zeuux-universe  - 讨论区

标题:[zeuux-universe] 没事别用 IE

2009年02月03日 星期二 13:44

shi zhao shizhao在gmail.com
星期二 二月 3 13:44:30 CST 2009

  shi zhao 通过 Google 阅读器发送给您的内容: 没事别用 IE 于 09-2-2 通过
知道分子 作者:hutuworm 伟大导师 Bruce Schneier (《应用密码学》作者,计
算机安全学术权威)最近在其博客上转贴了一篇与某位广告插件(Adware)开发者
的访谈,完整披露广告插件的详细制作思路。

首先,大多数广告插件作者之所以瞄准 IE,不仅是因为其巨大的市场份额,还因
为 IE 具有安全性极低的 BHO(Browser Helper Object,浏览器帮助对象)机制
—— BHO 可以完成浏览器所能做的一切事。只要把广告插件 BHO 想办法装进
IE,接下来的任务就是杀掉所有可能删除该 BHO 的进程。

这里需要用到一些技巧,以保证 BHO 持久存在。比如,设置注册表项,编写一个
安装程序,当计算机重启后检查 BHO 是否存在,若不存在则安装之。还要编写一
个轮询程序,计算机运行时,每隔 10 秒检查一下 BHO 是不是还在,否则重新安
装。

为了避免 BHO 被轻易找到,广告插件作者耍了点小花招,通过 DES 加密计算机本
地网卡的 MAC 地址,取加密字符串前 6 到 8 个字符作为文件名。对于不同的计
算机,所产生的文件名自然是不同的,而在同一台计算机上,BHO 的文件名又相对
固定,便于广告插件相关程序自我识别。当然,函数混淆器(function
shuffler)的作用也不可或缺,通过混淆处理,能改变一个二进制可执行文件的形
状,使其签名无法辨认。

真正帮了大忙的是 Windows 的 Create Remote Thread (创建远程线程)功
能,利用它可以将恶意代码轻松注入其它进程中运行,而其它进程则会欣然接受注
入,坦然运行恶意代码。那么,把监控 BHO 的代码远程注入到一大堆进程中(每
个进程都知道其它两个相关进程,让它们形成相互支持的环),无疑是小菜一碟。

总之,如果想要安全,没事别用 IE,换 Firefox 或者 Opera 都行。最好连
Windows 也不要用,换 Linux 或者 Mac OS。现在淘宝、支付宝、QQ 均已/即将支
持 Linux 和 Mac,剩下招商银行还在负隅顽抗。没关系,开个虚拟机装 Windows
XP,要用的时候才打开,毕竟兄弟兜里没那么多钱,不用天天上招行。也许哪天换
了借记卡和信用卡,连招行带 Windows 一起删干净便罢。





* 访谈原文: Interview with an Adware Author


可从此处完成的操作:
- 使用 Google 阅读器订阅知道分子
- 开始使用 Google 阅读器,轻松地与您喜爱的所有网站保持同步更新
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090203/f7696909/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号