|
转自《电脑爱好者》杂志
最近,电脑安全领域可谓风生水起。以前只做安全辅助软件的360公司推出了一款叫《360杀毒》的免费杀毒软件,顿时使得不少老牌的商业杀毒软件也争先恐后地打起了免费牌,彼此间也展开了一场沸沸扬扬的商场口水战。虽然我是一名闲得无聊的安全技术爱好者,但对于商业炒作始终提不起兴趣。我只对如何攻破各种杀毒软件和安全辅助软件的防御系统着迷!别的不说,光把各安全厂商吹嘘得固若金汤的软件神话打破,就很有技术胜利的成就感,呵呵!本次,就请大家看看我是如何模拟病毒和黑客行为,来一招放倒这些安全软件的吧! 小小文件夹,放倒《360安全卫士》 首先,拿很多电脑中都安装了的《360安全卫士》开刀吧!试试能否一招放倒它。 启动《360安全卫士》后,在上方工具栏中切换到“高级”项,选中里面的“360tray.exe”进程。看到它下方的进程中有一个名为“WS2_32.dll”的进程没有?就是其后面还有Windows Socket 2.0等描述字样的那个(如图1)。让我们记下“WS2_32.dll”这个名字,然后进入《360安全卫士》的安装目录(一般是“C:\Program Files\360safe”)。在安装目录中点击鼠标右键,新建一个名为“WS2_32.dll”的文件夹,就大功告成了! 现在把系统任务托盘中的《360安全卫士》退出,再次运行它试试!看是不是不能启动,弹出了一个错误提示的警告窗口(如图2)?就这样,新建一个小小的文件夹,就能搞死《360安全卫士》。其中的原因,我稍后解释。 一波两折,杀毒软件奈我何 下面请出大名鼎鼎的杀毒软件——《江民2008》和《卡巴斯基7.0》。之所以请它们两位,是因为前者是国内老牌的杀毒软件,后者是国际知名的杀毒软件,各有其代表性。我测试的步骤与前面的基本相同,打开资源管理器分别进入这两款杀毒软件的安装目录,使用鼠标右键建立一个名为“WS2_32.dll”的文件夹。 结果——我可以告诉你,我失败了!原因是这两款杀毒软件都拒绝我建立“WS2_32.dll”文件夹,这是它们的主动防御功能在起作用。此路不通,我换炙悸罚涸谧试垂芾砥髦胁荒芙⑽募校蔷突坏矫钚邢陆ⅰ>咛宀街枞缦拢合纫来蔚慊鞑说ァ翱肌绦颉郊钐崾痉苯朊钚写翱冢辉偈淙搿癱d\Program Files\Kaspersky Lab\Kaspersky Internet Security7.0”命令进入《卡巴斯基7.0》的安装目录;最后用“md ws2_32.dll”命令创建文件夹,成功! 现在来检查一下效果。把《卡巴斯基7.0》的监控程序退出,再重新运行它,结果无法运行,它失效了!同样的方法,也适用于《江民2008》。为了证实这一漏洞对其他安全软件也有影响,我还选择了“趋势”、“终截者”等安全软件,结果一一应验,全部中招!不过,由于我的条件有限,没有测试最新的《卡巴斯基2009》,而更多的杀毒软件和安全辅助软件,有技术研究兴趣的读者朋友也可以用以上的方法去测试。 揭露真相,其实不是我的错 大家都知道,电脑安全是不允许有任何短板的,一个小小的漏洞往往会造成很严重的后果。以上问题的关键,就出在“WS2_32.dll”描述中的那个Windows Socket 2.0!这说明“WS2_32.dll”是用于支持Internet和网络应用程序所必需的动态链接库文件。而如今的杀毒软件和安全辅助软件都毫无例外地整合了自动在线更新的功能,因此它们在运行时必然会调用该文件。 动态链接库文件的调用顺序,首先是访问相关软件的安装目录,其次才是系统目录。在正常情况下,杀毒软件和安全辅助软件的安装目录中都不存在“WS2_32.dll”,因此这些软件运行时只能从系统目录中调用它(如图3)。而在刚才,我人为地在这些软件的安装目录中创建了一个与此文件同名的文件夹,则干扰了这些软件对此文件的正常调用,从而导致调用出错,软件无法正常运行。 知己知彼,防患于未然 由于此漏洞的技术含量不高但破坏效果大,因而一旦被黑客或病毒利用,那我们电脑中由杀毒软件和安全辅助软件筑起的安全防线就会瞬间崩溃! 幸好,要防范它也比较容易。譬如使用《微点主动防御软件》或《瑞星杀毒软件》,它们就不受这个漏洞的影响。只要这两款杀毒软件的实时监控功能处于开启状态,那么任何在其安装目录中新建文件或文件夹的行为都会被即时拦截和拒绝。 而对于动手能力较强的人,只要把自己电脑中杀毒软件和安全辅助软件的监控措施设置到位,严格拒绝通过脚本或命令行的方式在其安装目录中创建文件和文件夹就行了。 虽然目前还未看到有黑客或病毒利用此漏洞兴风作乱,但将来难以保证,因此我们还是早早提防为妙。 |
|
|
