络木马丛生安全软件如何工作

络木马丛生安全软件如何工作

“红灯停、绿灯行”这是一个交通规则，但这绝不仅仅是针对司机的，我们每个人都应该了解与遵守。

因为，虽然我们不开车，但却存在被车撞的危险。

因为，我们每个人每天都面临着来自木马病毒的威胁。

有人说“我从不用 络银行，所以不怕被偷钱；也从来不玩儿 络游戏，所以也不怕游戏装备、金钱被盗；更不玩儿自拍、写日记神马的，所以也不怕隐私泄露；那我还需要所谓的安全吗

请看以下新闻：

“据xxx新闻 道，xxx市的xxx因为散播 络谣言，被拘留15天”

看到这个新闻，您是否会疑惑，警察是如何知道谣言是谁散播的呢/p>

很简单，上 时，每个机器都会有一个IP，而你在 上的所有行为都可以通过这个IP追踪到你的电脑，从而定位到电脑的主人。

那您可能又问了“我从来不会无聊的传播什么谣言，这新闻与我没什么关系吧

当然，正常情况下，是与您无关，但当您中了木马后，就不一定了。

在木马家族中有一类木马为“远程控制木马”，顾名思义，就是可以通过木马来遥控你的机器，看到这里您想到什么没有/p>

而一旦警方对此进行追查，最终查到的就是你，因为攻击是从你的电脑发起的、谣言是从你的电脑发出的，你有自信能与人民警察解释清楚你的清白吗/p>

所以，只要你上 ，哪怕什么都不做，危险仍然存在。

我有位朋友曾叫嚣“哥在江湖飘，从来不挨刀；上 4、5年，还从来没见过木马长什么样儿呢”。

我很纳闷，他的运气真的这么好去实际检查了一下儿。

检查完后，我只想到一个成语“万马奔腾”，好家伙，各种木马集中在一台机器上，那是相当的壮观！

于是，我建议他在电脑前面挂个牌子“此电脑是养马基地，接近时请注意安全”。

木马占领我们的电脑后，并不会插上红旗再挂上“已占领”的铭牌，即使专业人士也需要借助专业工具才能发现隐藏在电脑深处的木马。

而对一个普通 民来说，并没有能力判断自己的电脑是否安全。

那我们应该怎么办呢/p>

很简单“专业的事情，留给专业的人来做”，我们需要做的就是把安全问题交给安全公司，借助安全软件来保护自己，尤其在安全软件已经免费的现状下，我们实在没有任何理由拿“自己的安全”来测试“自己的运气”。

据统计，大概有三分之一的 民都有过中病毒或木马的经历。

而其中绝大多数人不知道是如何中招的，他们会满腹的疑惑，且非常无辜的说“我没做什么呀么会中招呢

真的没做什么吗/p>

那么仔细看看以下有可能会导致中招的操作，你究竟做没做/p>

一、仅仅是 上浏览也会被中木马/strong>

是的，仅仅是上 浏览，看看新闻、逛逛微博就可能会被中上木马，而这类木马的传播方式被称为“ 页挂马”，木马就挂在某 站的某个 页上面，当你浏览此 页时，就会中招。

有人说，我只访问一些大的门户 站，从不去不知名的小站，也会中招吗/p>

当然会，你只需要注意一下新闻就会发现，很多门户 站都曾有过被挂马的经历。

页挂马即可以自己在自己的 站上挂上木马，也可以侵入正常 站的服务器获得相应权限，然后在正常 站中偷偷的挂上自己的木马。

页挂马如何防护呢/p>

在我们进行 络浏览的各个环节中，安全软件对 页挂马都有着多层次的防护，比如我们想看“中国航母”的新闻，一般我们会做如下几个操作，而在每个操作中安全软件都在发挥着作用。

1、在搜索引擎中搜索“中国航母”

这时一般会搜索出N多个结果，每条结果都对应着一个 页，而这其中就有可能包括挂了木马的 页，而当你很幸运的点击了那个挂马 页时，那么恭喜你，你即将与木马亲密接触了。

在这个环节中，如果你用的是安全搜索引擎，比如：www.so.com，那么它会对搜索的结果进行检查，发现挂马 页后就会过滤掉，避免用户点击后中马。

如果用的是一般的搜索引擎，那么就要赌运气了，运气好正常浏览，运气不好选了挂马站，那么请继续看……

2、选中其中一个搜索结果，点击进入。

当我们选中一个搜索结果，点击后，就会进入相应的 站，如果在上一个环节，你没有使用安全搜索引擎，而用的是一般的搜索引擎，那么你进入的很可能就是一个挂有木马的 站，想避免中马，就只能指望这个环节的保护了。

在这个环节中，有两种安全软件会发生作用，一个种是安全浏览器；二是 盾。

“安全浏览器”及“ 盾”都会对你即将打开的 页进行检查，如果 页是挂马页或存在其它安全问题就会对你进行提示。

如果你用的是一般的浏览器也没有装 盾，或者说它们没有起到作用，那么就将进入第三个环节……

3、浏览 页中的新闻。

当你没有用安全搜索引擎、也没有用安全浏览器、也没有装 盾，或者访问了挂马 页，而它们都没有起作用时。那么在这个环节，木马就开始下载并执行了。

但是，这并不代表你就一定会中木马，因为安全软件在这个环节仍然有两层防护。

首先，杀毒软件会对下载的文件进行扫描，如果此木马的特征已经被采集过，那么，恭喜你，它将被拦截，并失去执行的机会。

如果这是一个全新的还未被杀软捕获过的木马，那么杀毒软件很可能不会拦截它，但你也不用害怕，因为还有一道防线在保护着你，那就是“木马防火墙”

通常木马防火墙会有基于行为的防御规则，就是说哪怕这个木马是一个未被捕获过的全新木马，但只要它有侵害用户电脑的敏感行为，就仍然会被拦截。

这时安全软件通常会提示你，它需要把样本回传公司，它为什么要回传呢回传些什么呢/p>

4、恶意样本及恶意 址上

我们先说一说，安全软件为什么要回传样本。

请先回顾一下儿我们在上文中提到过的几句话，第一句是在安全搜索中提到过“发现挂马 页后就会过滤掉”；第二句是在安全浏览器中提到的“如果 页是挂马页就会提示”；第三句是在杀毒软件中提到的“如果此木马特征曾被采集，将被拦截。”

问题来了，它们怎么知道哪些 页是挂马 页呢马特征又是如何采集的呢/p>

这个问题就是上传的意义所在了。

上文中我们说了，木马是全新的，还未被捕获过，所以它穿透了安全搜索引擎、穿透了安全浏览器、穿透了杀毒软件，结果被防火墙捕获了。

在这一刻，它被捕获了，因为它被捕获了，所以它将不再具备穿透安全搜索引擎、安全浏览器、杀毒软件的能力，但前提是你允许安全软件将样本回传。

只要你允许回传，那么下一个 友再访问这个挂马 站时，这个安全隐患将在第一关就被解决掉，不会再到最后一关。

即然能把盗贼完美而优雅的解决在小区外面，我们何必要等他进入家里后再通过一番搏斗来解决呢/p>

在这个案例中，你是第一个遇到这个木马的人，你的允许上传将使全体 友受益，但其它 友也在进行着类似的操作，他们的允许上传也在使你受益。

我为人人、人人为我，这才是一个美好的世界。

那安全软件都会上传些什么呢我们个人来说会带来损失么/p>

首先，木马程序的本身会传回安全公司。

而木马程序通常都会很小，所以回传对用户来说不会带来 络压力，几乎是在一瞬间就可以完成。

其次，会把挂马 址的URL传回去，就是地址栏里的那一串http://www.xxx.com/xxxxx类似的东东。

安全公司关心的是哪个 址挂了马，挂了什么样的马，并不关心是谁访问这个 址的，也不会在服务器记录是谁访问了这个 址或是从哪台电脑上传回来了这个 址。

是不是有些失望了然通过你的上传让千万 友受了益，但你也不可能得到安全公司的嘉奖，因为他们跟本不关心、不记录、也不会知道是谁传的。

5、无聊的隐私问题

隐私本身不无聊，但有些别有用心的人每天像被迫害狂似的大喊“我们的隐私被人偷走啦”却是无聊透顶了。（谁是别有用心的人看后面“木马的绝地反击”那一章）

什么东西是隐私呢/p>

自拍照无疑是个人隐私，日记、 区或微博账 、聊天记录等等也算是隐私。

那别人拿到这些隐私又能有什么用呢/p>

某些变态的人满足自己阴暗的偷窥心理延伸之发布到 上再从你的痛苦中获取无聊的快感者发个邮件给你进行敲诈勒索冒着把牢底座穿的危险获取些无关痛痒的金钱此之外还能做什么呢/p>

不错，这类烂人的确存在，我们也的确需要提防。但是，说一个安全软件公司偷窃用户隐私信么/p>

上市公司、资产以“xx亿美元”计！！！这样的公司会盗取用户隐私/p>

从犯罪学来讲，有一个重要的构成要素就是“动机”，那么请问，其动机何在呢/p>

我们要知道，这不仅仅是道德问题或方法问题，而是实实在在的犯罪，是会坐牢的！

当你有以亿计的美元时，你会有无数的合法途径得到你想要的任何东西，绝没有任何人会做这种风险与收益完全不相匹配的、且触犯法律的事情。

就像一个人捂着口袋里的200元RMB，不断的叫嚷着某某亿万富翁想要偷他的钱一样。是如此的可笑，其根本就不用脑子想一想，“风险”与“收益”的关系。

说句实在话，我们作为一个普通 民，还真没有什么值得人家偷的。

二、运行个程序、玩儿个游戏、打开个文件都会中毒/strong>

在QQ上 友传来一张照片“看看我漂亮不.jpg”，打开瞅了瞅，中毒了； 上购物，卖家发来张“样品图.jpg”，打开看看，中毒了；下载了个游戏，打开看了看，中毒了；下载了个程序，试了试，又中毒了。

这日子没法儿过了！

还让不让人活了/p>

怎么办是那句话“专业的事情交给专业的人来办”。

安全软件在这类事情中能起到什么作用呢/p>

首先，在文件传输到你的电脑上时，安全软件会对新进入的文件进行扫描，从中发现恶意的程序并提示清除。

这时候的扫描基本上都是基于特征的静态扫描，对已经被捕获过的病毒木马效果较好；当然，也有启发式的扫描来应对一些未知木马病毒。

而当你执行一个程序时，则会触发木马防火墙的防护机制，通过对执行程序行为的视别来判断其是否具有恶意。这种防护，有特征匹配但却并不依赖于特征匹配，对未知木马病毒的防护效果同样很好。

而对于未知的、尚未捕获过的新木马，业内通用的方法都是会上传回公司进行进一步的分析、定位及特征提取。

当你看到安全软件在上传文件“看看我漂亮不.jpg”时，会不会尖声大喊“安全公司在偷窃我的隐私”呢/p>

首先，建议你先不要叫，好好的用心想一想，人家偷你的照片干嘛呢道阁下真的英俊到了人见人爱、花见花开，导致千里之外、从未某面的安全公司的员工都对你迷恋不已至冒着犯罪的危险上传你的照片来收藏/p>

所以，遇事要三思，作为一个普通 民，我们不能决定什么，但也不能让别有用心的人当枪使。（谁是别有用心的人看后面“木马的绝地反击”那一章）

其次，这真的就是照片么根据什么认为这个文件就是照片呢字是图标者是“.jpg”这几个字符者你打开时真的看到了美女的照片/p>

哥很负责任的告诉你，即使亲眼看到的也不一定就是真实的。

不信么请看下面这个木马。

1、伪装图片木马

而如果它是一个真正的图片，那么我们看到的应该是“看看我漂亮不”而不是“看看我漂亮不.jpg”。因为“.jpg”也是已知的文件，默认是不显示的。

那我们打开那个文件时，真实的看到美女图了，又是怎么回事呢简单，木马在程序里捆绑了一张图片，在执行后把图片打开了而已。

就这么简单的一招，却让很多人确信那真的是张照片，中了木马而不自知。

2、捆绑型木马

下载了个游戏玩儿为什么也中了木马呢是捆绑型木马，捆绑类的工具很多，其特征就是把两个或更多的程序捆在一起，外表看起来就是一个程序。而当你打开这个程序时，捆绑在一起的几个程序，都会顺序得到执行。

所以，看起来你是下载并运行了一款游戏，其实，你也把与游戏程序捆绑在一起的木马程序下载并运行了起来。

3、进程防火墙是什么东东/p>

要明白这个，先要搞清楚“进程”是什么玩意儿，没什么复杂的，简单来说程序执行起来后就是一个“进程”。顾名思义，进程防火墙就是针对已经执行起来的程序进行扫描、检测、防护的一个功能，它是上面提到过很多次的“木马防火墙”的一部分。

也是上面两种木马的重要检测手段。

本来不准备说这个的，因为这个太技术化了，也没啥可说的，可有些别有用心的人把这个拿来说事，说进程防火墙监控用户电脑中程序的执行又是什么侵犯了隐私，我勒了个去的，这都哪儿跟哪儿啊！所以，只好单独开一节聊一聊这个了。

进程的监控与扫描是整个安全体系中非常重要的一部分，尤其是对付还未被安全公司捕获过的新木马时，这种不依赖于特征而基于行为的方法是很有效的。

而正因为其有效，才会被某些别有用心的人忌恨。

进程是隐私吗开个QQ跟美女A聊人生，那QQ进程是什么呢是这一行字符：”C:Program Files (x86)TencentQQBinQQ.exe”，你没看错，这并不仅仅是部分而是全部！

然后你跟美女聊烦了，又开始与帅哥B聊事业，那QQ的进程仍然是：”C:Program Files (x86)TencentQQBinQQ.exe”，不会多一个字符也不会少一个。

你浏览你的生活照，进程是：C:WindowsSystem32dllhost.exe；你观赏你的写真集，进程仍然是C:WindowsSystem32dllhost.exe。（系统进程：依OS的不同进程也会不同）

安全软件扫描、记录的就是这些很可能大多数非专业人士都看不懂的东西，你真的认为这些字符侵犯了你的隐私些真的是隐私确定果你仍然肯定的说“这就是隐私”，那我无比真诚的说“您去告他们吧”

其实说到底，还是“别有用心”这四个字，如果想让这些人满意，那么安全软件就什么都不能做。

但什么都不做这还是安全软件么么人才希望安全软件什么都不做，只是老老实实的在用户电脑中混日子呢/p>

安全软件，就像小区的保安，请来是保我们安全的，不是请来当大爷的。

结果刚做了点事儿，就随便来了个人跳出来高喊：“这保安有问题啊侵犯用户隐私啦，他在门口安了摄像头；他还对每个进出小区的陌生人员进行盘问，这不仅是侵犯隐私还侵犯人权啊”。

我们怎么办呢让保安把摄像头拆掉，不许再盘问进出的陌生人/p>