作甚@ZUOSHEN.COM

我们在测试，体验一个软件（或者是一个有害程序？呵呵…)的时候，常常会为到底将哪里作为试验田而挣扎。而像我这样懒得不能再懒的人来说，直接安装到本机上得了，反正一般是不会有什么事儿…可惜天长日久系统就变得越来越臃肿，注册表也越来越大，然后运行速度越来越慢，再然后，不得不重装系统…

在虚拟环境中安装吧，又嫌麻烦。影子系统中体验吧，不是限制C盘就是限制全盘，而且一旦启动了还非得重启才能回归正常状态，只不过体验一个软件而已至于这么麻烦么..用虚拟机吧，貌似更是杀鸡用牛刀了…体验个区区几百K或是几M的东西，准备工作居然得做半天..还是麻烦…Sandboxie吧，这本不是干这个功能的东西…

依然是顺藤摸瓜的结果（我怎么总是这样才能发现一些软件呢…)，首先是看到COMODO的类似影子系统的磁盘保护软件DiskShield发布了，开始它的Beta之旅~但是其中有一个人的回复中提到了一个叫SVS的软件…那就搜搜吧…

Altiris出品，貌似现在已经是Symantec的旗下产品了…SVS非常厚道，个人使用完全免费。一种全新的软件使用方式，你可以在SVS新建一个”层”，然后在这个”层”中安装软件，这个软件对系统做出的所有修改，创建的文件等等全部在这个层中进行，并不对实际系统进行修改。而且，你创建的这个层还可以带到其他安装了SVS的系统中进行使用，真正Portable～呵呵…非常适合像我这样的软件尝鲜爱好者和各位拿不准某软件是不是好用又怕卸载不彻底的时候使用。

Continue Reading »

Threat Fire就是以前Novatix的CyberHawk，一个颇为智能的主动防御软件。有别于HIPS那深奥而频繁出现的弹窗，它只会出现在最需要它出现的地方。

曾几何时我还写过一篇有关于CyberHawk使用的文章，虽然已经过时，不过过几天还是转回来吧。呵呵…

CyberHawk被另一家安全软件提供商PC Tools收编了之后更名为Threat Fire，其实，我还是喜欢原来的名字…不过，好处是从原来免费与收费相结合的授权方式改为了非商业使用完全免费。对普通用户来说是个非常不错的选择。Threat Fire可以作为你正在使用的杀毒软件产品的有力补充，它的主动防御特性可以让你在应对0 day威胁时候多一份底气，而又不用太在意那些高深的HIPS们让人迷糊的提示们。呵呵。

COMODO的东西就不用说了吧，无论是COMODO Firewall Pro，还是COMODO BOClean都是非常非常不错的产品，关键是，它们都免费…

把这俩不要钱的好东西组合在一起会怎么样呢…在我这几天的使用中，CFP开启Defence+后，和Threat Fire相处很融洽。两个都有基于行为判断功能的产品放到一起不打架，真是不错啊。

Threat Fire怎么用呢？基本不用”用”，全套默认设置就能达到很好的保护效果。

开始上图，多图杀灰机（点开看大图）：

Continue Reading »

我们在访问一个网站的时候，输入网址却无法打开，想到的无非是此时此站可能有故障进不去；DNS有问题所以访问不了，或是被盾了等等…但是，有时候还有可能是我们自己的原因…比如Host文件中那并不是你添加的一行字…

不知道从什么时候开始，流行（流行可能过了点，至少出现了这么一种”技术”)，通过在Host里面将恶意网站映射到错误的IP地址（比如本地IP）来达到避免访问恶意网站的目的。啥是Host？以下转自百度百科：

host的定义

这个文件是根据TCP/IP for Windows 的标准来工作的，它的作用是包含IP地址和Host name主机名　的映射关系，是一个映射IP地址和Host name主机名　的规定，规定要求每段只能包括一个映射关系，IP地址要放在每段的最前面，空格后再写上映射的Host name主机名　。对于这段的映射说明用”#”分割后用文字说明。

host 文件的存放路径

WinXP/2003/Vista: C:\Windows\System32\Drivers\etc
WinNT/2000: C:\WINNT\System32\Drivers\etc
Win98/Me: C:\Windows

host文件的用法

1.加快域名解析
　　对于要经常访问的网站，我们可以通过在Hosts中配置域名和IP的映射关系，这样当我们输入域名计算机就能很快解析出IP，而不用请求网络上的DNS服务器。
　　2.方便局域网用户
　　在很多单位的局域网中，会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器，访问这些服务要输入难记的IP地址，对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字，然后在Hosts中建立IP映射，这样以后访问的时候我们输入这个服务器的名字就行了。
　　3.屏蔽网站
　　现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或自己计算机的IP，这样就不用访问了。比如不想访问www.12345.com，那我们在Hosts写上以下内容：
　　127.0.0.1 www.12345.com #屏蔽的网站
　　0.0.0.0 www.12345.com #屏蔽的网站
　　这样计算机解析域名就解析到本机或错误的IP，达到了屏蔽的目的。
　　4.顺利连接系统
　　对于Lotus的服务器和一些数据库服务器，在访问时如果直接输入IP地址那是不能访问的，只能输入服务器名才能访问。那么我们配置好Hosts文件，这样输入服务器名就能顺利连接了。
　　最后要指出的是，Hosts文件配置的映射是静态的，如果网络上的计算机更改了请及时更新IP地址，否则将不能访问。

这个文件可以用文本编辑器编辑，里面东西随便改…嗯…随便改…

一般这样的都冠名为”屏蔽恶意网站列表”之类的东西，由不知道什么人维护的在网上随意传播。个人认为，这是个相当”理想化”的安全方案。地球人都知道这年头注册个域名就像喘口气一样简单，每天新增的域名消失的域名停用的域名换指向的域名被劫持的域名千千万，能保证这个所谓列表及时更新么？能保证这个列表确实是仅仅屏蔽”恶意”的站点么，恶意的标准何在？也许你恰巧访问了某个所谓”恶意站点”，恰巧你本不想访问这个网站，恰巧这个网站在那个在你的Host文件里添加了无数条内容的列表里，那么，你会看到此站点无法访问的提示，你”安全了”…可这样的几率有多大？但是，与此同时你又承担了哪些风险？

Continue Reading »

COMODO BOClean Anti-Malware 4.26终于发布了～

软件下载：

http://download.comodo.com/boc/download/CBO_Setup_4.26.exe

改进和修正很不少：

General:
Changes to code for Vista SP1 and XP SP3 compatibility

Fixes and enhancements to Excluder:

• Fixed incorrect saving/disappearing of icons for excluded programs
• Fixed “always on top” problem which sometimes obscured display screen
• Quicker access to excluder upon warning of changed or missing excluded item
• Better explanation of why excluded item may have changed and instructions
• Now remembers display mode and any sorting of display in excluder
• Restart of BOClean no longer required after changes in excluder

Fixes and enhancements in manual and automatic updater:

• Fixed memory leak which caused BOClean hang after a few weeks continuous use
• WEB downloading instead of FTP to resolve firewall connectivity problems
• Removed “rollback” button with automatic re-download if download is corrupted
• Added new tray bar icon status indications (downloading/success/problem)
• Added detailed messages to manual updater notifying of problems and solutions
• Downloads automatically checked upon downloading rather than at load time

Fixes and enhancements to BOClean itself:

• Faster access to excluder and manual update checking
• Clearer, more specific alert messages and recommended actions
• Detected items must be either deleted or excluded or BOClean will re-detect
• Status icons for updater now visible on traybar when automatic updates occur
• Spread scanning to reduce CPU spiking with NAV/KAV/NOD32 antiviruses

Fixes and enhancements to BOClean installer:

• Clarified first screen to indicate need for “clean install” and instructions
• Automatically sets requirements for administrator mode and installs or complains
• Permissions for databases, reports and configuration automatically established
• Uninstall now configured to require administrator permission to remove all

这个是干嘛的呢，它是COMODO出品的另一款全免费的反间谍软件。嗯，你可以对照AVG Antispyware的用途来看，BOClean也是个清除间谍软件啦木马之类的东西的软件。

不同的是，它是在内存驻留，实时监控的那种，没有扫描功能，所以如果你是全盘扫描爱好者的话，BOClean可能不适合你。但是如果作为杀软实时监控的补充的另一个监控，它很不错。

BOClean也是个老牌的反间谍软件，被COMODO收编后成为了免费软件（COMODO真好啊，呵呵…)

今天逛论坛发现，最新的4.26版即将发布，参考链接。

截止到现在我是没找到发布的消息，大家也留意下吧，如果想第一时间尝鲜的话，呵呵…

PS：本来想当一个最新消息发布来着，问题是…此时此刻（4月16日22：23左右=。=）zuoshen.com所在的服务器似乎又挂掉了…所以…你看到这篇日志的时候，没准已经发布了：）

我感觉是最简单保护你的电脑安全的小程序了吧，呵呵…建议人手一个。它的用途在于，你可以将某些你认为危险的操作放到Sandboxie中完成（比如运行可疑文件，或者对你的浏览器没信心还想四处溜达的）。。。

原理呢…Sandboxie相当于一个中转站，以往程序直接从硬盘中存取信息改为先由Sandboxie从硬盘中调取信息，然后再由在Sandboxie中的程序读取它，写操作呢写到Sandboxie中，而非直接写到硬盘里…从而避免了（理论上…貌似曾经有个穿透Sandboxie的东西，记不清了）你的电脑轻易中标。

2008年3月5日 更新Sandboxie 3.24

下载： http://www.sandboxie.com/SandboxieInstall.exe

使用方面没限制，但是未注册版本会在30天后不定期的提示你注册…所以，如果你对这个提示很敏感的话，可以搜索下XX。

芬兰的杀软厂商F-Secure推出了一个在线检查你的电脑安全的服务。主要检查以下方面：

• 检测你的电脑上是否已经安装反病毒，反间谍和防火墙程序
• 检测你安装的应用程序中是否有已知漏洞
• 检测你是否有厂商已经停止提供技术支持的程序（比如过于古老的程序什么的，我肯定有，哈哈）
• 帮助你修复发现的漏洞

系统要求：

• Windows XP, Windows Vista 32-bit
• CPU: Intel Pentium III 600 Mhz (最低)
• 内存: 256 MB of RAM (最低)
• Internet Explorer 6 或更新版本, ActiveX和Javascript启用

点击这里进入体检页面，勾选那个接受条款的勾之后点击Check Now开始检测。

我是喜欢F-Secure这颜色…嗯…

其实也不能算是小技巧，Windows的任务管理器里本来就有相关的功能。只不过默认它们是不选中的，需要我们选择下。在很早前的一篇文章里其实也提到过，这次再单独说一次吧。

首先Ctrl+Alt+Del把任务管理器叫出来，Alt+V（或者直接点上面的”查看”），选择下拉菜单中的”选择列”。

然后在出现的框框中，将这么几项对我们对比比较软件（特别是安全软件）时经常关注的指标勾住（如图）：

内存高峰值，虚拟内存，PID（进程标识符）。

内存高峰值可以给我们一个关于这个软件小宇宙爆发时到底占用多少内存，平时特别温顺的某软也没准在某个时刻突然爆发；虚拟内存则可以让我们看出这个软件是否真的是”内存占用超小”，还是简单的将东西挪到了你看不到的地方；PID则是代表了各进程的身份标识，只要运行一程序，系统会自动分配一个标识，它是暂时唯一的，进程中止后，这个号码就会被回，并可能被分配给另一个新进程。

尽管Windows的这个任务管理器上的数值并不一定是非常准确的，但却确实可以给我们提供参考。现在的有些无良软件，包括杀毒软件等等，并不是认真在提升产品品质和优化性能上作出改进，而是想法设法的优化你能看到的东西…一个非常明显的例子就是某个杀毒软件，看占用物理内存，那是相当小啊，不过几兆大小，但是如果你查看它占用的虚拟内存的话，则是非常大的。这么做有什么好处么？当然有了，让你看着爽。至于性能那不在考虑之内…毕竟用户也确实是喜欢视觉上看着舒服的…像F-Secure这样优秀的产品，很多用户却因为”进程数量太多”而对它敬而远之…呵呵…所以从销售的角度来说，也许学点消费者心理要比踏实做技术来的快的多。

最近把能找到的在线Sandbox都介绍下。今天的是奥地利产品Anubis…由维也纳科技大学的安全系统实验室研发。

Anubis是古埃及的冥界与亡者之神…守护亡者是它的职责…我是在这找到的…

今儿介绍的这个服务目的则是守护你的电脑吧…同之前介绍的CWSandbox和Joebox类似，也是上传Windows可执行文件，然后自动生成该程序活动行为的报告。今儿早晨服务离线，暂时没法发个报告给大家看看～感兴趣的可以自己尝试。

Anubis与其他Sandbox相比的特点是什么呢？从图中看有Unobtrusive Analysis和Complete View of the PC System~

Unobtrusive Analysis从字面上看还真不好理解…其实就是说现在的有害程序具有探测它的运行环境是虚拟环境还是真实的PC环境的能力…如果它检测它身处”幻术”之中，它的行为会和真实PC环境中的有所不同，这样就影响了分析的准确性。而Anubis能够不让有害程序（轻易地）探测到分析环境从而让有害程序可以没有负担地有如在真实电脑环境中一样尽情展现自我=。=

Complete View of the PC System，按文中的意思就是这是衡量这项分析扩展度的东西。比如除了监控API Call之外，还能够监视CPU注册值或是追踪内存访问？结论是现在图中3个东西都做不到这样（不知道为什么打了勾了=。=）…但是下一代的有害程序分析工具肯定能够做到更多。尽管现在没有程序能够测试这项特性，但是”我们”通过现在各个分析工具公开的文档，可以找到这项特性的存在…就是说有没有潜力监控更多的东西吧～呵呵…

Anubis比Joebox在生成报告上多了个选择，就是可以选择直接显示报告而不是在邮箱里等着收～呵呵。不过Anubis支持的最大文件大小为2MB，比Joebox小了不少。同时如果是人工上传样本，输入下面那验证码的话，Anubis会在自动上传的样本前优先处理人工上传的。

通过这些工具，我们可以在保证安全的前提下，无需自己安装虚拟机等虚拟环境，安全地观察有害程序行为，这对大家提高应对有害程序的能力也很有好处哦～从使用HIPS的角度来看，我们也可以针对具体某个流行的病毒进行规则的修改与增减，提高系统的安全性。

上个月介绍了一个Sunbelt出品的CWSandbox，一直想找点类似的东西～毕竟就这一个能用的未免有点寒碜…

同CWSandbox类似，Joebox也是一个在线的Sandbox，顾名思义就是你上传文件它测试并生成程序行为报告的东西。用途？这玩意用途多了去了吧，最常用的就是看某个东西像病毒但是杀毒软件们都装看不见的时候…给它们上报的话有时候有些行为也并不认为是病毒…这个时候，靠自己吧。就算是我们没能力把已经受感染的电脑拯救出来，至少也能防止再吃亏～呵呵。

Joebox是个私人项目，从这点上我是非常喜欢～个人项目总会有一些独一无二的设计啊灵感啊什么的，灵活性高而且更新频繁～呵呵。从Joebox项目的新闻中可以看到，还是非常活跃的。

Joebox有什么特点呢：

• 模块化的设计与结构
• 基于XML的分析报告
• 100%完全网络通讯报告（嗯，这个好像其他服务不一定具备吧～）
• 无需其他仿真或虚拟软件
• 批量分析
• 可以分析exe,dll甚至sys文件
• 可扩展
• 高度可定制

Continue Reading »