http://zuoshen.com 有关于电脑安全的资讯，心得，以及自己最近看到的想到的听到的插播部分... Sat, 28 Jun 2008 10:29:48 +0000 http://backend.userland.com/rss092 en 我曾经是因为防垃圾评论插件经常误杀正常评论而烦恼...不过现在貌似更麻烦了...因为，每次审核时候来了很多真正的垃圾评论...嗯...大家看我的Defensio的计数器就能看到...每日都得好几条啊...以今天为例.... 最近一段时间忙考试的事儿所以更新有些慢了，希望大家见谅。预计下周之后就好了：） http://zuoshen.com/2008/06/28/183/ 这次测试就是2月份测试的后半部分。依然采用二月份的特征库，但是，和以往的主动侦测测试不同的是，这次使用的是2008年2月5日到2月12日之间收集的样本，而不是更广的时间段。下次的主动侦测测试会采取一长一短两个期限收集的样本进行测试，来保证测试尽量接近真实使用情况和减少倾向性... 其实AV-Comparatives的测试在WildersSecurity上也经常受到质疑，比如它的多态测试用病毒很久没换过，还有关于测试收费与厂商的关系之类的问题...不管怎么说，作为用户的我们需要的是更多的信息，更多更多的信息，来让我们在每个都广告的相当美丽的产品中找出适合我们的。 有关主动防御启发扫描的话题，其实都是真实威胁与误报的战斗... 贴上最后的各厂商的成绩，其中可以看到，Avira和NOD32两个主动侦测强者再次获得头名。厂商名带星号的意味着他们的产品因误报较多而收到评级惩罚。毕竟，如果误报过多，再高的主动侦测率也是空谈... 本次测试也有中文版，当然，按官方的话说，中文版由第三方翻译，AV-C不对其中的翻译错误负责，呵呵.. 本次测试的中文版报告PDF点此下载。强烈建议完整阅读此报告，因为很多细节内容包含在内，各个产品的细节其实并不是只是评级那么简单的。 英文版在线报告和PDF请到AV-Comparatives.org下载查看。 http://zuoshen.com/2008/06/23/182/ 在北京时间2008年6月19日2：16分前下载FireFox3吧^^ http://www.spreadfirefox.com/zh-CN/worldrecord 来这里查看现在全球的下载情况，再来这里给自己领一份证书～ http://zuoshen.com/2008/06/18/181/ 我们在测试，体验一个软件（或者是一个有害程序？呵呵...)的时候，常常会为到底将哪里作为试验田而挣扎。而像我这样懒得不能再懒的人来说，直接安装到本机上得了，反正一般是不会有什么事儿...可惜天长日久系统就变得越来越臃肿，注册表也越来越大，然后运行速度越来越慢，再然后，不得不重装系统... 在虚拟环境中安装吧，又嫌麻烦。影子系统中体验吧，不是限制C盘就是限制全盘，而且一旦启动了还非得重启才能回归正常状态，只不过体验一个软件而已至于这么麻烦么..用虚拟机吧，貌似更是杀鸡用牛刀了...体验个区区几百K或是几M的东西，准备工作居然得做半天..还是麻烦...Sandboxie吧，这本不是干这个功能的东西... 依然是顺藤摸瓜的结果（我怎么总是这样才能发现一些软件呢...)，首先是看到COMODO的类似影子系统的磁盘保护软件DiskShield发布了，开始它的Beta之旅~但是其中有一个人的回复中提到了一个叫SVS的软件...那就搜搜吧... Altiris出品，貌似现在已经是Symantec的旗下产品了...SVS非常厚道，个人使用完全免费。一种全新的软件使用方式，你可以在SVS新建一个"层"，然后在这个"层"中安装软件，这个软件对系统做出的所有修改，创建的文件等等全部在这个层中进行，并不对实际系统进行修改。而且，你创建的这个层还可以带到其他安装了SVS的系统中进行使用，真正Portable～呵呵...非常适合像我这样的软件尝鲜爱好者和各位拿不准某软件是不是好用又怕卸载不彻底的时候使用。 当你安装好SVS后，你可以来这里体验下已经预先虚拟化的软件们～很方便.. 先下载好SVS，解压后安装，看起来它会自动识别操作系统语言，所以安装完毕后是中文版（界面极简，其实中文不中文都没关系）。 安装到上面这步的时候，点击窗口下方的Get it free!会引导你到这个页面，Email地址是可选输入，点击协议下方的Accept会下载一个名为Altiris_SVS_Personal_License.zip的压缩包，包内文本文件上有产品Key，填进去即可。然后一路Next...哦对了，我在安装过程中还遇到一个问题，就是第一次运行安装文件时有系统文件正在使用什么的（记不清了- -|||），重启一下再安装就正常了。 主界面，极简...基本上，没什么看头...点击"文件"-"创建新层"，选择你要执行的操作... 就我们的日常操作来说，第一项肯定是首选。只要有想尝鲜的软件，那就用它吧。下一步... 给这个层起个名字，为了方便管理，建议使用你安装的那个软件的名字。下一步... 测试单一程序的话，就选择第一项即可。全局捕获容易把不必要的其他系统动作也给捕进去了～呵呵...选择你要安装的那个程序的安装文件，然后下一步... 之后你的系统托盘里会有一个字母V的图标在旋转，与此同时安装程序启动，你就按平时你安装软件时候的操作安装即可。安装过程结束，捕获也随之结束。这个程序就待在一个"层"中了。 这个东西的好处在于，当你激活SVS的某个层之后，你安装的那个软件就好像真的安装到你的系统中一样，在开始菜单中也有条目，并且也能正常启动使用。但是当你取消激活这个层后，这个软件就消失得无影无踪了...呵呵。非常绿色环保啊。你还可以将这个层拿到其他安装了SVS的机器上用。很方便。 很多人（包括我）还比较关注类似这样的虚拟化软件在面对有些需要重启后才能正常运作的软件时会怎样...我只拿COMODO BOClean测试了一下，安装完毕后，取消激活层，然后再激活层，BOClean自动启动完全正常...其他的大家自己用用看吧。 我是非常喜欢这个小软件，以后无论测试什么软件都可以在SVS中安装使用，可以非常彻底的卸载掉...也不用再启动那些臃肿的虚拟机或是影子系统们了... 大家在使用SVS上有什么经验心得也欢迎交流啊...因为我也刚用没两天:) http://zuoshen.com/2008/06/11/180/ 前几天用老办法给830打蓝牙补丁上网，没想到每次在蓝牙配对之后选择要使用的服务后830就假死了，软启硬启各种启问题依旧...实在是不知道是哪儿的问题... 最后实在没办法，想到了终极解决方案，将830的ROM升级到Windows Mobile6，彻底来个全新面貌... 早就听说刷机有风险而我又是个胆小的人，一直没敢尝试。这回蓝牙共享问题解决不了，干脆，试试看吧。 幸亏早有高人写好了详尽的刷机教程，真正无风险...至少，我这第一次刷机的人都很顺利的升级了...现在Flo功能也有了，WM6这样的面子工程也装备了，最关键的，蓝牙共享上网的问题也彻底解决了。至今没再出过什么什么问题。无需任何补丁，直接配对后从手机端用ActiveSync蓝牙连接即可... 你得先准备好你的830数据线，并且连接好... 首先，根据此帖的指导，分辨下你的830究竟是G3还是G4（我的是G4），然后下载对应你的手机版本的刷机程序（此为刷为WM6的前置步骤，可别跳过去了。） 一路该打勾打勾该Update就Update，你的手机会一会儿白一会儿三色，无视之...这步完毕后手机会自动重启，你会看到一开始的开机画左上的版本号有变... 然后，再根据这个帖子的指导，将你的手机刷成WM6即可。没什么你应该做的事儿，看好版本，下载好附件并解压，然后执行批处理即可...当然，千万千万严格按帖子的指示来啊... 之后，你就胜利了...我们的830也变得有一颗年轻的心了。试用几天以来，感觉很不错。这个ROM中还集成了一些有用的小软件小工具什么的，省的自己装了...我最常用的Mdict也不用装了，原来放在存储卡上的绿色版还能用，呵呵...好像是比我原来的WM5要省电些...呵呵。 输入法需要自己装，这个ROM里面只有默认的英文输入法...现在输入法很多，这几天我正在权衡到底是用A4输入法呢还是用Touchpal呢...两者都很智能且可以脱离手写笔直接拿手按，呵呵...Touchpal的特点是，可以像Flo功能一样，选字和换布局都采用滑动菜单方式...另外保险起见我还把WM5的手写输入法也装上了..这个在上面的帖子里面有... 在这里也得谢谢那位把刷机教程写的如此详尽的朋友啊...一次成功～呵呵... http://zuoshen.com/2008/06/10/179/ 一般来说我用软件总是遇到这个情况，我只要用某个版本的某软，必定会在几天之内出现新版- -|||以前追卡巴斯基的测试版的时候经常这样。今天刚决定用某某Beta，几小时后就会有更新的版本放出... 还好，这次FireFox RC1我还是用了几天的... 点击进入下载页面 顺便看看release note和known issues。 http://zuoshen.com/2008/06/05/178/ 之前介绍过好几款在线的Sandbox，比如CWSandbox，Anubis和Joebox。今天介绍的ThreatExpert就是由出品ThreatFire的厂商PC Tools开发的威胁自动分析系统。 同样，在你遇到拿不准一个是否有害的文件时，可以上传到ThreatExpert上面，几分钟过后就会有非常详尽的分析报告了。 从现在ThreatExpert上面的有害程序分布地图上来看，中国列第一，其次是俄罗斯和美国... 检测有多种途径，你可以使用ThreatExpert Submission Applet这个桌面小程序上传，也可以直接从这个页面上传（最大5M）。需要注意的是，还有一个'Scan Your File Online'页面，它的位置是Tools那里...它是像一般的在线病毒扫描一样扫描是否有已知威胁存在，而并不会生成报告。如果想要报告，还是要去第一个链接那里...(我刚才就找错了=。=） 随便上传了一个前几天在电脑里挖出来的批处理程序...等了几分钟在邮箱里收到结果，ThreatExpert还挺体贴，把报告打包且加密了，解压密码threatexpert,同时还有一份在线报告...我这份报告实在是没什么看头，给大家链接个详细的吧： http://www.threatexpert.com/report.aspx?uid=e35acc67-6ccf-42ad-b001-71be5f09d006 上面这个链接是非常常见的QQpass病毒的分析报告，很详尽，从各个杀软对此威胁的检测名称，威胁类别（木马，键盘击键），文件系统修改行为，内存修改注册表修改，最后，分析此威胁的来源国家.... ThreatExpert的这个报告不光可以用来作为一份判断文件是否有害的工具，同时，它还可以作为你手工清除病毒的向导。同时，如果你在使用ThreatFire作为你的防护工具的话，看着ThreatExpert忙碌的样子估计也挺有安全感的，呵呵。 http://zuoshen.com/2008/06/04/177/ 其实，我用的扩展们仍然是FireFox2时用的那些，能用的尽量用，不能用的找替代品...习惯真可怕... Tab Mix Plus没有给RC1用的版本，暂时用Tab Control替代下. 不过相较于TMP，Tab Control有点过于简单了=。= 同AndyWxy说的一样，我也正在在犹豫要不要尝试下FireFox3的时候看到Easy DragToGo，既然有替代品那就试试再说。用Super DragandGo多年，怎么就不更新了呢，唉...Easy DragToGo我都设置成了最简单的单一拖拽方式不区分方向...这也是我用不惯很多鼠标手势的原因，我懒得记那么多右键拖拽的方向，什么上上下下左左右右BABA，左键拖拽链接后台打开，拖拽文字后台Google搜搜，拖拽图片保存指定目录即可...嗯，用了两天，感觉不错。 OldBar这个扩展就囧了...我装了FireFox3后第一感觉就是这地址栏怎么就这么丑...虽说没有最丑只有更丑，这双行显示外加自作主张匹配书签内容真是丑到极限，极其不适应。还好，和我一样感觉的人还是有的...于是，装上此插件，至少单行了...不过匹配书签这个去哪儿能禁用下.... 其余的，谢天谢地，都能支持到FireFox 3... PS：今天看到中国地区的承诺下载数终于突破一万了，还不错... http://zuoshen.com/2008/06/03/176/ 今天其实是很挣扎的换到FireFox 3 RC1，因为我喜欢的Super DragandGo扩展还是没有什么要更新的意思...关于在FF3中使用的扩展，另写一篇文章介绍吧。不过和我一样怀旧的人估计不多.. 别的不说，你们喜欢FireFox3现在那臃肿的所谓"智能"地址栏吗？我是非常不喜欢，弄得乱七八糟。根本没必要把书签里的内容帮我匹配了...而且一个地址两行..真是...为了让它看起来正常点，还又得装个扩展... 现在FireFox的推广方式也变了啊，现在的我感觉不错，至少我也会参与下。原来的那到处铺天盖地的"百毒不侵浏览器"广告恶心走了很多的人... 来一起创造一项新的吉尼斯世界纪录吧，在FireFox 3的下载日下载FireFox，创造24小时内下载次数最多软件的世界纪录～ 当然现在FireFox确切的发布时间尚未确定，所以，你要做的是承诺发布那天来下载FireFox，填上你的Email地址和所在地区就行了。 我觉得FireFox的用户群不少啊，为什么现在看起来，这承诺下载的人数这么少... 最后，帮助推广和宣传FireFox3下载日，还有很多的图标啊条幅可以用，你可以把它们挂到你的论坛签名啊什么的各种地方去。点击这里查看。 http://zuoshen.com/2008/06/02/175/ Threat Fire就是以前Novatix的CyberHawk，一个颇为智能的主动防御软件。有别于HIPS那深奥而频繁出现的弹窗，它只会出现在最需要它出现的地方。 曾几何时我还写过一篇有关于CyberHawk使用的文章，虽然已经过时，不过过几天还是转回来吧。呵呵... CyberHawk被另一家安全软件提供商PC Tools收编了之后更名为Threat Fire，其实，我还是喜欢原来的名字...不过，好处是从原来免费与收费相结合的授权方式改为了非商业使用完全免费。对普通用户来说是个非常不错的选择。Threat Fire可以作为你正在使用的杀毒软件产品的有力补充，它的主动防御特性可以让你在应对0 day威胁时候多一份底气，而又不用太在意那些高深的HIPS们让人迷糊的提示们。呵呵。 COMODO的东西就不用说了吧，无论是COMODO Firewall Pro，还是COMODO BOClean都是非常非常不错的产品，关键是，它们都免费... 把这俩不要钱的好东西组合在一起会怎么样呢...在我这几天的使用中，CFP开启Defence+后，和Threat Fire相处很融洽。两个都有基于行为判断功能的产品放到一起不打架，真是不错啊。 Threat Fire怎么用呢？基本不用"用"，全套默认设置就能达到很好的保护效果。 开始上图，多图杀灰机（点开看大图）： 首先是主界面，安全状态。右侧是主要的内容区域。ON是开OFF是关- -|||下面是全世界用Threat Fire的用户们的电脑上都检出了哪些东西，排名，地理位置分布等等...点击地图右下角的'Learn more about this threat'，会打开ThreatExpert网站，可以查看某个威胁的具体情况，很详细，同时关于那个网站，下次再介绍～呵呵。 然后是扫描，这是PC Tools收编Novatix后的新加的功能。采用PC Tools Antivirus的技术，对于扫描爱好者来说是个不错的功能。我是很少做全盘扫描... Threat Control Center威胁控制中心，这里你可以看到曾经你放行的阻止的隔离的行为，最后的Protection Log，则是Threat Fire做出的各种动作的记录，很详细。 Advanced Tools高级工具这里分为两部分，一边是Advanced Rule Settings高级规则设置，一边是System Activity Monitor系统行为监视。我记得很久前，CyberHawk还不能自定义规则呢，是个很不错的改进。System Activity Monitor是个高级的任务管理器，在其中按类型将现在正在活动的进程进行分类，并显示非常详细的相关信息。如果你怀疑有有害程序活动，可以先来这里看看，右键点击进程名，Kill之...如果不知道某个进程是干嘛的，还是右键点它然后选择'Get infomation on 进程名',就会自动将这个进程名放到Google上搜索了～呵呵。 点击Advanced Rule Settings，首先就是醒目文字，自定义的规则要在你自己的电脑水平很牛X或误以为很牛X的情况下再设置（事实上绝大多数用户都没必要设置这里），要注意啊要注意。Custom Rules我并没有添加新的，但是把Threat Fire内置的两项选中了，一个是双扩展名文件的创建（比如，明明是个.exe，但是它取名为123.txt.exe，而在Windows的默认设置中是不显示完全的扩展名的），这是很常见的恶意软件的小伎俩，用户有时一看不是可执行文件就点上去了=。=。另一个是电子邮件或浏览器创建的SCR文件（屏幕保护文件），同样，也是非常常见的有害程序行为。 旁边的Process Lists选项卡，上半部分可以设置信任（也就是普通杀软中我们有时要设置的"排除"之类...)，下面是定义刚才那个选项卡中的"电子邮件与浏览器"究竟是哪些...设置信任要慎用，信任后Threat Fire会无视信任了的进程，比如有些软件的动作会频繁触发警报或是和Threat Fire有些冲突的时候。我暂时是没遇到...所以，只有在你绝对信任某个进程的时候再将它添加到信任中。 最后，设置...General选项卡中的设置一般就不用动了，从上至下依次是TF的保护开关（也许有时你需要暂时关闭它），保护等级，缺省动作，更新检查，社区保护，语言...所有的设置个人建议都不要更改了。其中，保护等级3是正好...稍微一调高弹出提示就明显增加...并且全是没必要的=。=默认动作都是提示，所以也不要改了。社区防护，就是大家共同保护大家...你帮助识别的新威胁会上传到ThreatFire那里然后再受益于大家，反过来也一样，你也会从其他用户那里受益。这样可以更快更好的识别新威胁。Quarantine选项卡中可以设置系统还原点，这对我这个系统还原从来没开过的人来说可以无视掉了...最后，Scheduled Scan，同样，我也不全盘扫描，所以我也不计划扫描... 最最后，你会发现每个界面的右上角都有个Smart Update，如果你对自动更新不放心的话，可以时不时点击一下它，它会帮你升级到最新版本或是提示你已经是最新了。ThreatFire的升级频率不高，因为它并不是一个传统的杀软，无需频繁升级病毒库。 ThreatFire是个很合群的东西，所以你可以将它和你的现有杀软搭配使用，或者像我似的，将杀软作为扫描器使用，而监控使用两个都具有主动防御功能的东西，COMODO Firewall Pro+Threat Fire。 当前的Threat Fire版本信息： Current Version 当前版本2: 3.5.0 File Size ... http://zuoshen.com/2008/06/01/174/