January 2007

奇虎360安全卫士首度公开追杀My123、CNNIC技术秘诀

奇虎360安全卫士首度公开追杀My123、CNNIC技术秘诀

恶意软件与反恶意软件阵营的斗争再度升级,日前,CNNIC起诉奇虎公司360安全卫士将其“CNNIC中文上网”列为恶意软件,而奇虎也反诉CNNIC侵犯奇虎名誉权,两者的“口水战”愈演愈烈。   此前,CNNIC指责“360safe与恶意软件my123有染”,主要质疑点是恶意软件my123采用众多高超技术,而360安全卫士在几个小时内就迅速攻克了my123这个技术高强的恶意软件,响应之快连瑞星、江民等专业杀毒厂商都望尘莫及。   针对CNNIC的质疑,奇虎首度对外公开追杀my123技术秘诀。  “驱动级”恶意软件现身   恶意软件的技术五花八门,且“与时俱进”,不停地与反恶意软件玩着猫捉老鼠的游戏。奇虎360安全卫士中心表示,目前最难对付的是就是采用“驱动技术”的恶意软件,“包括my123、7939.com、CNNIC等恶意软件都采用了类似技术。”   MY123插件采用了一种名为“system Bus Extend”驱动技术,这种驱动技术优先级很高,连安全模式也会加载,加载成功之后,将生成三个线程附加到system系统核心进程上,获取最高权限。更为骇人听闻的是,即便用户删除了所有文件,my123插件仍然可以通过内存恢复。   目前比较顽固和狠毒的恶意软件普遍使用“内核级Hook技术”,可Hook住所有公开的或者未公开的内核函数,保护注册表,隐藏、监控或者重启进程,可以有效的保护文件不被查杀。   而新版的CNNIC中文上网就采用了名为“Fsd Inline Hook”的非公开技术,这种技术具有两大特征:首先,它的隐蔽性非常高,非专业人士很难发现它的存在;其次,它的稳定性差、危险性高。如果用户安装了采用该技术的恶意软件,系统稍有变化可能就导致不兼容,使程序无法运行甚至直接导致系统蓝屏、崩溃。   360安全中心专家表示,“Fsd Inline Hook”一个非常危险的技术,目前为止,尚无一款商业软件使用这种技术,却广泛被病毒、木马程序使用。恶意软件使用这种技术的主要目的就是达到让用户无法卸载,长期驻留在用户电脑的目的。   在360安全卫士论坛中,很多安装了“CNNIC中文上网”的用户投诉,电脑经常死机、蓝屏、反复重启,在试图卸载时,CNNIC要求你输入复杂的“验证码”,但当你照实输入后,也无法卸载,或者干脆让你蓝屏。   采用驱动技术的恶意软件,就好比是街头小混混变成了身穿防弹服,手持冲锋枪的江洋大盗,仗着自己武器好,公然袭警,如果不出动飞虎队等特种部队,警察可能会遭遇全军覆没的境地。    “破冰”技术追杀my123、CNNIC   奇虎360安全中心对网友提交的大量恶意软件样本进行分析,并进行大量的试验后,最终找到了一种解决办法,并将其命名为“破冰(Kill Defence)”技术。   恶意软件采用各种Hook技术保护自己的文件,过滤或者拦截其他文件的操作,并在关机时自动进行注册以保证恢复。奇虎360安全卫士“破冰(Kill Defence)”技术能将恶意软件的这些操作全部撤销,让系统变得很干净,再去删除这些恶意软件的残留文件。就好比是,飞虎队把江洋大盗的枪支给缴械了,这样就可以手到擒来了。此技术目前可以有效的对付采用驱动保护的恶意软件。目前,奇虎公司推出的“彩信通专杀工具”、“CNNIC中文上网专杀工具”均采用了 “破冰(Kill Defence)”技术。     “破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因。而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护。   安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”。“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因。

难得一见的DOS攻击

难得一见的DOS攻击

今天登陆防火墙,瞄了下防火墙日志.发现一行稀有记录. 2007/01/16, 13:37:45.719, GMT +0800, 2103, Apparent SYN flood on port 80 (threshold is 150 packets per second). Using SYN cookies until it stops. 大致意思就是1秒钟有超过150个SYN的TCP标志数据包被收到.啊..就是所谓的SYN洪水攻击类. 后一句的意思是,启用SYN cookies直到SYN攻击停止. SYN Cookies是最简单的SYN攻击减小方式类. 不知道数据包更多的时候该防火墙会启用啥方式.看来这次SYN攻击是流量非常小的. 打开数据包记录,有源地址,虽然可以被伪造,但是这些数据包中N多地址都是220.191.126.31. Whois查询下,是杭州电信的IP段. http://220.191.126.31  还可以访问. 之后一段时间就没记录了.有趣啊有趣.

最近搞来的一些东西

最近弄到的一些东西,有红外遥控手表,CASIO的,能录制红外信号到手表中,然后有用的时候再发射出去。 无线鼠标,MX1000,手感不错。价格贵了点。 蓝牙,EDR,2.0。 无线键盘,蓝牙适配的。可以射出一个键盘,然后只要手在上面打字就能识别,黑夜中看起来非常爽。价格也非常贵,可以买40多个普通键盘了。

洋葱头鼠标指针

安装步骤: 1。鼠标右键单击setup.inf文件,选择安装。 2。进入控制面板,选择 鼠标。 3。指针 选项卡 中的 方案。 4。选择YangCong。 解压密码:www.nov30th.com 本地下载

超级兔子快乐影音

超级兔子快乐影音是一个以MPC为基础的影音播放器,她集成了大多数影片的解码器,可以播放VCD、DVD、MPG、MP3、MP4、VOB、RM、MOV等等大多数影片和音乐,支持98/Me/2000/XP,具有非常好的兼容性,这一切都是完全免费的。 秉承着超级兔子制作更好软件的理论,超级兔子还为快乐影音播放器提供了一个全新的桌面播放功能,可以让你的电影(限MPEG编码)在桌面图标下面播放,非常过瘾,现在就立即来体验吧。 超级兔子保证官方安装版不带任何陷阱,让你放心安装,快乐播放! ————————————————– 2006-12-4 2.80 新版本改进: 1 新增RealPlayer 10.6 解码核心 2 新增QuickTime 7.1.3 解码核心 3 新增FFDShow MPEG-4 Codec rev2543 20060816 4 新增Haali Matroska Splitter 29/10/2006 5 新增Kopei’s XviD Codec XviD-1.1.2-01112006 6 新增PmpSplitter 1.0.0.8 7 新增DivX Web Player 1.2 8 新增nVidia Codecs 4020.223.0.0 Codecs 9 新增其它视频文件关联 10 修正资源管理器无法删除影片 11 修正设置中心在Win98下的问题...

WinAmp 5

  Winamp于一年前开发团队已经解散,现在的523版本修复了以前的几个BUG。 至今还是一个很优秀的MP3播放器。这个版本附带自动下载歌词。请用讯雷右键点击网址下载。 http://www.winampcn.com/download/winamp532_Plus_zmb.exe