Win7的安全性,UAC,以及裸奔
之前看到一个帖子,说裸奔问题的,有些东西可以讲讲.
首页,我从Windows 2000 beta开始(win9x就不谈了),直至今日,从来不用AntiVirus产品,一直裸奔,也从来没有中过木马,就连当初的冲击波也没中过.
你需要理解的是木马或者病毒最先如何侵入你的系统. 从今天来说有两步: 第一, 木马或病毒获得代码运行权. 第二,木马或病毒获得高权限代码运行权.
先说这第一步, 从目前的Win7版本来说,有一点很明确的是,目前版本没有发现任何手段,可以使木马或病毒越过最终用户的确认来直接运行. 其实木马无非就是那么几招:
最土的,直接骗你下载个exe,或者autorun,邮件里面藏个附件,这种很明显在运行前是会有个确认的,你只要不傻到点Yes就可以了.
第二种,利用IE等上网软件的漏洞,在网页上挂马,通过漏洞(一般是buffer overlow之类)获得代码执行. 其实在及时安装安全补丁的情况下,这种概率也是很小的, 因为从我访问n个挂马网站的情况看,99%的还是在利用几个月甚至1-2年之前的漏洞. 这种攻击,只要是打了补丁,就完全无效.
比较厉害的有极少数的0day的漏洞,就是漏洞公开后MS还没出补丁的几天(大部分情况下是先出补丁再公开漏洞的,因为大部分发现漏洞的安全组织会事先联系MS), 如果你正巧访问利用这个0day漏洞的挂马站点,确实会中. 但是, 0day的攻击很少能普遍挂到主流站点上去,一般最多是挂在某些测试站点,而普通用户一般也不会碰到这些站点,所以基本上也是无害的.
退一步说,即使这种攻击成功,其影响也是较小的,之后再说.
第三种,直接攻击用户机器上某些服务,比如冲击波,不过这类攻击现在没啥用了,因为家里用的机器,基本上都在路由器背后,而且xp之后默认都开防火墙,没啥服务会开在internet上面,也就没啥好攻击的了. 这也是当初为什么冲击波我也没中的原因. 当然如果你用p2p软件还是有一定危险的,因为一般p2p都会需要一个对外的端口, 不过现在p2p软件基本也能用普通用户权限运行,所以即使被攻破也就和IE被攻破一个性质.
综上,这木马要达到的第一步已经是非常难的了. 而这第二部更是关键, 因为木马取得普通用户的运行权限也干不成什么事情, 在UAC设成最安全的情况下,提升任何权限都会有用户警告,用户只要不傻,就完全没事.
顺便说下最近比较热闹的Win7 UAC事件, 我都是把UAC设成最高等级的,所以那种假象攻击根本无效,而且RC版本中会有个更改,即无论当前UAC等级如何,当有程序试图去更改UAC等级的时候始终会发出警告.
另外IE默认的保护模式也很有用,基本上所有可能出问题的地方都会有警告,包括activex,外部程序调用,下载运行等,自己小心使用的话就不会有事.
上面说了要真正意义上中个木马,还是很不容易的,至少我从来没中过. 下面再顺便谈谈AntiVirus. AntiVirus到底有啥用呢?
首先AV不能修补你的漏洞,最多协助你做一些安全配置,而这些配置你本来就是自己做的, 比如360的打补丁功能,关端口什么的. AV目前主要做的还是木马扫描功能. 无论如何,现今绝大部分的木马/病毒扫描技术,都是基于特征码的,或者一些模式匹配, 这种方法,从本质上来说就是不可靠的. 因为不管你的特征库更新有多及时,总是有一段时间差的,而且目前的木马,很多都有极强的morph变形能力,使得特征码完全失效.
前几周我看到一篇blog,是国外一个AV的research lab写的, 挺有意思的. 他们开发了一种用肉机直接去检测新木马的方法, 基本上是这样: 先用肉机去访问一个挂马网站,然后在外部检测该肉机是否会去额外下载任何可执行文件, 如果是的话就基本上肯定中木马了.
通过这种方式,他们测试了各大AV软件及时发现新木马的能力,结论是这样的: 1. 基本上各类AV软件在一个新的木马第一次被发现后的7天左右时间能更新新的特征库, 个人认为7天已经是很快的了. 2. 很多新的挂马网站会在木马挂出后3天左右时间更换新的木马.
这就是说: 很多时候,在AV软件更新特征库之前, 木马已经被换成新的了. 变形一个木马是非常简单的.
综上,我是非常怀疑AV软件的可靠性的,最多就是防防一些非常低级的木马了,这也就是为什么我一直不用AV的原因.
