来源:蜘蛛抓取(WebSpider)
时间:2016-09-24 12:09
标签:
厦门旅游 请高人指点
前几天有个黑客控制了我家的网络。结果让我拿手机笔记本儿,电脑全都中病毒。_百度知道为什么这两年没再听说有什么大规模的电脑病毒爆发?
DOS时代:任何程序无需任何手续即可做任何事,包括修改操作系统内核、直接发指令字操控硬件。甚至,如直接修改中断向量表,替换操作系统或BIOS提供的中断服务程序(用大白话说,就是篡改运行中的操作系统内核),以使自己的程序代码藏身中断向量区、在条件合适时可以继续执行的TSR技术(即程序终止驻留内存技术),在当时竟然是普通软件的必修技术之一,不然很多功能都做不到。普通软件都玩的这么high了……那病毒呢?——有个病毒每3个字节一解密,然后执行解密出来的指令;执行完指令再解密三个字节;而且前面指令解密后的结果,是后面解密流程的密钥,以至于根本不能下断点,因为下断点就破坏了密钥,使得几乎无法分析它。而且这个病毒还可以在每次感染时变形,两个不同副本不会出现连续3个字节相同……既然完全没有控制,病毒泛滥就是理所当然的了。——————————————————————————windows 9x/me时代:内核置入IA32架构保护模式的ring 0,其它应用隔离到低权限的ring 3,得到了相当的安全性;DOS以共用硬盘的虚拟机形式,提供给过去的DOS程序使用;为了兼容,仍然在内核中使用了一些16位代码,以及其他很多兼容措施:这种混合导致漏洞多多;对DOS的兼容导致只能使用不携带权限信息的FAT16/32文件系统,使得恶意程序仍然可以随便访问任何信息。结果仍然是病毒泛滥;但已经比DOS时代大有好转。(甚至当windows 95推出时,就有文章预言windows 95将结束病毒时代:这个预言虽然并未实现,但windows 9x下的病毒,无论是数量、花样、涌现速度,比起DOS时代,的确全都有了几个数量级的衰减。所以说效果还是非常显著的)——————————————————————————windows XP时代:个人桌面终于迁移到NT内核上,有了真正的权限限制;有了携带权限信息的NTFS文件系统,保护私密信息成为可能(但很多人仍然使用不携带权限信息的FAT32)。这个时代,情况已经很好了,裸奔也成为可能。我就曾连续裸奔5、6年,直到arp-iframe病毒出现,才不得不装了AVG。但XP的弱点是:第一,其上自带的IE太烂,几乎等于不设防,所以只要局域网一台机器中了arp-iframe病毒,整个网络所有装XP的系统只要上网,就必然中招;第二,它默认使用有管理员权限的帐号登录(也不得不用,不然很多软件根本不能启动),而这种帐号有权动电脑中的一切,这就相当于部分回归到了DOS时代,自然不能阻挡病毒泛滥;第三,大多个人用户仍然沿用过去的FAT32文件系统,这种系统不携带权限信息,所以仍然无法保护敏感文件。————————————————————————windows vista/7 时代:有了强制性的UAC,任何程序想做点非法活动,就必然惊动用户,用户不同意你就不能继续(除非你照那些三脚猫的教程关了UAC);同时,这个时代的主流浏览器(如chrome、ie、firefox等等),全部有了沙箱机制,即便被网络攻击,也很难影响到操作系统。然后,携带权限信息的NTFS文件系统终于成为大部分人的默认选项(如果你不知道说的是什么,那么就用的就是NTFS文件系统),敏感信息得到妥善保护。如此一来,自然就没什么病毒了。———————————————————————类似的,linux下为何干脆就没杀毒软件呢?因为linux权限管理非常严格。所谓Windows因为用户太多所以病毒多,完全是厂商的误导宣传。linux还服务器多呢。攻陷一个热门网站的服务器,给网页挂马,瞬间就能控制一大批的肉鸡,何乐而不为呢?事实上,正是因为linux权限控制太严,所以哪怕一台很多人用的服务器,一个用户2X感染了病毒,也没法影响同一个系统中的其他人(从病毒破坏到偷窥其它用户私人资料,都办不到)。之后只要删掉这个中毒的用户,一切就恢复了。举例来说,当初Windows有个输入法帮助漏洞:在登录界面切换中文或其它输入法,点帮助,然后在帮助界面导航栏输入c:\,就能以管理员权限浏览硬盘、启动任意程序。这权限管理何其烂也。这么烂的权限管理,怎么可能阻止病毒入侵呢?更可笑的是,这居然被认为是输入法软件公司的bug:它们本该检查是不是登录状态,不是登录状态就应该灰掉帮助按钮的!可要是这个软件公司本身就是个流氓呢?你也让它随随便便就能执行本来必需管理员权限才能执行的危险操作而不需要任何用户凭据?而在linux下呢,未登录就是nobody,除了极少几个在登录时必须能接触的东西(passwd、shadow文件),其它任何东西都不允许你接触。至于输入法?它必须以当前用户(未登录就是nobody)身份启动,没有哪个管理员能脑残到给它设置setuid,让任何人使用它时,都能临时切换成root身份的。所以,只要不给权限,任何程序根本就没能力在硬盘上写入任何不良信息(除了设置为nobody可写的文件),也不可能去“启动任意程序”“读取任意信息”,更不可能居然还能得到管理员权限为所欲为——有些部署于互联网的linux服务器,甚至允许任何人以guest登录,都不可能影响到系统安全。原因就是权限控制得好。————————————————————最后,说说0 day——因为一说这个,很多半桶水都喜欢跳出来说有0 day,0 day可牛比了,啥都能干。先解释下,0 day其实是操作系统里面的、能够非法得到高权限的、暂时未能修复的漏洞。打个比方的话,权限是无法逾越的高墙,而0 day是高墙上无意留下的狗洞——不封住,坏人就可能从狗洞里钻进去。任何系统都无法避免0 day。在0 day被厂商修复之前,的确是可以用来写“能够一传一大片”的病毒的。但是,0 day问题和权限问题有一点根本上的不同。比如,Windows xp的权限设置,普通用户的使用方式和默认权限设置下,到处都是漏洞。但,对较为专业的用户,他们就可以控制好权限(比如,大企业都有自己的安全策略,所有机器都必须应用这个安全策略):在他们手里,即便是xp,也是相当安全的。这点和linux以及后来的win7等系统不同,后者默认就有极高安全性。因此,权限问题,外行急,普通百姓急,因为他们正被病毒困扰;而有专家的大企业、国家要害部门,不急。而0 day呢,它不仅威胁大众,同样也可能威胁诸如金融、国防等要害部门。这些部门可比你着急得多。所以,一旦这类漏洞一旦发现,一般都会被火速修复。那么,如果你是黑客,好不容易发现了一个别人没发现的0 day;你舍得用这样一个珍贵的0 day随便攻击无确切价值的普通用户,导致杀手锏过早暴露吗?注意,一旦0 day暴露,可是会被厂商用紧急补丁修复的哦。(一个0 day,国外黑市报价数万美元,而且可以卖给多个买主,所以“珍贵”绝不是空口白话)————————————————————————换句话说,攻击XP及之前的windows/DOS系统,无需任何特殊技术,因为它们要么根本没权限概念、要么权限形同虚设;而攻击windows vista/7之后的系统,就必须先找个未修复的0 day漏洞,绕过权限机制。更形象点说:一个半吊子程序员,在以管理员身份登录的xp用户那里,轻松就能写一个程序肆意破坏;但想去攻击被权限严密保护的windows vista/7、unix用户,就必须先挖出一个0 day……这可不是一般半吊子能做到的;能做到的,也不会再屑于做过于“小儿科”的病毒了。综上,所以一旦权限控制好,病毒自然就销声匿迹了。PS:科普一下,啥叫病毒呢?在xp及以前的系统里,你只要搞一个autorun.ini,在ini里面指定运行当前目录下的 病毒.bat,而这个 病毒.bat 内容是一个死循环,这个死循环每5秒把autorun.ini、病毒.bat两个文件复制到C:、D:、E:……等分区根目录,如果出错,忽略出错信息:这就是个可传染的U盘病毒。嗯?你还想要破坏?写一行脚本统计下启动次数,达到1000次就执行format c: /y就行了。其它无论多高大上的病毒,核心机制都是这几板斧。至多启动、传播机制略有不同而已,但都是些通用机制,学过几天编程的都知道。显然,病毒没啥大不了的,更不是什么高科技。一个合格的、计算机专业一年级学生,都有足够写出一个病毒的能力。只是不合格的计科学生太多、非计科专业出身的人也太多,这才给了那些半瓶子咣当、想吸引MM眼球的家伙成名的机会。所以,不同于197x~198x年代,那时计算机才刚刚出现,计算机病毒也还是个刚刚被理论预言出来后、出炉没几天的新鲜玩意儿;但现在嘛,写病毒在行内人眼里叫“掉价”,是些正路子走不通才铤而走险的家伙才会去玩的无聊东西:而这些人呢,写病毒又很难赚钱,不如木马能来钱。而木马靠什么来钱呢?当然是偷盗用户隐私信息。但安木马偷用户隐私信息可不容易啊,又得想办法骗用户点击又得找浏览器的0 day从沙箱逃逸、然后可能还得找操作系统的0 day从浏览器默认的极低权限提权,而且没多久木马用的那个0 day又失效了,还得重新来……那么,真正绝妙的好主意是什么呢?你猜对了。写个流氓软件,光明正大要系统权限。用户一看,这种软件有用啊,又不要钱,当然要装啊。装上人家就监控你在电脑上的所有举动,然后上传到服务器——咦?这不就是木马吗?谁说的?木马是偷偷摸摸藏自己、偷信息,人家光明正大搬。这怎么能叫木马呢?嗯,反正无论如何,用户信息都拿到了,后者你还没法说他。那么,又何必写木马呢?然后,嗯,反正大家都是流氓,就谁也别揭发谁了。事情大概就是这样子的。当然,仅限于国内。PS2:随便再扯扯“隐私”。这年头,国外天天沸沸扬扬,反对软件公司监控用户隐私;国内也说流氓软件上传用户隐私,这两个隐私可是截然不同的。国外说的隐私,是诸如“你在亚马逊曾经买过什么、看过什么”这类信息、或者是某个软件启动过多少次、在每个功能上耗费了多少时间这类信息(这类信息可用于改进软件,但无法用来分析用户习惯;相关软件的用户协议会明确向你说明,他们会采集这类信息——但是,注意了,他们还会着重告诉你,他不会采集任何和用户输入内容等相关的隐私信息,也不会识别信息来自哪个用户:因为这种做法是高度敏感的,没人敢放到用户协议里面,放进去他就可以去坐牢了)。像亚马逊得到哪些信息,得到的途径是完全合法的——多新鲜,你去看过人家网站、买人家东西,人家能不知道?但,如果对这种信息做深入分析(也就是现在风头正劲的“大数据”),是可以挖到很多潜在信息的。比如,根据你的登录ip或者手机上的gps位置信息,可以知道你是不是出门旅行了,所以给你推销旅游产品、推荐当地的著名餐馆、旅馆;根据你最近看的书、买的药,知道你可能出现了心理问题,给你推荐心理咨询师;最恶劣的,甚至根据你的消费记录,发现你财大气粗,所以同样的商品,故意给你显示一个更高的价格,等等。有些人会说,这多好啊,贴心服务,除了高价,都能接受。但另一些人可不喜欢被别人知道这些。所以,老外反对“识别、分析特定顾客”,并把这个叫“侵犯用户隐私”。但,亚马逊不可能不盘点自己的仓库,不可能不分析自己的商品销售情况、适应人群。这和那种“侵犯隐私”的分析,又如何区分呢?所以,“隐私”就这样在国外成了一个热门话题。而国内呢,那些监控用户在机器上的活动等行为,本质上就是非法的,和潜入别人家里翻阅人家的日记、偷偷在主人卧室装摄像头等行为没什么区别,是不折不扣的犯罪。显然,两个隐私截然不同。胡扯八道什么“国外也有隐私问题”的,完全是在偷换概念。
费力不赚钱的事情,都不愿意干了。
其实表面上的原因很很简单。Win98时代很多人做病毒完全是为了炫耀。哥牛逼,你们不会。现在程序员都变成”码农“了,你做个NB的病毒只能把别人电脑弄坏,只能证明你是个只会做病毒的屌丝,说明不了什么。XP时代很多人做病毒是为了窃取东西赚钱,后来发现在我国,真TM是会判刑的啊……整不好钱挣不到还可能倾家荡产。所以这帮哥们都去搞更严谨的诈骗了。比如忽悠你买个邮票等升值啦什么的……
被发现的小偷都是笨贼
真正的原因是过去病毒很文艺,损人不利己。现在大家都拿来盈利了。病毒没少,只是藏的更好,不再做单纯的破坏行为了。
以前黑客们喜欢用病毒来秀技术,现在都是用木马来养鸡。
------------------------------------------------------10月6日更新--------------------------------------------------------------------忽然想到一个其他人都没想到的点。那就是杀毒软件“主动防御”技术的出现在一定程度上遏制了新病毒的传播。传统反病毒技术——特征值扫描技术,其核心思想是反病毒公司从病毒体代码中,人工提取出病毒的特征值,然后由反病毒产品将被查对象与病毒特征值进行比对,如果被查对象中含有某个病毒的特征值就将其报为病毒。反病毒公司已经提取特征值的病毒称为已知病毒,未提取特征值的病毒就称为未知病毒。特征值扫描技术依赖于从病毒体中提取的特征值,未获得病毒体就无法取得特征值。其技术原理决定了,特征值扫描技术只能识别已知病毒,不能防范未知病毒。传统反病毒技术的流程为:当用户发现计算机出现异常现象,怀疑可能被病毒感染 → 具有一定反病毒知识的用户将可疑文件通过邮件等途径发送至反病毒公司 → 反病毒公司收到可疑文件后,由病毒分析工程师进行人工分析 → 如果认定是病毒,则从病毒代码中提取该病毒的特征值,然后制作升级程序并将其放在互联网上 → 最后,待用户升级反病毒软件后,才能对这个病毒进行查杀。但在用户升级之前,用户计算机上的反病毒产品无法阻止该病毒的感染和破坏。目前,传统的反病毒技术面临着非常严峻的病毒挑战,黑客大规模批量制造各种以窃取商业秘密、虚拟财产、银行帐号等为目的的木马病毒,这类以营利为目的的新型病毒已成为当前病毒发展的主导趋势。黑客为了避免木马被杀毒软件发现,开发出多种简单易行的病毒免杀技术,无须重新编写病毒程序,只需经过简单地加壳、加花指令、定位并修改病毒特征值等技术方式的处理,很短时间内就可大规模批量制造出可逃避传统反病毒产品查杀的木马变种。更为严峻的是,已经出现了自动加壳、自动免杀机,甚至还实现了商业化,病毒作者每天对其进行更新,升级速度甚至超过了杀毒软件。黑客利用这类工具自动生成的木马变种,往往能够躲过最新版杀毒软件的查杀。木马生产的“工业化、自动化”导致木马越来越难以被反病毒公司收集,或者在收集到这些木马前,这些木马已经有着较长的生存时间,已经给用户造成难以挽回的损失。在熊猫烧香之前,大部分的杀毒软件都不具有主动防御的功能。在熊猫烧香泛滥的时候,大部分杀毒软件都被其kill掉,而只有少数杀软在未更新的情况下抗住了熊猫的攻击,(据说包括微点、卡巴和大蜘蛛)而其中微点又以其出色的主动防御技术一战成名。在那之后,各大厂商开始研发自己的主动防御技术。目前,国内具有或宣传具有主动防御功能的安全软件有腾讯电脑管家、奇虎360、 驱逐舰杀毒软件、微点、瑞星、金山毒霸、江民、费尔、火绒等。而主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。虽然主动防御并不能保证100%防御新型病毒,但在一定程度上增加了杀毒软件的自我保护能力,对遏制病毒的传播起到了一定的积极作用。--------------------------------------------------------------------------------------------------------------------------------------------主要原因之一是因为写病毒的人觉得坐牢不值啊……对于像我这种电脑白痴来说,对“大规模流行的电脑病毒“的记忆还停留在”熊猫烧香“,好像在那之后就再也没听说有什么大规模流行的电脑病毒了。实际上,写这种能大规模流行流行的病毒的行为有点不明智——咱们的李俊同志钱还在手里没捂热乎呢就被警察叔叔请去谈人生了。很多人只知道李俊后来似乎是被很多家安全软件公司”相中“、”抢着要“,甚至还衍生出”没准XXX今后就和熊猫烧香那个李俊一样了“这样的句式。却不知道那只不过是安全软件公司的炒作罢了。在监狱里,他帮助狱警做电脑方面的工作,因此减刑一年。出狱后,当年的朋友们并没有疏远他,相反,向其他人介绍李俊时,朋友们都会提到他就是“熊猫烧香”的作者。而据媒体报道,“熊猫烧香”案发后有不下10家网络公司表态说愿意聘用李俊。也许正是这些“肯定”让李俊坚定了重拾旧山河的信心。2010年元旦过后,在一个网站记者的说服下,李俊与雷磊一起赴京求职。他们希望和一些大企业接触后能在IT业找到一份稳定的工作。他们北京之行的第一站是著名杀毒软件公司金山。据说当时负责接待的工作人员,带他们在公司上上下下参观之后,就安排他们拍照。“摆拍”的时候,李俊和雷磊手里就拿着公司送给他们的产品。而到最后,金山仅发给了他们一份“网络安全观察员”的聘书。“这个‘网络安全观察员’不知道是干吗用的。”原本打算接着去另一家杀毒软件公司的李俊,听说又有电视台的人过去拍摄,决定放弃。当晚他就对雷磊说,“走吧。不想了,回去。”他觉得他们“被利用了”,这次行程,本就是门户网站与安全软件厂商的联合炒作。他们开始拒绝北京电视台和湖南卫视的采访,终止拜访安全软件厂商的行程。李俊跟雷磊说,“这么多媒体跟着,根本不可能找工作。”就这样,两人最终结束了北京的行程,也结束了求职之路。所以,对于那些以写病毒为生的黑客,无论是想”证明自己的实力“还是希望“被招安“,都不可能去编写这样一个对自己没好处的病毒:与其高调地作死倒不如写一个安安静静的木马闷声发大财。黑客们更喜欢针对某一类人群来编写一些比较隐秘的木马。比如说很多游戏外挂里面就暗藏木马,它们平时不声不响,然后某一天在你睡觉的时候把你QQ号里面值钱的东西洗劫一空。QQ盗号什么的早就成为黑色产业链了。你得明白,有些东西并非“没有”,只是你“不知道”罢了。第二个主要原因是系统的安全性的确在不断提高(在win8上的体现尤其明显)。一些在win7上猖狂着的病毒在win8上运行后什么反应都没有。微软在提高系统安全性上是的确下了功夫的。有人认为,没有大规模病毒流行是杀毒软件免费化的原因。个人觉得,这个不是主要原因。1,收费的杀毒软件其实也不是很贵:淘宝上一块两块的密钥有的是,每年一两块而已,普通消费者也能承担的起。(不过某些厂商的绑架式推广倒是的确提高了“杀毒软件”的安装率)2,杀毒软件的能力比你想象中要小得多。曾经在杀软论坛潜过一段时间,也曾经无聊到蛋疼地下载一些病毒样本来测试杀毒软件的性能。这么玩了几次后深刻地意思到了杀毒软件的功能实在是太有限了。一些免杀做的非常好的毒,扫描后不报毒,双击运行后杀软的主动防御一点反应都没有……将病毒样本上传到在线查毒网站,发现几乎所有杀毒软件都不报毒……用一句话总结就是杀毒软件还没来得及反应系统就挂了。从那以后我就对杀软没那么放心了,因为真的是“道高一尺,魔高一丈”,不是他们做不到,只是自己不知道。
目前第一invalid s的回答,解释的确实到位,不过他说的不是全部,而且也没有很好的解释为什么是这几年。对于权限方面的因素他说了不少,这确实是一点重要的原因,但相对来说,我更加同意simaziyu 的回答。在我看来,这个问题虽然问的简单,却有大量的因素要阐释,不是三言两语能讲清楚的——尤其对于大多数不了解安全圈子的人来说。我试着从科普的方式更加全面的解释这个问题。以下是本菜菜的一些观点,仅供拍砖引玉,希望有安全专业圈的大大们前来诠释;另,望轻拍。。。。如果只关心题主的问题,看完第一部分差不多就可以了。【
一、预热:题目分析
& 快速回答
】首先,就题主的问题“为什么这两年没再听说有什么大规模的电脑病毒爆发?”做一点更加清晰的分析。1、病毒?大家理解的“电脑病毒”,应该是一种广泛的称谓,指包括病毒、木马、蠕虫、黑客程序、玩笑程序、流氓软件等各类恶意软件的统一称呼。这些,均属于“病毒安全”,而病毒安全却只是信息安全的一个分支而已。其他有如网络安全、密码安全、社会工程学等大量分支才支撑起了 信息安全 这一庞大的体系。请再次注意,此处概念非专业,缺乏严谨性,仅供参考;恳请专业的安全界人士更加严谨的对此分类进行梳理。2、电脑病毒?近年来,以安卓、iOS为代表的移动端系统的崛起,而且移动端距离金钱&利益更加唾手可得,导致不少黑色产业链的目光聚集于此。电脑病毒看起来少了,移动端的病毒实实在在的多了。况且,黑色产业链在其他的信息安全领域,也是躺着挣钱的,病毒领域干不动就干别的信息入侵呗。3、大规模?以前病毒种类少,杀软一周更一次就行了;如今一小时更一次都不够,所以各大厂商都大力投入云安全,尽可能做到实时响应。以前感染几千几万台电脑就是大规模事件了(当时电脑不多哟),如今感染几十万电脑算什么。比如近两年流行的 勒索病毒,规模比以往的那些知名事件都要大不少,甚至导致语言不同的我大中文区也有不少人莫名中招——中招者:这都TM是什么鬼啊啊啊....(??皿?`)
.....以及,以往染毒的几率相对现在来说并不高,如今绝大多数电脑都遇过毒,大规模的病毒传播是存在的——但是,国产免费杀软的横行,让很多病毒还没来得及发作就被干掉了。虽然不少人吐槽这个中软件比中病毒更容易的时代,但是在国内,病毒安全的威胁确实因此明显改善。4、听说?以前,大面积感染可以经常上新闻;如今这个信息更加泛滥的世界,你确定你能随意关注到?就比如说,我刚才提到的 勒索病毒,可能对于大部分人来说,没听说过,但这却实实在在的大规模感染中。你不知道,不代表不存在。5、这两年?这几年有许多重要的节点:更安全的操作系统普及,国内免费杀软普及化等一堆原因,使得整个大环境改善了许多。详见 环境分析 部分。综上,现实的情况及其原因是:不少病毒作者去玩安卓等新地盘了,来钱快还省事;如今的病毒总量就是个大规模,而且在每时每刻活跃着;就算是形成大规模的单一病毒也是有的(虽然情况有所变化),只是你不知道;这几年个人电脑安全环境的改善,导致病毒的生存条件不如以往优越,电脑病毒这一手段获取金钱利益的成本攀高,成本与收益不能满足预期,于是类似于钓鱼这样的成本更低更容易躲过安全软件的骗钱方式变的更加泛滥,其他信息安全领域的关注也变的更加多一些。干不过我还不会溜嘛!我想,这便是“为什么这两年没再听说有什么大规模的电脑病毒爆发?”大致的原因。----------------- ╮( ̄ε ̄╮)
【我是华丽丽的分割线】
(╭ ̄3 ̄)╭
---------------【选读内容】当然,可能还有很多问题你依然不解,尤其是刚才第3点的很多细节内容上,我也没有说:环境具体怎么个改善法?技术流们提到的权限、漏洞等等,这些影响因素呢?还有 灯 等灯等灯 各类因素呢?想有所了解的话,可以往下看了。【
二、环境分析
】(一)基本层面&前提铺垫2.1.1、是谁制造了如此多的信息安全问题?1)早在二三十年前,病毒安全的原因,大多是因为大家的得瑟&自我满足:“你的电脑想怎么被我玩就怎么被我玩,牛B吧!?”毕竟当时网络不发达,更关键的是信息沟通环境与支付环境不像如今那么自由发达,很少有人可以通过病毒等安全攻击获利;就算是有,也只是针对某组织的恶意干扰等行为而已。2)现在,除了失误等意外情况,若是有预谋的信息安全攻击,均是因为:利益;抛去集团或个人间的争斗冲突等因素外,更贴合大众的利益关系上来说,是钱。金钱的驱动力,不必多说。本来是自己单打独斗的小骇(黑)客,然后因为某些论坛某些群某些原因在一起形成骇客小团体,再后来有好多人想通过这个小团体获利,越来越多不同技能不同目的的人终于也在一起,有制造骇客工具&木马的,有分销木马的,有种马的,有销赃洗钱的,等等。。。。由此生出庞大却并不被大众所知的黑色产业链(以下简称为 黑产)。数不清的个人和组织被黑产自由宰割却浑然不知。安全界有句话:世界上只有两种人,一种人知道自己被黑了,另一种人不知道。而大部分人,都不知道。2.1.2、相当多的人都想:我又不是有钱人&名人啥的,怎么可能会黑我?也正是因为如此,使得黑色产业链财运亨通。那种人有被针对干掉的价值,而你没有被针对的价值,只需要用一个弱爆的小工具就能把你的金钱/账号制服,所以他们也不知道他们具体把谁的钱卷走了,仅此而已。就算是你的账号里没有钱,也可以利用里面的信息骗取亲友的钱,利用你的个人信息为诈骗提供方便,等等。一个账号没什么,千千万的账号汇聚在一起也是个庞大的力量,不要太小看。当然,你也可以选择充当黑产中肉鸡大队的一员,反正自己被拉下水的同时也能成为凶手的帮凶这一点也无关紧要是吧?(大雾)安全最大的问题在于人,只可惜这个没有跟上,不单是个巨大的温床,也使得黑产链活的更加滋润。2.1.3、为什么大部分(个人电脑&PC)的病毒目标都是Windows系统?用户多。在国内,各Windows版本总共霸占了90%以上的市场,这是一个大一统的生存土壤。而linux有超多发行版,能在你这个linux发行版上运行到另一个发行版就废了,代价那么高做出的木马却没有能运行搞钱的地,做出来干嘛?不同的环境生存着不同的病毒,应该还没有各个环境通吃的病毒吧?人好骗。而为数不多的linux用户大都是技术人员,像invalid s提到的权限等问题他们大多都懂。最关键的,人的问题,在Windows世界极为突出。、Windows的安全机制在许多领域不如其他系统,越旧的系统安全问题越为突出。Windows广受好评的便是简单易用,但却是以牺牲安全性为代价,毕竟作为消费者不需要那么严格专业的安全控制。当然,微软也一直在摸索这个平衡点,新版的Windows安全性也还是可以的。当年WinXP刚推出的时候,安全性稳定性在业内也是非常不错的,不过这个2001年的跟不上时代的老系统现在依然有那么多人坚守,就好比心安理得的住在一个门窗皆废且漏洞百出的屋子里,反正能睡就行。MAC OS的用户虽然不像linux用户那样大多都懂,但是也是一上来就强迫&教育用户这个权限那个不许;而且,应用来源必须来自于统一的经过审核的苹果商店,从源头开始遏制。WinVista尤其Win8之后,微软也逐渐开始推行这种方式,但是要温和的多,而且不彻底,还容易被忽略。安卓、iOS系统在权限等问题上也比较注重控制——但是,非要获取ROOT权限越狱啥的,那就是你自己的问题了。当然,楼主提到的是
电脑 病毒,没有移动端 病毒。那么 安卓 病毒 这一典型的问题我也就不多提了,也可参照Windows病毒。(二)具体分析——这两年发生了什么?2.2.1、操作系统安全环境改善增强刚才在2.3说过,新版Windows的安全性要高于旧版Windows,让我们看看这几年国内操作系统市场发生了什么:数据来源:百度流量研究院-,数据区间:6.03以上是国内前4大主流系统:WinXP、Win7、Win8、Win10,全是Windows,而且从左往右越来越新,越新则安全性越高,木马病毒的手的成本也越高。以上是国内前4大主流系统:WinXP、Win7、Win8、Win10,全是Windows,而且从左往右越来越新,越新则安全性越高,木马病毒的手的成本也越高。可以看出,自Win7推出之后,曾经盘踞90%以上市场份额的WinXP就在不停走低(WinVista没有那么明显的效果),2015年3月左右,Win7终于成为操作市场份额第一,如今已超过50%,Win7带来的更强的安全性在此可见一斑——虽然,这也是2009年之后的老系统,但比更久远的WinXP更安全。这点,invalid s也提及过。具体,将在第三部分技术分析单独讨论。2.2.2 浏览器安全环境改善增强invalid s多少提过,这一点是我之前没有提过的。浏览器作为电脑用户接触网络的第一大工具,也是被黑产盯上的传播利器。和WinXP一同推出的IE6,安全性在当年是非常不错的,但后来跟不上时代,非常容易被黑产利用;IE7、8当然也是这样的咯,越老越容易被黑产利用。几年前IE6/7流行的时候,网页挂马非常严重,打开个网页就能瞬间中毒,所以当年像金山网盾这样的安全工具也是红极一时;但随着后期IE新版的推进,尤其是更为安全的谷歌Chrome阵营大口大口的吞并市场,也使得当年挂马等浏览器攻击手段风光不再。浏览器这一你死我活的必争之地,已经由更加现代安全的浏览器宣布胜利。数据来源:百度流量研究院-,数据统计区间:2009年11月~2016年3月。特别注明:奇虎360浏览器份额在2010年10月至2011年3月,和2012年9月以来,两次大幅下降,是因为360浏览器去掉了原本的浏览器特征(User-Agent),而表现为IE等浏览器特征所致。国产主流浏览器均为双核浏览器,即主要是Chrome核,偶尔辅以IE核兼容旧网站以及网银。因此,我个人将这些国产浏览器归并到 Chrome阵营。根据百度流量研究院2016年3月的统计,所有的IE占据30%多一些的市场份额,而且IE10、11这样更加安全的IE浏览器份额可以忽略不计。2.2.3
安全软件市场的变化这块大家应该都懂。自奇虎的360杀毒以永久免费的方式杀入市场,整个国内安全格局发生了重大变化;不仅360安全卫士/杀毒占据了远超过一大半的市场,原来收费的金山、瑞星不看其压分别免费,百度腾讯为了抵御360并增强自己的统治能力也大力发展自有的安全软件,这是一个中安全软件比中毒更容易的时代。虽然口碑不好,但360这个鲇鱼对中国安全界的影响是重大决定性的,而且技术上也确实牛B,这让黑产不如以前那么容易混了。如果想通过木马病毒的方式获利,却躲不过360,那就别混了,或者祈祷那电脑的安全软件不睁眼吧。所以,黑产不得不将更多的注意力转到钓鱼这样的成本低不易被发现还可大规模传播的方式上,干脆搞其他信息安全领域,直到遇到了安卓。【
三、技术分析
】上面那些还能扯扯淡,这块就更是不入流的菜菜了,希望由安全领域的朋友纠正补充。(一)基本层面&前提铺垫3.1.1、传统杀毒软件怎么知道这是病毒?安全工程师先从分析出的病毒中提取威胁代码特征,只要有这种威胁特征的就是病毒。但威胁特征太多了,而且不同的病毒还不一样,所以杀毒软件把这些代码特征统一存放在一种仓库里,名为:病毒代码特征库,大家常称之为病毒库,杀毒软件经常更新病毒库才知道谁是病毒谁不是病毒。但弊病是,在当今海量的病毒下,安全人员来不及分析病毒并将之入库,传统的病毒识别速度慢到不起作用,所以必须要改变。不过,现在的杀毒软件已经不单单依赖这种方式了,后面会提及。3.1.2、云安全&自动分析工具——病毒识别响应速度大幅提升在以往,病毒不多,杀软一周更一次,如今得实时更新才能跟上。且不说安全人员分析不过来如此巨量的病毒,实时更新下载病毒库本来就是个麻烦事,而且病毒库已经大到令人发指,占用硬盘空间事小,占用内存空间事大(病毒库需先加载进内存,内存剩余空间越小电脑运行速度越慢);更关键的是刚才说的:病毒识别速度慢到跟没有一样,怎么办呢?于是安全软件公司都会有自己的自动安全分析工具,大量的病毒可以自动发现;而云查杀就相当于把病毒库放在杀软公司的服务器,实时调取,就不用必须往自己的电脑更新病毒库了;而且云查杀也可以将未知文件自动提交以供安全分析工具分析。自此,一套高效的病毒识别机制出现:就是我刚才说的云安全。虽然缺点也很明显:断网后,纯云杀毒软件就是个烧火棍,不具备对应识别病毒的能力。但是断网的电脑黑产也不感兴趣,只有联网的才是有价值的;再者,有些木马为避免被云检测到,把自己的体积弄的非常大,不过也可以通过主动防御等方式降低病毒的成功几率。3.1.3、主动防御根据软件运行行为规律来判断是否具备危险性的一种防御手段。这种方式不需要病毒库,所以具备防御未知病毒的能力。尤其国外的杀软,据此具备恶意行为回滚功能。虽然有着非常好的防御效果,但问题在于,这种技术实现难度相当大,目前也容易漏判误判。有的国外大牌厂商做的不错。国内做的比较不错的,有微点主动防御,不过似乎。。。给人的感觉是,他现在活的怎么样了。。。之前有HIPS(基于主机的入侵防御系统),虽然也是拦截每次程序运行的行为,但要通过用户自己根据行为规律来判断是否为病毒,不是太适合推广。3.1.4、Windows自身的防御手段:权限篇invalid s说过,很多安全问题来自于权限分配。Windows又是怎么做的呢?很早以前,比如WinXP就有受限的账户这一低级用户,权限不高,所以不允许安装软件,不允许修改系统设置,等等;Win7之后的时代为 标准账户。标准账户的一个好处是,因为没权限,凡是对系统进行操作的行为都被抑制,所以大量的木马、流氓软件纷纷运行不起来,但这也给用户使用造成了些许不便。微软虽然一直建议大家用标准用户保证自己的安全,但是大众用户又有谁知道这点,就算知道又有多少人那么做呢?绝大部分仍然在用权限高容易被利用的管理员账户。没关系,微软为此在WindowsVista及之后的系统增加了新的安全手段:UAC这点invalid s提到过,不过WinVista的UAC确实难用,打开个自带的Windows防火墙都会先被UAC拦下问问你,要打开嘛?一时语塞。。。所以当时一提到UAC就去关掉,就是从此时形成的。Win7的UAC策略好很多,谁让你就是不用呢?UAC都不用的话,权限方面也比WinXP好一些,依然有一些应用不能随随便便运行;网络权限方面也不像WinXP一刀切,比如家庭组、工作组、公共网络这样的分类。总之,权限方面比15年前的WinXP好太多,这些举措也确实抵御了不少攻击。3.1.5、Windows自身的防御手段:安全工具篇Windows Update:同样版本的Windows,一个从未打过补丁但安装杀软,安全性会比不安装杀软的的Windows安全性高嘛?不,说破就破。明知自家墙有窟窿却就是不补,完全就相当于大门敞让别人抢。WinXP时代的Windows更新确实不给力,所以用国产杀软帮忙打补丁还是不错的;但是Win7尤其Win10之后,就没有用国产杀软帮忙了的必要了,微软已经做的足够好。WinXP SP2起:Windows防火墙,因此也降低了大众受到网络攻击的概率,会玩的也会无需第三方工具调配自己本机软件与网络的连接情况;Win7之后更加成熟,不少安全放弃了自己的防火墙,国产防火墙尤甚。WinVista起:Windows Defender,反间谍软件,半个杀毒软件吧;Win7/8时代已经成为具备完整能力的杀软,同时在业界作为杀毒软件基准线来评判其他杀软,能力低于这个的杀软就可以放弃了;Win10之后的WD也接入了云,能力甚至可以干掉不少二三流杀软。Win8起:SmartScreen筛选器,最初用于IE浏览器,用于帮助识别并拦截恶意网页/软件;Win10起可以直接拦截文件,比较像是杀软的监控拦截了。(二)近些年安全对抗的变化3.2.1、国内的云安全&防御国内的情况。2008年左右瑞星开始推行云查杀,同年360杀毒出现;使用云查杀,国内用户最多的两款杀软均开始使用云查杀,之后360成为市场份额第一;2011年使用云引擎的金山毒霸免费,2012版更是激进的成为国产首款几乎没有本地病毒库的纯云杀软,360杀毒随后也正式甩掉本地病毒库(需用户自行下载)。自此,云查杀差不多从2012年之后成为国产杀软的主流,电脑病毒的生存周期被史无前例的压榨到几天甚至几小时。如果病毒木马变化速度不快的话,就只有被碾压的份了。国外杀软也很早就推行云,不过不像国内那么激进,而且因为国内一些你懂的的原因,云可能会抽风不管用。国产杀软的防御能力也是近几年有比较明显提升的。2008年之后,尤其前两年经过熊猫烧香的洗礼,国产杀软纷纷开始铸建自我保护功能,并且渐渐打造提升自己的防御拦截能力,即使病毒库没有也能起到部分拦截作用。当然和国外牛B的主防不能比,但有胜于无,也是提升了病毒木马攻击的难度。3.2.2、新版Windows市场份额扩大,增加病毒木马的活动成本刚才说了一堆Windows自身安全特性提升的特点,不是白增加的。之前WinXP时代病毒可以如鱼得水呼风唤雨的招式各种受阻。至于新版Windows市场份额如何,在上文说过。3.2.3、其他各类软件工具的安全提升比如Chrome为首的浏览器,增加的沙箱功能,每个标签&扩展都会被封闭在一个独立的沙箱里,沙箱之间不会相互影响。就算看网页出现个挂马,那马也就在你这一个独立封闭的环境折腾,无法影响到本机。你会发现,这些有关病毒安全的新安全技术与安全环境的改善,最主要就是出现在这几年。所以,黑产们就不能像以前那样把大量精力放在电脑病毒木马上,他们需要在其他信息安全领域做出更多的投入才能获得他们理想的回报。对于这个产业的打击,不能只有安全厂商。你会发现我第二部分和第三部分那么多字,只是为了解释第一部分的那两句话而已。【
四、关于病毒安全,我们该如何捍卫自己
】务必使用一个自己信得过口碑靠得住的安全软件守护自己的电脑,找个大牌就行,哪怕收费,而且大多也不贵;国内更是免费。有很多牛人说杀毒软件没用,前提是你具备他那样的技术与良好的安全习惯,切勿盲从;尽量去软件官网或者其他信得过靠得住的软件下载途径中安装软件(如各大国产杀软自带的软件管家);补丁该打还是要打,过时的系统该抛弃还是要抛弃;积极了解一些安全科普,首先去了解Windows自身的安全机制,尤其是UAC、权限这样的问题,然后去了解常见的安全防御方式。虽然可能会多占据一点你的时间,但是值得。不要和自己的钱过不去,不要和自己的个人信息过不去,不要和自己的亲友过不去。顺便说点闲话:以下是我个人的一种分类方式:主动防御、HIPS、UAC、沙箱等这一类的手段,均是分隔;扫描、云 这样的手段,均是 识别。分隔和识别本是相辅相成,大家说某一个技术点某一种手段就起到决定性作用,未免片面。尤其是 分隔 这一类型,分隔 过度,会造成易用性的下降。Linux的分隔做的确实不错,但是适合大众使用嘛?分隔和易用性还是需要有良好的平衡,微软WIndows和各大安全厂商也一直在摸索这个平衡点。相信他们会做好这些的。其他人脑的分隔与识别手段:其他的分隔,比如为不同的网站账户分配不同的密码,重要邮箱开启二次登陆,等待。识别方式上,建议有更多的了解。比如,要能识别出UAC弹窗说明,识别出哪些网页是钓鱼等等,这还是需要我们自己的积累。先说那么多吧,虽然注水挺多还有重复,也没想到我竟然也能在知乎洋洋洒洒写那么多字 @ - @ .........若有幸转载,望请注明出处,感谢大家耐心看完。那些安全圈的大大们,本菜菜都说了那么多了,你们也过来多说几句嘛 。。。
說到安全問題,不得不扯一下國內的幾大公司的貓膩。就如前面幾位說的,現在的瀏覽器“多”為UAC,沙盒機制。我為啥加個引號呢。國內偽瀏覽器橫行!就是拿開源內核搞出來的,技術上當然跟不上那些專業做瀏覽器。而這些偽瀏覽器發布的原因也多為了繞過UAC,給自己留個後門。留后门,这么便宜的事怎么会少了百度呢,百度浏览器尽管没有上榜,也在蠢蠢欲动。BAT占全了吧,不是我黑他们,放着正版的浏览器不用,用这些不着调的东东,真是不作死就不会死。说到“黑”,我就来特别黑一黑腾讯:对于权限问题,上面有仁兄已经说得很全面了。什么样的程序需要我们分给他管理权限呢。补丁更新,杀毒,防火墙之类,而一般程序是不需要的。所以如果有程序运行找你要管理权限,您就需要提高警惕了。首当其冲的就是这位企鹅先生了。就一聊天工具,你找我要嘛管理权限?!所以,本人很久就不运行这玩意了
前面的许多回答都不专业,为了偶们网络安全圈的尊严,必须得好好回答一下这个问题。应该有多方面原因。主要是大规模传播的难度增加了很多倍,其他的因素都是围绕这个主要因素展开的。手机上回答不方便,待我慢慢思考慢慢答,权当一个多年从业人员的总结。-------------------------------------------------------------------------------------------------------------- update--------------------------------------------------------------------------------------------------------------一直忙一直忙,没办法,为了更大的自由,要付出更多的努力。今天晚上终于可以来认真的答一下这道题了,基本同意@simaziyu的看法,不过个人觉得还是有可以讨论的地方。“2、从经济利益角度说,才会更靠谱一些。10年前你造病毒不会发财,大名鼎鼎的李俊也才获取不法利益14万”这点呢其实是李俊是属于技能值过低才没赚到什么钱还被抓的,看看”大小姐木马“ “据了解,“大小姐”木马曾经全国泛滥,南京警方确认该案案值超过1500万元,案犯自己交代生意最好的三个月赚了3000万元”OK,这个结果也是被抓的,那么来个高级点的:”机器狗病毒“ 见,这个机器狗主要感染网吧的机器,普通家庭用户的机器被感染的也有,不造成大的破坏性结果,只管闷声发大财,至于具体获取收益多少没有人知道,因为没有破案,应该比大小姐只高不低,所以有的答主说的“过去病毒很文艺,损人不利己”,或者说“以前是秀技术”的说法,实在是理想化了,估计是被神马“黑客精神”给误导了,(指的是类似这个),其实从冷战时代开始,黑客们就开始靠技术赚钱了,“黑客精神Hacker ,这个词是用来形容那些热衷于解决问题、克服限制的人。”,嗯嗯,其实黑客们可能对“克服限制”更感兴趣一些,想想,show me the money以后多么自由,这样才有点符合真实的人性。恩,还没答完,让我慢慢来,我也权当是一个思考、总结。另外,欢迎网络安全圈的知友互粉,没事瞎聊天,也许咱们还是相识的呢,这个圈子很小.....
已有帐号?
无法登录?
社交帐号登录
