尽管这项设计并非无懈可击,但确实是当今最佳的安全设计之一。这个软件同样拥有令人舒服且设计合理的用户界面,因此,即使其在安全性方面不能做到尽善尽美,我们也很乐意向最终用户推荐卡巴斯基网络安全套装。
Tested version
We have tested Kaspersky Internet Security version 6.0.2.614 because its vendor, Kaspersky Lab, have discontinued the development of its stand-alone personal firewall product called Kaspersky Anti-Hacker long time ago. However, we have installed and tested only the minimal core of KIS, which includes anti-virus, and personal firewall components.
The vendor provided us a licence for the purpose of our testing. Such a licence is usually available for $59.95 and includes one year of updates. The two years licence costs $95.92.
测试版本
由于KIS的开发者卡巴斯基实验室早就终止继续研发被称为“卡巴斯基黑客防护”的独立的个人防火墙产品,我们选择了KIS6.0.2.614作为测试的对象。(尽管KIS具有强大的综合防护能力),我们仅仅选择了包括其病毒防护以及个人防火墙组件在内的核心进行最小化安装。
开发者为我们此次测评提供了使用授权。通常情况下,一个包含一年更新服务的授权码价值59.95美金,二年有效的授权码需要花费95.92美金。
Installation and initialization
The downloadable version of Kaspersky Internet Security is delivered in 22 MB self-extracting executable. This size is reasonable for a security suite that includes anti-spam, anti-spy, anti-virus and personal firewall components. Just after you choose an installation folder, you are asked to choose the installation type. Complete installation, Custom installation and Anti-virus features only are offered choices. We chose Custom installation to be able not to install Anti-spam, Anti-spy, on access File Anti-Virus, Mail Anti-Virus and Web Anti-Virus. The only components we installed were core components, Proactive Defense and Anti-Hacker FireWall. Keep this in the mind while reading this review because some information like hardware requirements might be different if you install other components too. After you choose the type of the installation, you are asked whether you want to enable Self-Defense before the raw installation. This is probably an attempt to protect the installation process against possible malware attacks. We left this option enabled. The next step is the raw installation of files, services and drivers, this takes no more than a few minutes.
The post-installation configuration is done via Initial Setup Wizard. This wizard is started as soon as the first part of the installation is finished. At first, you are asked to activate your licence and even trial licences have to be activated if you want to have an access to security updates. The next step is quite important. You are asked to choose whether you want to enable only Basic protection, which is selected by default and recommended for most users, or Interactive protection, which is recommended for experienced users. We strongly recommend you to choose Interactive protection, because if you choose Basic protection the system will not be fully protected. We chose the better protection and also enabled Application Integrity Control, which is disabled by default. The configuration of automatic updates follows. You can also perform an update in this step, this can take a few more minutes. Then you can configure regular anti-virus scans and in the next window you can enable a password protection of your settings. To achieve the best security settings, we recommend you to enable the password protection even if you are the only user of your computer. You can also choose which parts of the settings will be protected by the selected password.
The last part of the installation is the configuration of additional protection and network related settings. In this part, KIS automatically initializes its internal database of programs that are allowed to access the Internet and recognizes the network interfaces in your computer. You can always modify the settings that were configured automatically. The last step is to restart your computer. After the reboot, you are advised to perform a full anti-virus scan of your computer.
The installation process is pleasant and quite easy and fast even for common users. To achieve the highest level of security KIS can offer, you have to slightly modify the predefined options during the post-installation configuration. KIS received no penalty for the installation process.
安装与初始化
下载下来的KIS是一个22M的自解压的可执行文件。这样的体积对于一款包含垃圾邮件防护、间谍程式防护、病毒防护以及个人防火墙组件的安全套装产品来说是合理的。在选择完程式的安装路径后,您会被询问选择安装方式,选项包含完全安装、自定义安装以及仅安装病毒防护组件。我们选择了自定义安装,这样就不会被安装垃圾邮件防护、间谍程式防护等组件,并剔除了病毒防护文件、邮件病毒防护文件以及网页病毒防护文件。我们只安装了最核心的组件:前摄防护以及反黑客防火墙。请务必在阅读本报告时关注这个前提,因为当您选择安装了其他组件的时候,一些诸如硬件要求的信息也会相应发生变化。选择好安装类别后,您会被询问是否选择在原始安装开始前启用自我防护功能。这可能是一种为防止安装过程中遭受恶意攻击而采取的措施。我们启动了这个功能,接下来就是文件、服务以及驱动的原是安装,需要花费几分钟的时间。
安装后的设置是通过安装初始化向导进行的。这个向导在第一部分安装完毕后就立刻开始执行,首先,如果您想要获得产品的跟新,您会被要求激活您的授权(包括体验授权码)。下一步非常重要,您将被询问是否仅希望启用基础防护,这个选项是默认选项并且是KIS向大多数使用者推荐的选项;或者启动互动防护,一个适合高级用户使用的选项。我们强烈推荐您选择互动防护,因为您的系统在基础防护下得不到全面的防护。我们选择了更高级别的防护,同时也启用了默认关闭的应用程序全面控制功能,接下来就是对自动更新进行设置。您也可以在这一步开始执行更新,这需要花费好几分钟。之后您可以设置定期病毒扫描,并且在下一个窗口您可以通过设置密码来保存您的设置。为了获得最佳的安全防护效果,即便您是计算机的唯一使用者,我们也建议您设置密码保护。您还可以选择需要密码保护的部分进行设置。
安装的最后以部分是对一些附加防护功能以及网络相关部分进行设置。在这一部分,KIS会自动对被允许连接到互联网的程序的内部数据库进行初始化,并识别您计算机是上的网络界面。您也可以修改那些自动设置好的规则。最后就是重新启动电脑,重启后,您将被建议对机器进行一次全面的病毒防护扫描。
安装过程让人感觉愉悦,即便对初级用户,安装也会显得游刃有余。为了获得KIS所能提供的安全防护的最高水准,您必须在安装后的设置过程中对一些预设选项进行微调。KIS不对安装过程(的任何意外)负责。
Hardware requirements
Our installation of Kaspersky Internet Security took about 27 MB on the hard disk and about 15 MB in the RAM. These values would be reasonable even if KIS was only a personal firewall software, but its core also includes the anti-virus, and so these values are better than good. On the other hand, it reduces the performance to about 73% in average. This number was highly affected probably by Registry Guard component, because we have measured much lower performance during extensive work with the system registry. As mentioned above, these values can be different if you install more of KIS components. The hardware requirements of KIS are no problem for today's computers.
硬件要求
安装KIS需要占据27M的硬盘空间以及大约15M的内存。即便KIS只是一款个人防火墙软件,上述指标也是合理的,更何况它还包含了病毒防护的核心功能,所以这些指标是很出色的。另一方面,运行KIS的电脑其效率一般只能达到原来的73%,这个数值很大程度上是受到注册表防护组件的影响,因为我们在利用系统注册表进行的扩展评测时所测量到的效率值非常低。如前所述,这些数值在您安装更多组件的情况下会有不同。以现在计算机的配置来看,完全能够达到KIS的硬件要求。
Common behaviour and control
The user interface of Kaspersky Internet Security is well-developed and nice. It fully supports the internal architecture based on many separate, but well connected, smaller components. The main window is divided into three parts. The first one is a structured menu, in which you select what do you want to work with in the main part of the window. If you select Protection, you will be informed about the current state of the security on your computer. You can get more information about the state of each component you have installed by clicking on it in the menu. If anything in the security system needs your attention you can see it in the third part of the main window, which is a small information box. In such case, you are also informed via on screen notifications, so you do not have to open the user interface everytime. KIS is not intrusive with its notifications if you do not want it to be. You can precisely configure, which notifications you are interested in and which does not bother you at all. The next item in the menu is Scan. This is devoted to anti-virus scanning of your computer. You can start custom scans of your disks, single folders or critical areas of your system. The last item in the menu is Service, where you can check your current product version, the exact time and date of your last updates and also the state of your licence. You can also run updates from here, view security reports or contact KIS support.
Configuration of all settings is made in a separate window. Settings of personal firewall features can be changed in Proactive Defense and Anti-Hacker submenus. Proactive defense is divided into four categories as in the post-installation configuration wizard. Be sure to have enabled at least the first three modules called Application Activity Analyzer, Application Integrity Control and Registry Guard. If you use Microsoft Office, you can find Office Guard useful too.
Application Activity Analyzer monitors the behavior of all processes in the system. Application Integrity Control is something like the component control that you can find in many other personal firewalls. Registry Guard monitors the access to system registry and alerts when a critical part of registry is to be changed. The most of the features these components provide are highly configurable, which comes handy if you have a harmless application that behaves uncommonly, you can easily add it to the trusted zone and you will not be notified about its activities any more. The Anti-Hacker component is the firewall itself. KIS offers five modes of firewall from Allow All to Block All. At the beginning, Training Mode may be the best choice, in which a prompt appears if any application attempts to connect to the network or the Internet. The detailed configuration allows you to view and change the list of applications that are allowed or blocked to establish network connections. You can also configure the access to single TCP and UDP ports as well as to configure other protocols. The last features related to personal firewall security can be found in the Service menu. You should have Self-Defense enabled here and you can also set your password here. Not only if you administer more desktop computers with KIS installed, you can find useful a possibility to save and load the configuration to or from the file.
The tray icon offers a fast access to both main and settings windows and to Network Monitor. You can also quickly block all the network traffic, run anti-virus scan, perform an update as well as pause or disable the whole KIS protection from the tray icon popup menu.
The only problem we have found in the common behaviour and control was missing help. For example, in Proactive Defense alerts in case of suspicious driver installation you can click on the name of the event and instead of getting some detailed information, your browser is opened on a page that says "Can't find virus record". This is an issue of many of alerts from various components and can be very unpleasant for basic users. This is why the Easy of use for Kaspersky Internet Security is on 95%.
习惯性应用和控制
KIS的用户界面相当完善和美观,完全支持基于许多小巧独立但却完美结合的组件所搭建起来的内部架构。主窗口被划分为三个部分:第一部分是结构菜单,在这里您可以通过选择一些功能进行操作。如果您选择了保护功能,KIS将告诉您有关您的计算机安全现状的信息,通过点击这个菜单上的对应功能键,您还可以获得关于您已经安装了的各个组件的更多的信息。安全信息提请您注意的信息可以在主窗口的第三部分查看,这是一个很小的信息搜集箱。同时您还将从屏幕的通知栏中获得安全警告,因此您不需要每次都开启用户界面。在您不需要的时候,KIS的通知信息不会强制性的介入(您的工作)。通过精确设置,您可以获得您感兴趣的信息,同时摒除无关信息对您的干扰。菜单的第二项是扫描,主要是对计算机是系统进行的病毒防护扫描。您还可以自定义扫描的对象,如硬盘分区、单一文件夹或系统的关键区域。菜单的最后项目是服务,在这部分,您可以确认产品版本,上次更新的准确日期以及您的授权情况。这里同样提供自动更新、安全报告以及支持帮助等服务。
对所有设置的定义是在一个独立的窗口进行的,对个人防火墙功能的设置需要在前摄防御以及黑客防护的下级菜单中实现。和在安装后的设置向导中一样,前摄防御被划分为四个目录。请确保至少启动了第一批的三种模式,分别称作:应用程序活动分析器、应用程序全面控制、注册表防卫。如果您还使用微软的Office软件,您还可以发现可以使用Office防护功能。应用程序活动分析器对系统中的所有进程进行监控,应用程序全面控制是一个类似于在许多防火墙中常见的组件控制功能,注册表防护对注册表通路进行监视并在系统注册表的关键部分被修改时发出警报。这些组件所能实现的最大特点就是高度的可设置性,这种(可设置性)的便利之处在于当您计算机上的一个非恶意应用程序在进行(不为防火墙规则容许的)非常操作时,您可以很方便的把这个程序添加到可信任区域,从而避免了一再的被防火墙警告的烦恼。黑客防护组件就是防火墙本身。KIS为防火墙设置了从全部允许到全部阻止的5级防护模式。杜宇初学者,学习模式也许是最佳选择,当应用程序企图连接局域网或互联网时,会有提示提请注意。细节化设置允许您查看并更改罗列有被允许或被阻止建立网络连接的应用程序清单。您同样可以定义通往TCP和UDP端口的路径以及定义其他的通信协议。最后一个功能可以服务菜单中查看,和个人防火墙的安全性有关。您应该在这部分启动自我防护功能,同时还可以设置保护密码。这种为设置提供保存并可以与文件进行加载与接收的可行性并不仅在您管理更多的安装KIS的台式计算机的时候才能感受的到。
系统托盘图标提供了快速访问主界面、设置界面以及网络监视器的捷径。您同样可以通过这个快捷图标的弹出式菜单快速关闭所有的网络通信,运行病毒防护扫描程序,开启更新服务以及暂停或禁用整个KIS的系统防护。
在习惯性应用和控制环节的测试中,我们发现的唯一问题是缺少帮助说明。比如如果有可疑的驱动执行安装,前摄防御将发出警报,您可以点击“事件名称”代替“查找详情”,您的浏览器将打开一个标有“找不到病毒记录”字样的页面。KIS多类组件的警告中都存在这个问题,对初级用户来说,这让人很不愉快。这也是为什么KIS在易用性方面获得95%分的原因。
Security
On one hand, we were quite surprised that Kaspersky Internet Security suffers from a number of security related problems that should not appear in the software like this. KIS makes an impression of a mature product, whose developers should be aware of problems and vulnerabilities that commonly affect security software. On the other hand, the security design is quite a good one. The system of separate but well connected components forms a multilayered security design. This means that even if some part of protection is bypassed it usually does not imply that all the security mechanisms are bypassed and the attacker is not able to take a full control of the system. In spite of this, there still exist several ways how to bypass the protection of KIS completely.
KIS implements a very interesting security related feature called Rollback. The Application Activity Analyzer component closely tracks the actions of any programs that runs in the system. If the application is to make something dangerous, the prompt appears. The users are able to check the list of all actions the application made and base their decision on this information too. Moreover, if the dangerous action is blocked, Rollback can be performed, which means that all tracked activities like registry modifications, new file creations etc. are reverted by KIS back to the state before the blocked application started.
The tested version of KIS has a very good anti-leak protection, Windows messaging oriented attacks seem to be a problem for KIS today. To achieve mentioned very good leak-testing results it is necessary to properly configure the security settings. We have been informed that future versions of KIS will fight possible leaks even better. In spite of all problems we have identified during our analysis, we can say that KIS offers a solid protection and we can recommend this product to users that demand high level of security. No, KIS is not a perfectly secure or bulletproof solution, there are still quite many ways how its protection can be bypassed, but among the competitive products KIS is one of the best. And because of its good security and overall design, it can be relatively easy for the vendor of KIS to improve this product to put the bar even higher. You can see the public information about bugs we found in Kaspersky Internet Security in the following sections below.
安全性
一方面,我们为KIS存在许多这类软件不应该有的安全类相关问题而惊奇。KIS一直给人以成熟的安全产品的印象,它的开发者应该对那些经常性会对安全类软件产生影响的问题和弱点有清醒的认识。另一方面,KIS的安全设计真的非常出色。独立的系统加上被完备连接的组件,构成了这个多层次的安全设计架构。这意味着即便防护系统的某部分被绕过,但这通常并不意味着所有的安全机制被突破,攻击者依然不能完全掌控系统。尽管如此,实际上还是存在着几种能够完全绕过KIS防护的方法。
KIS有一个非常有趣的安全类功能叫做“返回术”。应用程序活动分析器组件能仔细的捕捉任何在系统中运作的程序的痕迹。如果某个应用程序企图进行一些危险性的活动,用户将被提醒。用户还可以通过一张列有该应用程序所有活动的清单进行确认并把这些信息作为自己决策的依据。此外,如果危险性活动被阻止了,“返回术”就会发生效力,也就是说所有的被捕捉的行为,如更改注册表,创建新文件等都将被KIS恢复到这个被阻止的应用程序活动前的状态。
接受测试的KIS的版本具有非常出色的漏洞防护功能。现在看来窗口报文定向攻击似乎是KIS的一个问题。为获得漏洞防护测试的出色成绩,有必要对KIS进行合理的安全设置。我们被开发者告示未来版本的KIS将在对付可能的漏洞方面表现的更加出色。
尽管在测试中我们发现了KIS的很多问题,但是我们认为KIS能够提供稳固的防护体系,因此我们推荐对安全性要求较高的用户使用该产品。当然,KIS还不能算是完美的安全或“防弹”方案,依然有许多能够绕过其防守的方法,但是在同类的竞争产品中,KIS无疑是最出色的。并且基于其出色的安全而全面的设计,KIS的开发者能够相对容易的对KIS进行改进从而将安全壁垒提升至更高的水平。您可以在下面的章节浏览到我们在对KIS进行测试的过程中所发现的BUG的公开信息。
Open private bugs
The following list contains open bugs that are private. This means that their names, descriptions, testing methods and testing programs are not available for free. You can buy private information about a single bug or you can buy the full analysis. The following list is sorted by the bug penalty, the higher penalty means the more dangerous bug.
开放的隐私信息Bug
下面的列表列出的是开放的具有隐私性质的Bug,也就是说表上的每一个Bug的名称、描述、测试方式、测试项目都不是免费使用的。您可以选择购买单个Bug的分析信息或者购买全套的分析信息。列表按照Bug的危害性进行了归类分级,级别越高意味着这个Bug的危害性越高。(略掉细节,仅仅罗列Bug名称和危害等级)
BUG00013P006KA BUG00018P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00019P006KA BUG00012P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00015P006KA BUG00016P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00017P006KA BUG00007P006KA
Risk:Critical bugs(关键性BUG) Risk:Serious bugs(严重性BUG)
BUG00009P006KA BUG00006P006KA
Risk:Serious bugs(严重性BUG) Risk:Minor bugs(微小型BUG)
BUG00000P006KA BUG00001P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
BUG00002P006KA BUG00003P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
BUG00004P006KA BUG00005P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
Kaspersky Internet Security 6.0.2.614 - Review
Kaspersky Internet Security is a mature security software that also includes personal firewall features. Kaspersky Internet Security benefits from its multilayered security design and although this design is not bulletproof, it is one of the best that are available today. This software also offers pleasant and well arranged user interface. So, even if not perfectly secure, we can recommend Kaspersky Internet Security to end users.
卡巴斯基互联网安全套装6.0.2.614 – 概览
卡巴斯基互联网安全套装(以下简称KIS)是一款同时包含个人防火墙功能的成熟的安全软件。KIS的成功得益于其多层次的安全设计,尽管这项设计并非无懈可击,但确实是当今最佳的安全设计之一。这个软件同样拥有令人舒服且设计合理的用户界面,因此,即使其在安全性方面不能做到尽善尽美,我们也很乐意向最终用户推荐卡巴斯基网络安全套装。
Tested version
We have tested Kaspersky Internet Security version 6.0.2.614 because its vendor, Kaspersky Lab, have discontinued the development of its stand-alone personal firewall product called Kaspersky Anti-Hacker long time ago. However, we have installed and tested only the minimal core of KIS, which includes anti-virus, and personal firewall components.
The vendor provided us a licence for the purpose of our testing. Such a licence is usually available for $59.95 and includes one year of updates. The two years licence costs $95.92.
测试版本
由于KIS的开发者卡巴斯基实验室早就终止继续研发被称为“卡巴斯基黑客防护”的独立的个人防火墙产品,我们选择了KIS6.0.2.614作为测试的对象。(尽管KIS具有强大的综合防护能力),我们仅仅选择了包括其病毒防护以及个人防火墙组件在内的核心进行最小化安装。
开发者为我们此次测评提供了使用授权。通常情况下,一个包含一年更新服务的授权码价值59.95美金,二年有效的授权码需要花费95.92美金。
Installation and initialization
The downloadable version of Kaspersky Internet Security is delivered in 22 MB self-extracting executable. This size is reasonable for a security suite that includes anti-spam, anti-spy, anti-virus and personal firewall components. Just after you choose an installation folder, you are asked to choose the installation type. Complete installation, Custom installation and Anti-virus features only are offered choices. We chose Custom installation to be able not to install Anti-spam, Anti-spy, on access File Anti-Virus, Mail Anti-Virus and Web Anti-Virus. The only components we installed were core components, Proactive Defense and Anti-Hacker FireWall. Keep this in the mind while reading this review because some information like hardware requirements might be different if you install other components too. After you choose the type of the installation, you are asked whether you want to enable Self-Defense before the raw installation. This is probably an attempt to protect the installation process against possible malware attacks. We left this option enabled. The next step is the raw installation of files, services and drivers, this takes no more than a few minutes.
The post-installation configuration is done via Initial Setup Wizard. This wizard is started as soon as the first part of the installation is finished. At first, you are asked to activate your licence and even trial licences have to be activated if you want to have an access to security updates. The next step is quite important. You are asked to choose whether you want to enable only Basic protection, which is selected by default and recommended for most users, or Interactive protection, which is recommended for experienced users. We strongly recommend you to choose Interactive protection, because if you choose Basic protection the system will not be fully protected. We chose the better protection and also enabled Application Integrity Control, which is disabled by default. The configuration of automatic updates follows. You can also perform an update in this step, this can take a few more minutes. Then you can configure regular anti-virus scans and in the next window you can enable a password protection of your settings. To achieve the best security settings, we recommend you to enable the password protection even if you are the only user of your computer. You can also choose which parts of the settings will be protected by the selected password.
The last part of the installation is the configuration of additional protection and network related settings. In this part, KIS automatically initializes its internal database of programs that are allowed to access the Internet and recognizes the network interfaces in your computer. You can always modify the settings that were configured automatically. The last step is to restart your computer. After the reboot, you are advised to perform a full anti-virus scan of your computer.
The installation process is pleasant and quite easy and fast even for common users. To achieve the highest level of security KIS can offer, you have to slightly modify the predefined options during the post-installation configuration. KIS received no penalty for the installation process.
安装与初始化
下载下来的KIS是一个22M的自解压的可执行文件。这样的体积对于一款包含垃圾邮件防护、间谍程式防护、病毒防护以及个人防火墙组件的安全套装产品来说是合理的。在选择完程式的安装路径后,您会被询问选择安装方式,选项包含完全安装、自定义安装以及仅安装病毒防护组件。我们选择了自定义安装,这样就不会被安装垃圾邮件防护、间谍程式防护等组件,并剔除了病毒防护文件、邮件病毒防护文件以及网页病毒防护文件。我们只安装了最核心的组件:前摄防护以及反黑客防火墙。请务必在阅读本报告时关注这个前提,因为当您选择安装了其他组件的时候,一些诸如硬件要求的信息也会相应发生变化。选择好安装类别后,您会被询问是否选择在原始安装开始前启用自我防护功能。这可能是一种为防止安装过程中遭受恶意攻击而采取的措施。我们启动了这个功能,接下来就是文件、服务以及驱动的原是安装,需要花费几分钟的时间。
安装后的设置是通过安装初始化向导进行的。这个向导在第一部分安装完毕后就立刻开始执行,首先,如果您想要获得产品的跟新,您会被要求激活您的授权(包括体验授权码)。下一步非常重要,您将被询问是否仅希望启用基础防护,这个选项是默认选项并且是KIS向大多数使用者推荐的选项;或者启动互动防护,一个适合高级用户使用的选项。我们强烈推荐您选择互动防护,因为您的系统在基础防护下得不到全面的防护。我们选择了更高级别的防护,同时也启用了默认关闭的应用程序全面控制功能,接下来就是对自动更新进行设置。您也可以在这一步开始执行更新,这需要花费好几分钟。之后您可以设置定期病毒扫描,并且在下一个窗口您可以通过设置密码来保存您的设置。为了获得最佳的安全防护效果,即便您是计算机的唯一使用者,我们也建议您设置密码保护。您还可以选择需要密码保护的部分进行设置。
安装的最后以部分是对一些附加防护功能以及网络相关部分进行设置。在这一部分,KIS会自动对被允许连接到互联网的程序的内部数据库进行初始化,并识别您计算机是上的网络界面。您也可以修改那些自动设置好的规则。最后就是重新启动电脑,重启后,您将被建议对机器进行一次全面的病毒防护扫描。
安装过程让人感觉愉悦,即便对初级用户,安装也会显得游刃有余。为了获得KIS所能提供的安全防护的最高水准,您必须在安装后的设置过程中对一些预设选项进行微调。KIS不对安装过程(的任何意外)负责。
Hardware requirements
Our installation of Kaspersky Internet Security took about 27 MB on the hard disk and about 15 MB in the RAM. These values would be reasonable even if KIS was only a personal firewall software, but its core also includes the anti-virus, and so these values are better than good. On the other hand, it reduces the performance to about 73% in average. This number was highly affected probably by Registry Guard component, because we have measured much lower performance during extensive work with the system registry. As mentioned above, these values can be different if you install more of KIS components. The hardware requirements of KIS are no problem for today's computers.
硬件要求
安装KIS需要占据27M的硬盘空间以及大约15M的内存。即便KIS只是一款个人防火墙软件,上述指标也是合理的,更何况它还包含了病毒防护的核心功能,所以这些指标是很出色的。另一方面,运行KIS的电脑其效率一般只能达到原来的73%,这个数值很大程度上是受到注册表防护组件的影响,因为我们在利用系统注册表进行的扩展评测时所测量到的效率值非常低。如前所述,这些数值在您安装更多组件的情况下会有不同。以现在计算机的配置来看,完全能够达到KIS的硬件要求。
Common behaviour and control
The user interface of Kaspersky Internet Security is well-developed and nice. It fully supports the internal architecture based on many separate, but well connected, smaller components. The main window is divided into three parts. The first one is a structured menu, in which you select what do you want to work with in the main part of the window. If you select Protection, you will be informed about the current state of the security on your computer. You can get more information about the state of each component you have installed by clicking on it in the menu. If anything in the security system needs your attention you can see it in the third part of the main window, which is a small information box. In such case, you are also informed via on screen notifications, so you do not have to open the user interface everytime. KIS is not intrusive with its notifications if you do not want it to be. You can precisely configure, which notifications you are interested in and which does not bother you at all. The next item in the menu is Scan. This is devoted to anti-virus scanning of your computer. You can start custom scans of your disks, single folders or critical areas of your system. The last item in the menu is Service, where you can check your current product version, the exact time and date of your last updates and also the state of your licence. You can also run updates from here, view security reports or contact KIS support.
Configuration of all settings is made in a separate window. Settings of personal firewall features can be changed in Proactive Defense and Anti-Hacker submenus. Proactive defense is divided into four categories as in the post-installation configuration wizard. Be sure to have enabled at least the first three modules called Application Activity Analyzer, Application Integrity Control and Registry Guard. If you use Microsoft Office, you can find Office Guard useful too.
Application Activity Analyzer monitors the behavior of all processes in the system. Application Integrity Control is something like the component control that you can find in many other personal firewalls. Registry Guard monitors the access to system registry and alerts when a critical part of registry is to be changed. The most of the features these components provide are highly configurable, which comes handy if you have a harmless application that behaves uncommonly, you can easily add it to the trusted zone and you will not be notified about its activities any more. The Anti-Hacker component is the firewall itself. KIS offers five modes of firewall from Allow All to Block All. At the beginning, Training Mode may be the best choice, in which a prompt appears if any application attempts to connect to the network or the Internet. The detailed configuration allows you to view and change the list of applications that are allowed or blocked to establish network connections. You can also configure the access to single TCP and UDP ports as well as to configure other protocols. The last features related to personal firewall security can be found in the Service menu. You should have Self-Defense enabled here and you can also set your password here. Not only if you administer more desktop computers with KIS installed, you can find useful a possibility to save and load the configuration to or from the file.
The tray icon offers a fast access to both main and settings windows and to Network Monitor. You can also quickly block all the network traffic, run anti-virus scan, perform an update as well as pause or disable the whole KIS protection from the tray icon popup menu.
The only problem we have found in the common behaviour and control was missing help. For example, in Proactive Defense alerts in case of suspicious driver installation you can click on the name of the event and instead of getting some detailed information, your browser is opened on a page that says "Can't find virus record". This is an issue of many of alerts from various components and can be very unpleasant for basic users. This is why the Easy of use for Kaspersky Internet Security is on 95%.
习惯性应用和控制
KIS的用户界面相当完善和美观,完全支持基于许多小巧独立但却完美结合的组件所搭建起来的内部架构。主窗口被划分为三个部分:第一部分是结构菜单,在这里您可以通过选择一些功能进行操作。如果您选择了保护功能,KIS将告诉您有关您的计算机安全现状的信息,通过点击这个菜单上的对应功能键,您还可以获得关于您已经安装了的各个组件的更多的信息。安全信息提请您注意的信息可以在主窗口的第三部分查看,这是一个很小的信息搜集箱。同时您还将从屏幕的通知栏中获得安全警告,因此您不需要每次都开启用户界面。在您不需要的时候,KIS的通知信息不会强制性的介入(您的工作)。通过精确设置,您可以获得您感兴趣的信息,同时摒除无关信息对您的干扰。菜单的第二项是扫描,主要是对计算机是系统进行的病毒防护扫描。您还可以自定义扫描的对象,如硬盘分区、单一文件夹或系统的关键区域。菜单的最后项目是服务,在这部分,您可以确认产品版本,上次更新的准确日期以及您的授权情况。这里同样提供自动更新、安全报告以及支持帮助等服务。
对所有设置的定义是在一个独立的窗口进行的,对个人防火墙功能的设置需要在前摄防御以及黑客防护的下级菜单中实现。和在安装后的设置向导中一样,前摄防御被划分为四个目录。请确保至少启动了第一批的三种模式,分别称作:应用程序活动分析器、应用程序全面控制、注册表防卫。如果您还使用微软的Office软件,您还可以发现可以使用Office防护功能。应用程序活动分析器对系统中的所有进程进行监控,应用程序全面控制是一个类似于在许多防火墙中常见的组件控制功能,注册表防护对注册表通路进行监视并在系统注册表的关键部分被修改时发出警报。这些组件所能实现的最大特点就是高度的可设置性,这种(可设置性)的便利之处在于当您计算机上的一个非恶意应用程序在进行(不为防火墙规则容许的)非常操作时,您可以很方便的把这个程序添加到可信任区域,从而避免了一再的被防火墙警告的烦恼。黑客防护组件就是防火墙本身。KIS为防火墙设置了从全部允许到全部阻止的5级防护模式。杜宇初学者,学习模式也许是最佳选择,当应用程序企图连接局域网或互联网时,会有提示提请注意。细节化设置允许您查看并更改罗列有被允许或被阻止建立网络连接的应用程序清单。您同样可以定义通往TCP和UDP端口的路径以及定义其他的通信协议。最后一个功能可以服务菜单中查看,和个人防火墙的安全性有关。您应该在这部分启动自我防护功能,同时还可以设置保护密码。这种为设置提供保存并可以与文件进行加载与接收的可行性并不仅在您管理更多的安装KIS的台式计算机的时候才能感受的到。
系统托盘图标提供了快速访问主界面、设置界面以及网络监视器的捷径。您同样可以通过这个快捷图标的弹出式菜单快速关闭所有的网络通信,运行病毒防护扫描程序,开启更新服务以及暂停或禁用整个KIS的系统防护。
在习惯性应用和控制环节的测试中,我们发现的唯一问题是缺少帮助说明。比如如果有可疑的驱动执行安装,前摄防御将发出警报,您可以点击“事件名称”代替“查找详情”,您的浏览器将打开一个标有“找不到病毒记录”字样的页面。KIS多类组件的警告中都存在这个问题,对初级用户来说,这让人很不愉快。这也是为什么KIS在易用性方面获得95%分的原因。
Security
On one hand, we were quite surprised that Kaspersky Internet Security suffers from a number of security related problems that should not appear in the software like this. KIS makes an impression of a mature product, whose developers should be aware of problems and vulnerabilities that commonly affect security software. On the other hand, the security design is quite a good one. The system of separate but well connected components forms a multilayered security design. This means that even if some part of protection is bypassed it usually does not imply that all the security mechanisms are bypassed and the attacker is not able to take a full control of the system. In spite of this, there still exist several ways how to bypass the protection of KIS completely.
KIS implements a very interesting security related feature called Rollback. The Application Activity Analyzer component closely tracks the actions of any programs that runs in the system. If the application is to make something dangerous, the prompt appears. The users are able to check the list of all actions the application made and base their decision on this information too. Moreover, if the dangerous action is blocked, Rollback can be performed, which means that all tracked activities like registry modifications, new file creations etc. are reverted by KIS back to the state before the blocked application started.
The tested version of KIS has a very good anti-leak protection, Windows messaging oriented attacks seem to be a problem for KIS today. To achieve mentioned very good leak-testing results it is necessary to properly configure the security settings. We have been informed that future versions of KIS will fight possible leaks even better. In spite of all problems we have identified during our analysis, we can say that KIS offers a solid protection and we can recommend this product to users that demand high level of security. No, KIS is not a perfectly secure or bulletproof solution, there are still quite many ways how its protection can be bypassed, but among the competitive products KIS is one of the best. And because of its good security and overall design, it can be relatively easy for the vendor of KIS to improve this product to put the bar even higher. You can see the public information about bugs we found in Kaspersky Internet Security in the following sections below.
安全性
一方面,我们为KIS存在许多这类软件不应该有的安全类相关问题而惊奇。KIS一直给人以成熟的安全产品的印象,它的开发者应该对那些经常性会对安全类软件产生影响的问题和弱点有清醒的认识。另一方面,KIS的安全设计真的非常出色。独立的系统加上被完备连接的组件,构成了这个多层次的安全设计架构。这意味着即便防护系统的某部分被绕过,但这通常并不意味着所有的安全机制被突破,攻击者依然不能完全掌控系统。尽管如此,实际上还是存在着几种能够完全绕过KIS防护的方法。
KIS有一个非常有趣的安全类功能叫做“返回术”。应用程序活动分析器组件能仔细的捕捉任何在系统中运作的程序的痕迹。如果某个应用程序企图进行一些危险性的活动,用户将被提醒。用户还可以通过一张列有该应用程序所有活动的清单进行确认并把这些信息作为自己决策的依据。此外,如果危险性活动被阻止了,“返回术”就会发生效力,也就是说所有的被捕捉的行为,如更改注册表,创建新文件等都将被KIS恢复到这个被阻止的应用程序活动前的状态。
接受测试的KIS的版本具有非常出色的漏洞防护功能。现在看来窗口报文定向攻击似乎是KIS的一个问题。为获得漏洞防护测试的出色成绩,有必要对KIS进行合理的安全设置。我们被开发者告示未来版本的KIS将在对付可能的漏洞方面表现的更加出色。
尽管在测试中我们发现了KIS的很多问题,但是我们认为KIS能够提供稳固的防护体系,因此我们推荐对安全性要求较高的用户使用该产品。当然,KIS还不能算是完美的安全或“防弹”方案,依然有许多能够绕过其防守的方法,但是在同类的竞争产品中,KIS无疑是最出色的。并且基于其出色的安全而全面的设计,KIS的开发者能够相对容易的对KIS进行改进从而将安全壁垒提升至更高的水平。您可以在下面的章节浏览到我们在对KIS进行测试的过程中所发现的BUG的公开信息。
Open private bugs
The following list contains open bugs that are private. This means that their names, descriptions, testing methods and testing programs are not available for free. You can buy private information about a single bug or you can buy the full analysis. The following list is sorted by the bug penalty, the higher penalty means the more dangerous bug.
开放的隐私信息Bug
下面的列表列出的是开放的具有隐私性质的Bug,也就是说表上的每一个Bug的名称、描述、测试方式、测试项目都不是免费使用的。您可以选择购买单个Bug的分析信息或者购买全套的分析信息。列表按照Bug的危害性进行了归类分级,级别越高意味着这个Bug的危害性越高。(略掉细节,仅仅罗列Bug名称和危害等级)
BUG00013P006KA BUG00018P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00019P006KA BUG00012P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00015P006KA BUG00016P006KA
Risk:Critical bugs(关键性BUG) Risk:Critical bugs(关键性BUG)
BUG00017P006KA BUG00007P006KA
Risk:Critical bugs(关键性BUG) Risk:Serious bugs(严重性BUG)
BUG00009P006KA BUG00006P006KA
Risk:Serious bugs(严重性BUG) Risk:Minor bugs(微小型BUG)
BUG00000P006KA BUG00001P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
BUG00002P006KA BUG00003P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
BUG00004P006KA BUG00005P006KA
Risk:Serious bugs(严重性BUG) Risk:Serious bugs(严重性BUG)
解决跑跑卡丁车与OutPost Firewall4.0冲突的问题
冲突原因:OP4中为加强AntiLeak将wl_hook.dll(在安装目录下)hook 到了所有程序(用IceSword等可以验证),误被GameGuard.des判为外挂(安软一般都不用Ring3,很容易被Unhook,这是OP的一个安全缺陷),故导致冲突。
解决方案:
方法一:用IS强行将运行中的GameGuard.des的wl_hook.dll Unhook掉,此方法不影响Antileak ,但影响系统稳定性,容易死机,故不推荐。
PS:1005和1007加入了VirtualMemoryProtect,能侦测到Unhook行为对应用IS“强制卸除”。
方法二(官方推荐):新建wl_hook_data.cfg到OP目录,将跑跑目录下所有exe、des文件连同完整路径添加到例外。重启,在运行跑跑时OP将不会对其反泄露控制。但不知为何,在有些人的机子上无效,建议大家可以试一试。同样不影响其它程序的AntiLeak。
方法三:卸掉OP的AntiLeak。关掉AntiLeak,重启,安全模式登陆,重命名wl_hook.dll。今后OP将失去AntiLeak功能,但与绝大多数软件冲突问题经试验得到解决。建议上面两个方法失效或对AntiLeak不感冒的朋友考虑。
解决方案:
方法一:用IS强行将运行中的GameGuard.des的wl_hook.dll Unhook掉,此方法不影响Antileak ,但影响系统稳定性,容易死机,故不推荐。
PS:1005和1007加入了VirtualMemoryProtect,能侦测到Unhook行为对应用IS“强制卸除”。
方法二(官方推荐):新建wl_hook_data.cfg到OP目录,将跑跑目录下所有exe、des文件连同完整路径添加到例外。重启,在运行跑跑时OP将不会对其反泄露控制。但不知为何,在有些人的机子上无效,建议大家可以试一试。同样不影响其它程序的AntiLeak。
方法三:卸掉OP的AntiLeak。关掉AntiLeak,重启,安全模式登陆,重命名wl_hook.dll。今后OP将失去AntiLeak功能,但与绝大多数软件冲突问题经试验得到解决。建议上面两个方法失效或对AntiLeak不感冒的朋友考虑。
2007年3月17日星期六
图解Outpost Firewall
从开始安装到功能设置,共有39张图片并配有详细的文字说明.相信你在看完后,能对Outpost Firewall有一个大概的了解.如果你还想进一步的话,那就只能自己实际去体验一下了!
 |
| 图解Outpost Firewall |
Kaspersky(卡巴斯基) Anti-Virus 7.0.0.6 Beta发布
卡巴斯基实验室今天发布了7.0 beta版本,与大家期望所不同的是,这次只有KAV而没有发布KIS.从官方论坛上的来的消息说,有人在激活(FHJ4S-R1XEX-5BW3T-JYEKB)时造成KAV崩溃的现象,可能这仅仅只是个别情况.
大部分人在测试后,都感觉有不小的进步或改进.
更新日志:
Attention: the only purpose of this build is to test some new protection technologies which will be available in KAV 7.0:
1) some leaktests are passed (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer) http://forum.kaspersky.com/index.php?showtopic=29194&st=0,
2) keylogger test aklt #3 is passed,
3) with a patched ods.ppl from AntiRootkit_Patch some new rootkits are being detected during scans (as Hidden objects) - we've tested Unreal.A, Rustock, EliteKeylogger -> please test others...
No new gui or new subsystems are implemented in this build.
下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.6/KAV/English/2007_03_13_20_43/kav6.en.msi
或者:http://www.51files.com/?SDSJSQ7DYM083TEKSQO8(一个月的有效期)
大部分人在测试后,都感觉有不小的进步或改进.
更新日志:
Attention: the only purpose of this build is to test some new protection technologies which will be available in KAV 7.0:
1) some leaktests are passed (BITStester, Breakout2, CPILSuite(#3), Osfwbypass, Surfer) http://forum.kaspersky.com/index.php?showtopic=29194&st=0,
2) keylogger test aklt #3 is passed,
3) with a patched ods.ppl from AntiRootkit_Patch some new rootkits are being detected during scans (as Hidden objects) - we've tested Unreal.A, Rustock, EliteKeylogger -> please test others...
No new gui or new subsystems are implemented in this build.
下载:ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.6/KAV/English/2007_03_13_20_43/kav6.en.msi
或者:http://www.51files.com/?SDSJSQ7DYM083TEKSQO8(一个月的有效期)
2007年3月16日星期五
卡巴斯基重启非法授权封锁行动
记者:马培治/台北报道 13/03/2007
暂缓封锁非法授权两个月后,卡巴斯基将再度展开有限度的非法授权封锁行动.
桌面安全软件卡巴斯基台湾区代理商弈瑞科技总经理张义渊表示,由于暂缓封锁的理由已不存在,今年初一度暂停的非法授权封锁行动将重新开始;“快则(三)月底,最迟四月就会开始”,他说.
去年底CNET率先报道,由于大量非法使用者挤爆卡巴斯基的产品更新服务器,该公司自十二月起,开始无预警封锁非法使用者进行产品更新,引发大量不知所用软件为盗版之非法用户致电抗议,加上年底台湾屏东地震导致国际海缆断线,众多用户无法进行产品升级因而感染病毒,加重该公司客服中心负担,因此决定暂停封锁非法授权行动.
张义渊说,卡巴斯基总公司已部署好软硬件,以应对再次封锁非法授权可能涌入的询问电话.此外,为避免客服中心负荷超载的旧事重演,也将采取其他对策.
“新的封锁方式将和过去不同”,张义渊解释,卡巴斯基总公司将会调查、整理出一份经确认的非法授权清单,在官方网站上公布,同时预告每一位非法授权被封锁的日期,不同于过去直接封锁、不另行公告的做法.至于将封锁的非法授权数量与启动时间,张义渊表示待俄罗斯总公司通报后即将会上网公布.
卡巴斯基此种先公告再封锁的做法,张义渊解释,可先让非法使用者得知自己使用的为盗版产品,避免抗议电话瘫痪客服中心运作;另一方面,卡巴斯基也会在官方网页宣传,告知使用者合法取得、购买正版软件的渠道,他说.
而卡巴斯基即将上路的新封锁行动,首当其冲的,将会是盗版情形最严重的台湾和中国大陆地区的非法用户.
张义渊引述卡巴斯基总公司内部资料指出,连线至卡巴斯基产品更新服务器的IP来源,以中国大陆与台湾最多,分别占总体的25%和12%,居全球一、二名;但卡巴斯基全球销售排名,中国大陆排第五,台湾更在十名以外,销量只占1%.“充分说明了两岸盗版严重的程度”,他说.
事实上,卡巴斯基封锁非法授权的做法,也的确引起台海两岸非法使用者的关注,透过Google即可搜索到不少网友交流尚未被封锁的授权、研究破解方法,甚至张义渊还发现,有网友批评卡巴斯基开始封锁行动后,使用者回报的病毒数量减少,进而使防病毒表现变差.
对此,张义渊表示,使用者回报仅是卡巴斯基搜集新病毒的众多渠道之一,该产品防病毒表现并不会因早前的封锁行动而变差.
半价方案吸引用户
一方面防堵非法用户,另一方面,卡巴斯基亦祭出低价策略,吸引使用者采用正版.
张义渊表示,去年十月开始的卡巴斯基校园半年免费授权方案,将陆续到期,该公司将以近半价的优惠价格,提供给参与的近四千所学校师生使用.
为避免打乱市场行情,张义渊强调,半价方案仅能透过学校向弈瑞购得,又学校统计需要的产品套数,再向弈瑞订购.
“必须是校内电脑,或具学生身份,才能以半价续约”,他说.至于详细方案内容与洽购方式,则会在四月中正式发布.
PS:封锁key文件的风暴即将上演!!!
暂缓封锁非法授权两个月后,卡巴斯基将再度展开有限度的非法授权封锁行动.
桌面安全软件卡巴斯基台湾区代理商弈瑞科技总经理张义渊表示,由于暂缓封锁的理由已不存在,今年初一度暂停的非法授权封锁行动将重新开始;“快则(三)月底,最迟四月就会开始”,他说.
去年底CNET率先报道,由于大量非法使用者挤爆卡巴斯基的产品更新服务器,该公司自十二月起,开始无预警封锁非法使用者进行产品更新,引发大量不知所用软件为盗版之非法用户致电抗议,加上年底台湾屏东地震导致国际海缆断线,众多用户无法进行产品升级因而感染病毒,加重该公司客服中心负担,因此决定暂停封锁非法授权行动.
张义渊说,卡巴斯基总公司已部署好软硬件,以应对再次封锁非法授权可能涌入的询问电话.此外,为避免客服中心负荷超载的旧事重演,也将采取其他对策.
“新的封锁方式将和过去不同”,张义渊解释,卡巴斯基总公司将会调查、整理出一份经确认的非法授权清单,在官方网站上公布,同时预告每一位非法授权被封锁的日期,不同于过去直接封锁、不另行公告的做法.至于将封锁的非法授权数量与启动时间,张义渊表示待俄罗斯总公司通报后即将会上网公布.
卡巴斯基此种先公告再封锁的做法,张义渊解释,可先让非法使用者得知自己使用的为盗版产品,避免抗议电话瘫痪客服中心运作;另一方面,卡巴斯基也会在官方网页宣传,告知使用者合法取得、购买正版软件的渠道,他说.
而卡巴斯基即将上路的新封锁行动,首当其冲的,将会是盗版情形最严重的台湾和中国大陆地区的非法用户.
张义渊引述卡巴斯基总公司内部资料指出,连线至卡巴斯基产品更新服务器的IP来源,以中国大陆与台湾最多,分别占总体的25%和12%,居全球一、二名;但卡巴斯基全球销售排名,中国大陆排第五,台湾更在十名以外,销量只占1%.“充分说明了两岸盗版严重的程度”,他说.
事实上,卡巴斯基封锁非法授权的做法,也的确引起台海两岸非法使用者的关注,透过Google即可搜索到不少网友交流尚未被封锁的授权、研究破解方法,甚至张义渊还发现,有网友批评卡巴斯基开始封锁行动后,使用者回报的病毒数量减少,进而使防病毒表现变差.
对此,张义渊表示,使用者回报仅是卡巴斯基搜集新病毒的众多渠道之一,该产品防病毒表现并不会因早前的封锁行动而变差.
半价方案吸引用户
一方面防堵非法用户,另一方面,卡巴斯基亦祭出低价策略,吸引使用者采用正版.
张义渊表示,去年十月开始的卡巴斯基校园半年免费授权方案,将陆续到期,该公司将以近半价的优惠价格,提供给参与的近四千所学校师生使用.
为避免打乱市场行情,张义渊强调,半价方案仅能透过学校向弈瑞购得,又学校统计需要的产品套数,再向弈瑞订购.
“必须是校内电脑,或具学生身份,才能以半价续约”,他说.至于详细方案内容与洽购方式,则会在四月中正式发布.
PS:封锁key文件的风暴即将上演!!!
黑客我不怕 Outpost防火墙应用攻略
常在河边走,哪有不湿鞋。经常上网的朋友大都有过被黑客、病毒攻击的经历,于是自己的一些诸如邮箱账号、QQ密码、论坛账号等重要数据就存在被窃取的危险。而在更多的情况下,则往往会发生系统不断重启、黑屏甚至系统瘫痪等现象。
为了防止这些恶意攻击,一款好用的防火墙自然必不可少,比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具,它便是“Outpost Firewall”。它除了能够预防来自Cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 Internet潜在的危险外,还可以利用插件去让功能得到进一步拓展,使该款产品更加超值。
一、Outpost Firewall的基本应用方法
将该防火墙安装后,软件会要求进行“自动配置个人防火墙规则”,一般选择“自动配置防火墙规则”即可;而在下一步的“网络配置”中,一般可以选择“使用自动配置规则”,当完成这些后,必须重新启动操作系统。
步骤1 重启系统后,它就开始发挥作用了,在启动过程中若某个程序需要连接网络,那么便会弹出有关为该程序创建规则的对话框。在该对话框中,我们可以从对话框的标题名称或者页面上的程序名称,了解到该程序到底为何种程序。
步骤2 如果该程序值得信任,用户也对它非常了解,那么只要点选“允许这个应用程序的所有动作”选项,就可以让该程序顺利通过防火墙的验证;若是用户得知该程序具有一定的危害性,那么不妨点选“挡截这个应用程序的所有动作”选项,这种该程序就不会再与网络发生连接关系。
步骤3 若是用户对该程序不甚了解,那么不妨单击“本次允许”或“本次挡截”按钮,去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后,便可为其设置永久性的动作。当设置完成后,单击“确定”按钮即可。
二、更改防火墙运行模式
之所以会弹出上述创建规则对话框,这是因为“Outpost Firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦,那么不妨双击系统中的防火墙图标打开其主界面,依次打开主菜单“选项→运行模式”选项命令,在弹出的对话框中便可更改防火墙的运行模式。
其中单击“禁用模式”选项,便可让防火墙失去作用,当前系统便不会受到防火墙的任何防护;单击“允许大部分通讯模式”选项,那些没有被禁止的通讯都可允许出入本机系统;单击“禁止大部分通讯模式”选项,则可让所有没有被允许的通讯禁止出入本机系统;而单击“停止通讯模式”,就可以使本机与网络的连接完全断开。
三、为程序“量身定做”通讯方式
在选择防火墙的运行模式时,我们发现“允许的通讯”和“禁止的通讯”这些表述,那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢?为了便于说明,我们以禁止和允许QQ应用程序进行通讯为例。
1、禁止QQ通讯
步骤1 在开启的主界面中,依次打开“选项→应用程序”选项命令,在出现的对话框中选中“禁止的应用程序”选项。
步骤2 单击“添加”按钮,在打开的窗口中选择QQ主程序,即可将QQ程序添加到“禁止的应用程序”中,然后单击“确定”按钮。此时若再次登录QQ,便会发现QQ已经无法登录了。
2、允许QQ通讯
步骤1 若打算让QQ登录成功“复活”,那么可在“禁止的应用程序”区域中选中QQ程序,而后单击“删除”按钮,就可以将QQ程序从“禁止的应用程序”移除。
步骤2 选中“部分允许的应用程序”选项,单击“添加”按钮,选择QQ主程序进行添加,在添加时会弹出一个规则对话框,只要单击“确定”按钮,便可将QQ程序添入其中。
当再次运行QQ程序时,便会弹出一个“为QQ.EXE创建规则”对话框。如果你只打算暂时运行QQ,那么可单击“本次允许”按钮,这样便可临时让QQ登录。当QQ成功登录后,我们会发现QQ的程序名称仍保留在“部分允许的应用程序”区域中。
如果在创建规则时,直接点选“允许这个应用程序的所有动作”选项,单击“确定”按钮,那么在“部分允许的应用程序”中就不会再发现QQ的主程序名称,此时它会被移至“信任的应用程序”区域中。
而用户若是需要一直应用某个程序去进行通讯,那么不妨选择“信任的应用程序”选项,单击“添加”按钮直接将该程序加入其中,这样便不会再弹出要求为该程序创建规则的对话框了。
以上是“Outpost Firewall”的基本应用方法,当学会这些方法后,新手朋友们就可以借助它为自己的电脑构筑一道防火墙了。
四、关闭危险的端口
如今网络上各种病毒层出不穷,特别是一些蠕虫病毒,当这些蠕虫成功入侵后,便会打开某些端口,继续侵入网络内其他主机,并对本机系统造成种种危害。而我们的应对之法便是将那些端口关闭,就可以杜绝病毒的入侵。在此以关闭“冲击波”病毒攻击的常用端口“135”为例。
步骤1 依次打开主界面“选项→系统”选项命令,在打开的页面中会看到“系统和应用程序全局规则”区域。
步骤2 在该区域中单击“设置”按钮,在跳出的“系统和应用程序全局规则”的对话框中单击“添加”按钮,此时又会出现“规则”对话框。
步骤3 在该对话框的“选择规则要处理的事件”区域中,分别勾选“当指定的协议是”和“当指定的方向是”前的复选框,此时会在“规则描述”区域中出现相应的规则。
步骤4 单击“当协议是”后的“未定义”链接,由于我们打算关闭的135端口,所以可以在弹出的“选择协议”对话框中点选“TCP”;
单击“并且当方向是”后的“未定义”链接,由于病毒是从外入侵本机,所以可以“方向”对话框中点选“入站:从远程主机到你的计算机”,单击“确定”按钮完成设置。
步骤5 此时再次返回“规则”对话框,勾选“当指定的本地端口是”前的复选框,单击“规则描述”区域中“并且当本地端口是”后的“未定义”链接,此时会打开“选择本机端口”对话框。在该对话框中的输入框里输入打算关闭的端口号,比如“135”。若想添加其它端口号,只要在输入时用逗号将它们分隔开即可。
步骤6 在“选择规则要处理的事件”区域中,还可勾选“当指定的时间间隔是”选项,然后单击“规则描述”区域中“并且活动时间段是”后的“未定义”链接,在弹出的“规则有效时间”对话框中,可指定在某个时间段内才执行该项安全规则。
步骤7 在“规则”对话框的“选择规则要响应的操作”区域中,勾选“禁止”和“全状态检测”前的复选项,在“规则名称”一栏中输入自定义的名称,比如“关闭135”,最后单击“确定”按钮就可以了。
五、通透了解网络通讯情况
如果用户想获悉自己的系统中进行了哪些通讯以及打开了哪些端口,在“Outpost Firewall”中同样可以非常方便地了解到相关信息。
在主界面的左侧列表中,单击“网络活动”选项,即可在下方展出当前正在通讯的程序。在程序中单击鼠标右键,便可在出现的右键菜单中为它设定相应的通讯规则,同时在右侧窗口中,则会显现出更为详尽的网络活动信息。而选中进行通讯的程序,还可以单独列出有关该程序的进程名称、远程地址、远程端口等更为详细的网络活动信息。
单击左侧列表中的“已打开的端口”选项,就会在其下方展开当前打开的端口号及协议,在右侧窗口中则可以列出包括进程名称、本地地址、本地端口和协议等详细的信息。双击进程名称,还可以列出该进行的开始时间及持续时间。
六、强大的插件功能
在浏览网页、收发邮件时,可能会存在能对系统造成危害的某些脚本和附件,对此我们可以利用“Outpost Firewall”默认的插件去做好预防工作。
在程序主界面中,依次打开主菜单“选择→插件设置”选项,在出现的对话框中选择“Attachment Quarantine”和“Active Content”选项,然后单击“启动”按钮,就可以使过滤插件生效。这样便可有效防范某些脚本和附件的危害了。
“Outpost Firewall”所自带的插件共有六项,我们还可以对它们进行一系列设置去实现自己要求,比如为防止使用本机的用户去搜索那些不健康的网页,我们可以对搜索关键词进行过滤。
步骤1 在“Outpost Firewall”主界面中,单击左侧列表中的“插件”选项,在展开的下级菜单中选择“内容过滤”选项。在该选项上单击鼠标右键,选择右键菜单上的“属性”选项。
步骤2 在弹出的“内容属性”对话框中单击“过滤关键字”选项卡,勾选页面中的“过滤包含指定关键字的内容”,在文本框中输入打算过滤的关键字后,单击“添加”按钮,最后单击”“确定”按钮结束。
当此时再利用所禁止的关键字进行搜索时,便会出现“因为含有不受欢迎的内容,该页面禁止访问。”的提示。
除了以上所述之外,“Outpost Firewall”还有不少有用的功能,因篇幅所限,在此就不一一列举了,有兴趣的朋友不妨试用一番。
为了防止这些恶意攻击,一款好用的防火墙自然必不可少,比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具,它便是“Outpost Firewall”。它除了能够预防来自Cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 Internet潜在的危险外,还可以利用插件去让功能得到进一步拓展,使该款产品更加超值。
一、Outpost Firewall的基本应用方法
将该防火墙安装后,软件会要求进行“自动配置个人防火墙规则”,一般选择“自动配置防火墙规则”即可;而在下一步的“网络配置”中,一般可以选择“使用自动配置规则”,当完成这些后,必须重新启动操作系统。
步骤1 重启系统后,它就开始发挥作用了,在启动过程中若某个程序需要连接网络,那么便会弹出有关为该程序创建规则的对话框。在该对话框中,我们可以从对话框的标题名称或者页面上的程序名称,了解到该程序到底为何种程序。
步骤2 如果该程序值得信任,用户也对它非常了解,那么只要点选“允许这个应用程序的所有动作”选项,就可以让该程序顺利通过防火墙的验证;若是用户得知该程序具有一定的危害性,那么不妨点选“挡截这个应用程序的所有动作”选项,这种该程序就不会再与网络发生连接关系。
步骤3 若是用户对该程序不甚了解,那么不妨单击“本次允许”或“本次挡截”按钮,去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后,便可为其设置永久性的动作。当设置完成后,单击“确定”按钮即可。
二、更改防火墙运行模式
之所以会弹出上述创建规则对话框,这是因为“Outpost Firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦,那么不妨双击系统中的防火墙图标打开其主界面,依次打开主菜单“选项→运行模式”选项命令,在弹出的对话框中便可更改防火墙的运行模式。
其中单击“禁用模式”选项,便可让防火墙失去作用,当前系统便不会受到防火墙的任何防护;单击“允许大部分通讯模式”选项,那些没有被禁止的通讯都可允许出入本机系统;单击“禁止大部分通讯模式”选项,则可让所有没有被允许的通讯禁止出入本机系统;而单击“停止通讯模式”,就可以使本机与网络的连接完全断开。
三、为程序“量身定做”通讯方式
在选择防火墙的运行模式时,我们发现“允许的通讯”和“禁止的通讯”这些表述,那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢?为了便于说明,我们以禁止和允许QQ应用程序进行通讯为例。
1、禁止QQ通讯
步骤1 在开启的主界面中,依次打开“选项→应用程序”选项命令,在出现的对话框中选中“禁止的应用程序”选项。
步骤2 单击“添加”按钮,在打开的窗口中选择QQ主程序,即可将QQ程序添加到“禁止的应用程序”中,然后单击“确定”按钮。此时若再次登录QQ,便会发现QQ已经无法登录了。
2、允许QQ通讯
步骤1 若打算让QQ登录成功“复活”,那么可在“禁止的应用程序”区域中选中QQ程序,而后单击“删除”按钮,就可以将QQ程序从“禁止的应用程序”移除。
步骤2 选中“部分允许的应用程序”选项,单击“添加”按钮,选择QQ主程序进行添加,在添加时会弹出一个规则对话框,只要单击“确定”按钮,便可将QQ程序添入其中。
当再次运行QQ程序时,便会弹出一个“为QQ.EXE创建规则”对话框。如果你只打算暂时运行QQ,那么可单击“本次允许”按钮,这样便可临时让QQ登录。当QQ成功登录后,我们会发现QQ的程序名称仍保留在“部分允许的应用程序”区域中。
如果在创建规则时,直接点选“允许这个应用程序的所有动作”选项,单击“确定”按钮,那么在“部分允许的应用程序”中就不会再发现QQ的主程序名称,此时它会被移至“信任的应用程序”区域中。
而用户若是需要一直应用某个程序去进行通讯,那么不妨选择“信任的应用程序”选项,单击“添加”按钮直接将该程序加入其中,这样便不会再弹出要求为该程序创建规则的对话框了。
以上是“Outpost Firewall”的基本应用方法,当学会这些方法后,新手朋友们就可以借助它为自己的电脑构筑一道防火墙了。
四、关闭危险的端口
如今网络上各种病毒层出不穷,特别是一些蠕虫病毒,当这些蠕虫成功入侵后,便会打开某些端口,继续侵入网络内其他主机,并对本机系统造成种种危害。而我们的应对之法便是将那些端口关闭,就可以杜绝病毒的入侵。在此以关闭“冲击波”病毒攻击的常用端口“135”为例。
步骤1 依次打开主界面“选项→系统”选项命令,在打开的页面中会看到“系统和应用程序全局规则”区域。
步骤2 在该区域中单击“设置”按钮,在跳出的“系统和应用程序全局规则”的对话框中单击“添加”按钮,此时又会出现“规则”对话框。
步骤3 在该对话框的“选择规则要处理的事件”区域中,分别勾选“当指定的协议是”和“当指定的方向是”前的复选框,此时会在“规则描述”区域中出现相应的规则。
步骤4 单击“当协议是”后的“未定义”链接,由于我们打算关闭的135端口,所以可以在弹出的“选择协议”对话框中点选“TCP”;
单击“并且当方向是”后的“未定义”链接,由于病毒是从外入侵本机,所以可以“方向”对话框中点选“入站:从远程主机到你的计算机”,单击“确定”按钮完成设置。
步骤5 此时再次返回“规则”对话框,勾选“当指定的本地端口是”前的复选框,单击“规则描述”区域中“并且当本地端口是”后的“未定义”链接,此时会打开“选择本机端口”对话框。在该对话框中的输入框里输入打算关闭的端口号,比如“135”。若想添加其它端口号,只要在输入时用逗号将它们分隔开即可。
步骤6 在“选择规则要处理的事件”区域中,还可勾选“当指定的时间间隔是”选项,然后单击“规则描述”区域中“并且活动时间段是”后的“未定义”链接,在弹出的“规则有效时间”对话框中,可指定在某个时间段内才执行该项安全规则。
步骤7 在“规则”对话框的“选择规则要响应的操作”区域中,勾选“禁止”和“全状态检测”前的复选项,在“规则名称”一栏中输入自定义的名称,比如“关闭135”,最后单击“确定”按钮就可以了。
五、通透了解网络通讯情况
如果用户想获悉自己的系统中进行了哪些通讯以及打开了哪些端口,在“Outpost Firewall”中同样可以非常方便地了解到相关信息。
在主界面的左侧列表中,单击“网络活动”选项,即可在下方展出当前正在通讯的程序。在程序中单击鼠标右键,便可在出现的右键菜单中为它设定相应的通讯规则,同时在右侧窗口中,则会显现出更为详尽的网络活动信息。而选中进行通讯的程序,还可以单独列出有关该程序的进程名称、远程地址、远程端口等更为详细的网络活动信息。
单击左侧列表中的“已打开的端口”选项,就会在其下方展开当前打开的端口号及协议,在右侧窗口中则可以列出包括进程名称、本地地址、本地端口和协议等详细的信息。双击进程名称,还可以列出该进行的开始时间及持续时间。
六、强大的插件功能
在浏览网页、收发邮件时,可能会存在能对系统造成危害的某些脚本和附件,对此我们可以利用“Outpost Firewall”默认的插件去做好预防工作。
在程序主界面中,依次打开主菜单“选择→插件设置”选项,在出现的对话框中选择“Attachment Quarantine”和“Active Content”选项,然后单击“启动”按钮,就可以使过滤插件生效。这样便可有效防范某些脚本和附件的危害了。
“Outpost Firewall”所自带的插件共有六项,我们还可以对它们进行一系列设置去实现自己要求,比如为防止使用本机的用户去搜索那些不健康的网页,我们可以对搜索关键词进行过滤。
步骤1 在“Outpost Firewall”主界面中,单击左侧列表中的“插件”选项,在展开的下级菜单中选择“内容过滤”选项。在该选项上单击鼠标右键,选择右键菜单上的“属性”选项。
步骤2 在弹出的“内容属性”对话框中单击“过滤关键字”选项卡,勾选页面中的“过滤包含指定关键字的内容”,在文本框中输入打算过滤的关键字后,单击“添加”按钮,最后单击”“确定”按钮结束。
当此时再利用所禁止的关键字进行搜索时,便会出现“因为含有不受欢迎的内容,该页面禁止访问。”的提示。
除了以上所述之外,“Outpost Firewall”还有不少有用的功能,因篇幅所限,在此就不一一列举了,有兴趣的朋友不妨试用一番。
2007年3月15日星期四
Kaspersky Anti-Virus for Windows Workstations 6.0.2.678
Kaspersky Anti-Virus for Windows Workstations 6.0.2.678于今天发布.
更新日志:
1.支持Windows Vista操作系统.
2.提供对x64的Anti-Spam支持.
3.提供对图形Spam的增强识别.
4.重新设计的组件.
下载:ftp://ftp.kaspersky.com/products/release/english/businessoptimal/workstations/kavwinworkstation6.0/kav6.0.2.678_winwksen.exe
更新日志:
1.支持Windows Vista操作系统.
2.提供对x64的Anti-Spam支持.
3.提供对图形Spam的增强识别.
4.重新设计的组件.
下载:ftp://ftp.kaspersky.com/products/release/english/businessoptimal/workstations/kavwinworkstation6.0/kav6.0.2.678_winwksen.exe
卡巴斯基实验室在CeBIT 2007
欧洲最大的信息技术展览CeBIT2007,于今天在德国汉诺威举行.该展览将从今天开始,直到本月21日闭幕.卡巴斯基实验室也参加了此次展会,并将在该展会上发布自己在企业IT平台保护的新概念.
展会官方网站:http://www.cebit.com/
(以下两张图是卡巴斯基在该展会上的位置分布图)
展会官方网站:http://www.cebit.com/
(以下两张图是卡巴斯基在该展会上的位置分布图)
 |
| 卡巴斯基实验室在Ce |
当Outpost Firewall遭遇DLL木马
大家都知道,DLL木马是木马家族中隐蔽性比较高的一种。Outpost Firewall遇到这类木马会有怎样的效果呢?下面就来试试吧。
首先,在程序界面左侧栏中点击展开“插件”,右键点击“反间谍程序”,在弹出菜单中选择“启动实时防护”项。
在Outpost Firewall的保护下,任何未知程序对系统注册表进行更改都会被拦截,例如在本机上运行了一个比较少见但是功能强大的DLL木马“上兴木马”,Outpost Firewall马上就弹出了报警!在此点击“Fix All”按钮,就可以自动清除掉木马。
如果有的木马还是绕过保护,进入了系统,但是在Outpost Firewall的监视下,任何进出系统网络的程序都会被拦截到,其中当然包括木马程序。例如上面提到的木马程序,在系统启动后会自动连接网络,Outpost Firewall探测到该木马的操作后,会弹出一个对话框。在该对话框中,可以从对话框的标题名称中看到——“隐藏进程请求网络访问”,而该进程是IE进程,但系统中并没有打开任何IE浏览网页,很显然这是一个注入了IE进程中的DLL型木马在访问网络!勾选“拦截此进程的网络访问”项,点击“确定”按钮,即可禁止木马对外连接。
若是用户对该程序不甚了解,那么不妨单击“本次挡截”按钮,看看拦截后对电脑操作有没有什么影响。再去网上查找一下,了解该程序的具体属性及作用后,便可为其设置永久性的动作了。
提示:对于正常的程序访问网络,Outpost Firewall一般不会显示为“隐藏进程”。如果该程序值得信任,那么只要点选“允许这个应用程序的所有活动”选项,就可以让该程序顺利通过防火墙的验证。
首先,在程序界面左侧栏中点击展开“插件”,右键点击“反间谍程序”,在弹出菜单中选择“启动实时防护”项。
在Outpost Firewall的保护下,任何未知程序对系统注册表进行更改都会被拦截,例如在本机上运行了一个比较少见但是功能强大的DLL木马“上兴木马”,Outpost Firewall马上就弹出了报警!在此点击“Fix All”按钮,就可以自动清除掉木马。
如果有的木马还是绕过保护,进入了系统,但是在Outpost Firewall的监视下,任何进出系统网络的程序都会被拦截到,其中当然包括木马程序。例如上面提到的木马程序,在系统启动后会自动连接网络,Outpost Firewall探测到该木马的操作后,会弹出一个对话框。在该对话框中,可以从对话框的标题名称中看到——“隐藏进程请求网络访问”,而该进程是IE进程,但系统中并没有打开任何IE浏览网页,很显然这是一个注入了IE进程中的DLL型木马在访问网络!勾选“拦截此进程的网络访问”项,点击“确定”按钮,即可禁止木马对外连接。
若是用户对该程序不甚了解,那么不妨单击“本次挡截”按钮,看看拦截后对电脑操作有没有什么影响。再去网上查找一下,了解该程序的具体属性及作用后,便可为其设置永久性的动作了。
提示:对于正常的程序访问网络,Outpost Firewall一般不会显示为“隐藏进程”。如果该程序值得信任,那么只要点选“允许这个应用程序的所有活动”选项,就可以让该程序顺利通过防火墙的验证。
打磨你的Outpost Firewall
Agnitum Outpost Firewall Pro是一个受到越来越多用户喜爱和关注的优秀防火墙,占用资源相对较小,设置灵活方便,稳定强悍,可以算得上个人防火墙中的佼佼者了。东西虽好,可是很多人在使用中只是让软件的默认设置在发挥作用,而防火墙的默认设定往往更侧重于兼容性方面的考虑,想让防火墙更好的发挥作用,就需要你根据自己的网络情况作出调整和配置。正好官方论坛中有一篇相关文章,编译出来和大家一起学习交流。特此感谢原作者和Outpost论坛。文中涉及到的Outpost选项的中文名称出自Silence的2.7.485.540 1 (412)版汉化。
翻译文章下载:http://www.51files.com/?JI8M6WTLA4EDXRD5BYKO
翻译文章下载:http://www.51files.com/?JI8M6WTLA4EDXRD5BYKO
如何使用杀毒软件才算是物尽其用?
杀毒软件占用资源与系统性能总是能引起网友们极大的兴趣。我们现在经常可以见到这样两类网友:一种认为杀毒软件的实时监控会占用大量系统资源,影响系统运行,所以干脆不安装任何杀毒软件以换取系统性能;另一种则是把网络安全环境考虑得太过于严峻,于是把杀毒软件、防火墙、反木马程序、隐私保护程序等全部装上,就怕系统保护得不够严密。只是这样上网恐怕也早影响了心情。
为什么我们不能选择一款自己喜欢的杀毒软件进行合理的设置以达到最好的查杀病毒的效果呢?下面让我们来看一下,怎么使用杀毒软件才会使它物尽其用?
选择合适的杀毒软件
笔者在这里说到“合适”是针对个人爱好而言。功能强大和较少的资源占用从来都是杀毒软件的一对目前看来无法调和的矛盾,不过现在的杀毒软件都在努力改进资源占用过大的缺点,用户没有必要非要追求两者的完美结合,选择自己惯用的软件即可。
合理设置实时监控
很多杀毒软件都提供了对文件、进出邮件、网页、木马/注册表监视等功能,但是有时候并不是所有的监视都是我们所需,像进出邮件监视对于不是经常收发邮件的用户来说其实并不必要,完全可以关闭它换取更多的资源。
自定义杀毒
扫描硬盘对杀毒软件来说其实是个苦差事,因为现在的个人电脑硬盘越来越大,存放的文件也越发多,全面扫描需要半天时间。其实在很多杀毒软件提供的“自定义扫描”里,我们不仅可以将不需要扫描的硬盘勾去,连那些压缩文件也可以选择不用扫描。因为软件检查压缩包的耗时非常长。即使压缩包中有病毒,病毒也不会发作,当把病毒解压出来的时候也会被实时监控检测到,对系统安全不会构成威胁。
同样的道理,一些图像、音频文件等也可以选择不用扫描,这样一来就会省时不少。
选择合适的杀毒时机
无论怎么精简,对硬盘的扫描都是一件非常费功夫的事情,我们完全可以选择电脑空闲的时候来查杀病毒,没有必要在电脑跟前苦等。还有,基本上所有的杀毒软件为了保险起见都选择了一天一杀毒,这对于我们来说其实并没有必要,完全可以自定义成两三天或者一周一次。
只要仔细发觉,我们会看到杀毒软件里有很多个性化的选项,合理利用这些选项,不仅能得到你最需要的杀毒效果,也会节省时间,而我们所要做的,只是将它细细研究一遍,就可物尽其用,何乐而不为?
附:就拿卡巴斯基来说吧,合理的设置后,它绝对是一款非常优秀的杀毒利器;不要太相信那些道听途说,只有自己亲自试用后,才知道是否适合自己.还是那句老话:合适自己的,才是最好的!
为什么我们不能选择一款自己喜欢的杀毒软件进行合理的设置以达到最好的查杀病毒的效果呢?下面让我们来看一下,怎么使用杀毒软件才会使它物尽其用?
选择合适的杀毒软件
笔者在这里说到“合适”是针对个人爱好而言。功能强大和较少的资源占用从来都是杀毒软件的一对目前看来无法调和的矛盾,不过现在的杀毒软件都在努力改进资源占用过大的缺点,用户没有必要非要追求两者的完美结合,选择自己惯用的软件即可。
合理设置实时监控
很多杀毒软件都提供了对文件、进出邮件、网页、木马/注册表监视等功能,但是有时候并不是所有的监视都是我们所需,像进出邮件监视对于不是经常收发邮件的用户来说其实并不必要,完全可以关闭它换取更多的资源。
自定义杀毒
扫描硬盘对杀毒软件来说其实是个苦差事,因为现在的个人电脑硬盘越来越大,存放的文件也越发多,全面扫描需要半天时间。其实在很多杀毒软件提供的“自定义扫描”里,我们不仅可以将不需要扫描的硬盘勾去,连那些压缩文件也可以选择不用扫描。因为软件检查压缩包的耗时非常长。即使压缩包中有病毒,病毒也不会发作,当把病毒解压出来的时候也会被实时监控检测到,对系统安全不会构成威胁。
同样的道理,一些图像、音频文件等也可以选择不用扫描,这样一来就会省时不少。
选择合适的杀毒时机
无论怎么精简,对硬盘的扫描都是一件非常费功夫的事情,我们完全可以选择电脑空闲的时候来查杀病毒,没有必要在电脑跟前苦等。还有,基本上所有的杀毒软件为了保险起见都选择了一天一杀毒,这对于我们来说其实并没有必要,完全可以自定义成两三天或者一周一次。
只要仔细发觉,我们会看到杀毒软件里有很多个性化的选项,合理利用这些选项,不仅能得到你最需要的杀毒效果,也会节省时间,而我们所要做的,只是将它细细研究一遍,就可物尽其用,何乐而不为?
附:就拿卡巴斯基来说吧,合理的设置后,它绝对是一款非常优秀的杀毒利器;不要太相信那些道听途说,只有自己亲自试用后,才知道是否适合自己.还是那句老话:合适自己的,才是最好的!
2007年3月14日星期三
允许对svchost的加密网络通信进行扫描,造成无法手动更新XP
卡巴在“信任程序”项目中,默认的规则是对svchost.exe所有加密的网络通信不扫描,这样可以保证XP的网络服务可以正常开展。比如,如果对svchost的加密网络通信进行扫描,手动更新XP的操作就无法正常进行(显示的错误是:系统时间与证书许可不符,云云)。但是,如果侧重于系统的安全性,我们就不需要开这么大的权限给svchost。针对手动操作下载并安全XP安全更新的这一行为来说(现在微软加了正版验证,对于个人来说,一般只有用零售版和OEM才能用手动更新这一功能了),只要对两个IP信任即可(65.55.19.26,207.46.209.124)。
方法如下:
打开“设置”-“信任区域”-“信任程序”,添加两条规则针对“svchost.exe”的规则,不对主机65.55.19.26和207.46.209.124与svchost之间的加密网络通信扫描。
方法如下:
打开“设置”-“信任区域”-“信任程序”,添加两条规则针对“svchost.exe”的规则,不对主机65.55.19.26和207.46.209.124与svchost之间的加密网络通信扫描。
 |
| 加密网络通信扫描 |
卡巴斯基(AVP)内存驻留型病毒检测方法
卡巴斯基反病毒软件(Kaspersky Antivirus),以前叫AntiViral Toolkit Pro(AVP),出于习惯和简单,这里一律称为AVP或KAV。
学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法,另外DOS年代过来的朋友对于反病毒有过这样的经验:“机子感染病毒了?好,请用干净无毒的系统盘启动,然后全盘查杀”。记得CIH横行那会,帮朋友清除病毒,说病毒是国内某知名AV报的,启动该AV杀了一遍还有,而且该AV自己的监控报自己也感染了CIH,听了后就告诉他用干净的启动盘启动系统全盘查杀。虽然这是一个办法,但事实上反病毒软件为什么不直接做到可以内存检测并清除病毒呢。而这是完全可以做到的,对于内存检测/清除驻留型病毒的方法,好象最早是从AVP开始使用。
一、检测方法:
在AVP病毒库中,有几种特征记录,其中一种是内存特征,这是AVP用来检测查杀内存驻留型病毒的特征集,AVP对内存驻留的感染式病毒采用了一些单独的检测方法。AVP通过在病毒库中记录的扫描方法和地址偏移来扫描内存中驻留的感染式病毒,从地址偏移开始进行逐字节匹配,当匹配到匹配字节的时候,即:Segm:Offset + byte offset=record:Byte,然后AVP开始计算由库记录指定长度的特征码,如果恰好匹配库中的记录的话,将显示对应的病毒消息,同时根据库的修复记录所指定的修复长度、和修复字节中的内容,进行内存修复,确保修复后,使得原病毒失去活性。
此记录结构包含的字段主要有:
病毒名
搜索方法:绝对地址扫描、专用模块
地址偏移: 段+偏移
匹配字节
特征长度
特征
专用处理过程:Obj_Link
处理偏移地址
处理字节长度:一般小于10修复字节
二、搜索方法:
有上面可以看出,AVP能否保证快速处理,一个关键因素是AVP的搜索方法,事实上,AVP内置了众多的搜索办法,这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法,所不同的是哪种方法高效一些而已。
1、绝对地址:
AVP采用绝对地址的扫描办法来扫描一些病毒,扫描器从库记录中读出相应的地址记录,到内存中进行匹配,匹配上后,进行修复处理过程。
2、段扫描:
AVP从一个内存段,单字节循环递增,从开始扫描到段结束。
3、全部扫描:
AVP从内存地址0x00000000h开始,循环递增,进行全内存匹配的扫描方法。
4、专用模块:
这是针对一些特定的“狡猾”病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候,采用一个专用的处理模块来检测清除该病毒,该模块编写完成后,编译为obj格式的文件,存储在AVP的库记录中。
5、中断跟踪:
这主要是AVP For DOS的扫描方法,通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码,通过对这些指令附近的代码修改,使得病毒失去活性。
三、实例:
简单举例,比如这个病毒(网上找的一个感染COM文件的代码片段):
cmp ah,3dh
jz short @@Infect_File ;截获3d号Dos功能
@@JmpOldInt21:
cli
JmpFar db 0eah
@@Infect_File:
....
编译后应该是这个样子:
13B6:0100 80FC 3D CMP AH,3Dh
13B6:0104 74 xx JE Infect_File
13B6:0107 FA CLI
13B6:0108 xx xx XXX
对于这个病毒的检测和清除,我们生成一记录,这个病毒记录在AVP库record中,可以是这种形式,它完全可以检测和解除该病毒的活性:
搜索方法:中断跟踪
地址偏移:1000:0000
匹配字节:80FC
特征长度:6
特征:xxxxxxxx
专用处理过程:NULL
处理偏移地址:3
处理字节长度:2
修复字节:90 90
通过这样一个检测、修复库记录,AVP就可以检测和修复内存中驻留的活性病毒,然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。
学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法,另外DOS年代过来的朋友对于反病毒有过这样的经验:“机子感染病毒了?好,请用干净无毒的系统盘启动,然后全盘查杀”。记得CIH横行那会,帮朋友清除病毒,说病毒是国内某知名AV报的,启动该AV杀了一遍还有,而且该AV自己的监控报自己也感染了CIH,听了后就告诉他用干净的启动盘启动系统全盘查杀。虽然这是一个办法,但事实上反病毒软件为什么不直接做到可以内存检测并清除病毒呢。而这是完全可以做到的,对于内存检测/清除驻留型病毒的方法,好象最早是从AVP开始使用。
一、检测方法:
在AVP病毒库中,有几种特征记录,其中一种是内存特征,这是AVP用来检测查杀内存驻留型病毒的特征集,AVP对内存驻留的感染式病毒采用了一些单独的检测方法。AVP通过在病毒库中记录的扫描方法和地址偏移来扫描内存中驻留的感染式病毒,从地址偏移开始进行逐字节匹配,当匹配到匹配字节的时候,即:Segm:Offset + byte offset=record:Byte,然后AVP开始计算由库记录指定长度的特征码,如果恰好匹配库中的记录的话,将显示对应的病毒消息,同时根据库的修复记录所指定的修复长度、和修复字节中的内容,进行内存修复,确保修复后,使得原病毒失去活性。
此记录结构包含的字段主要有:
病毒名
搜索方法:绝对地址扫描、专用模块
地址偏移: 段+偏移
匹配字节
特征长度
特征
专用处理过程:Obj_Link
处理偏移地址
处理字节长度:一般小于10修复字节
二、搜索方法:
有上面可以看出,AVP能否保证快速处理,一个关键因素是AVP的搜索方法,事实上,AVP内置了众多的搜索办法,这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法,所不同的是哪种方法高效一些而已。
1、绝对地址:
AVP采用绝对地址的扫描办法来扫描一些病毒,扫描器从库记录中读出相应的地址记录,到内存中进行匹配,匹配上后,进行修复处理过程。
2、段扫描:
AVP从一个内存段,单字节循环递增,从开始扫描到段结束。
3、全部扫描:
AVP从内存地址0x00000000h开始,循环递增,进行全内存匹配的扫描方法。
4、专用模块:
这是针对一些特定的“狡猾”病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候,采用一个专用的处理模块来检测清除该病毒,该模块编写完成后,编译为obj格式的文件,存储在AVP的库记录中。
5、中断跟踪:
这主要是AVP For DOS的扫描方法,通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码,通过对这些指令附近的代码修改,使得病毒失去活性。
三、实例:
简单举例,比如这个病毒(网上找的一个感染COM文件的代码片段):
cmp ah,3dh
jz short @@Infect_File ;截获3d号Dos功能
@@JmpOldInt21:
cli
JmpFar db 0eah
@@Infect_File:
....
编译后应该是这个样子:
13B6:0100 80FC 3D CMP AH,3Dh
13B6:0104 74 xx JE Infect_File
13B6:0107 FA CLI
13B6:0108 xx xx XXX
对于这个病毒的检测和清除,我们生成一记录,这个病毒记录在AVP库record中,可以是这种形式,它完全可以检测和解除该病毒的活性:
搜索方法:中断跟踪
地址偏移:1000:0000
匹配字节:80FC
特征长度:6
特征:xxxxxxxx
专用处理过程:NULL
处理偏移地址:3
处理字节长度:2
修复字节:90 90
通过这样一个检测、修复库记录,AVP就可以检测和修复内存中驻留的活性病毒,然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。
网络防火墙封阻攻击应用技术详细解析
你已经决心下大力气搞好应用安全吗?毕竟,例如金融交易、信用卡号码、机密资料、用户档案等信息,对于企业来说太重要了。不过这些应用实在太庞大、太复杂了,最困难的就是,这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场,应用防火墙发现及封阻应用攻击所采用的八项技术如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS) 产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
请求分析
全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。
用户会话跟踪
更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session -hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。
响应模式匹配
响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS) 产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
请求分析
全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。
用户会话跟踪
更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session -hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。
响应模式匹配
响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。
订阅:
博文 (Atom)