tag:blogger.com,1999:blog-38564685.post8244695733073442527..comments2024-03-29T07:06:38.438+08:00Comments on 電腦玩物: 幫瀏覽器裝上Dr.Web的網頁連結安全掃描功能Esor Huanghttp://www.blogger.com/profile/10426807330996372963noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-38564685.post-52246012562598656602007-09-24T13:04:00.000+08:002007-09-24T13:04:00.000+08:00作者已經移除這則留言。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-90191628838174543122007-09-03T22:34:00.000+08:002007-09-03T22:34:00.000+08:00HIPS概念雖然推出滿久了,畢竟普及度還不夠高,更不用說是純粹的HIPS軟體,對於一般用戶來說門檻可...HIPS概念雖然推出滿久了,畢竟普及度還不夠高,更不用說是純粹的HIPS軟體,對於一般用戶來說門檻可能過高。倒是TH3就是其中少數很適合一般人用的。期待它的正式版早日推出囉!到時後看看有沒有什麼可以寫的,再來給它介紹一次^^Esor Huanghttps://www.blogger.com/profile/10426807330996372963noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-90989380115170478812007-09-03T22:21:00.000+08:002007-09-03T22:21:00.000+08:00HIPS功能測試程式(感謝網友阿席達卡分享),刺激一下你的腎上腺分泌(冷……):滲透性HIPS測試S...HIPS功能測試程式(感謝網友阿席達卡分享),刺激一下你的腎上腺分泌(冷……):<BR/><A HREF="http://rapidshare.com/files/52795825/HIPS.zip.html" REL="nofollow">滲透性HIPS測試</A><BR/><A HREF="http://www.spycar.org/Spycar.html" REL="nofollow">SPYCAR測試網頁</A>(測試若被過系統會被修改,請用最底下的還原程式恢復)<BR/><BR/>共8+17項測試。這是測試HIPS對常見的間諜、廣告、流氓程式、木馬(前三者為主……吧)程式的攻擊方式有無辨識力。由於它們都會有類似惡意程式的行為,多數防毒軟體會將它們視為病毒,測試時要關閉防毒即時監控。兩者皆為具公信力之機構發出的測試軟體,理論上安全無虞(但是第二項真的會改系統,被過了一定得用官方程式還原)。TH 3 BETA有一個不能防,但是COMODO 2.4會抓到該動作。<BR/><BR/>請有意嘗試的網友不要用防毒軟體掃它然後很高興的認為你的防毒程式擋的下它,這是兩碼子事……<BR/><BR/>行者站長,看您的「24小時內熱門文章」讓我只能苦笑,因為HIPS對一般ADSL用戶的幫助遠大於FIREWALL,但是看COMODO那篇的人絡繹不絕,TH3門可羅雀……COMODO應該要發個獎牌給您,GOOGLE搜尋名次比他們公司網頁還高,不知道幫他們增進了多少知名度……只可惜台灣多數網路族對SSL加密傳輸的重要性不甚清楚,不然他們的生意大概能做到台灣。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-50067865730558713132007-09-02T14:13:00.000+08:002007-09-02T14:13:00.000+08:00喔,行者站長如果有要換上ANTIVIR Premium換換口味的話(應該可以直接灌,跟spyware...喔,行者站長如果有要換上ANTIVIR Premium換換口味的話(應該可以直接灌,跟spyware terminator不衝突就好),可以參考這裡的設定:<BR/><A HREF="http://avpclub.ddns.info/discuz/thread-1-1-1.html" REL="nofollow">http://avpclub.ddns.info/discuz/thread-1-1-1.html</A><BR/><BR/>因為那是半年多前的,我會建議把監控的啟發式偵測設中等,掃描設最高。一旦偵測到「HEUR/***」這樣的惡意程式,或是懷疑是誤報,可以用這個網址:<BR/><A HREF="http://analysis.avira.com/samples/index.php" REL="nofollow">http://analysis.avira.com/samples/index.php</A><BR/><BR/>把檔案回傳給AVIRA分析,通常3、4個小時內會有結果。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-67536885479251928942007-09-02T14:11:00.000+08:002007-09-02T14:11:00.000+08:00作者已經移除這則留言。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-86960778182042569982007-09-01T23:07:00.000+08:002007-09-01T23:07:00.000+08:00我其實有寫Cyberhawk的自訂規則範本:Cyberhawk_custom_rulesTH也完全一...我其實有寫Cyberhawk的自訂規則範本:<BR/><A HREF="http://homepage.ntu.edu.tw/~r94b43033/Cyberhawk_custom_rules.htm" REL="nofollow">Cyberhawk_custom_rules</A><BR/><BR/>TH也完全一樣,但是細節的斟酌修改我後來沒更新。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-70283911822167200792007-09-01T22:14:00.000+08:002007-09-01T22:14:00.000+08:00目前還有在用ThreatFire,改天來試試看這個規則,謝謝你的提供啦^^目前還有在用ThreatFire,<BR/>改天來試試看這個規則,<BR/>謝謝你的提供啦^^Esor Huanghttps://www.blogger.com/profile/10426807330996372963noreply@blogger.comtag:blogger.com,1999:blog-38564685.post-72671027533028829782007-09-01T22:02:00.000+08:002007-09-01T22:02:00.000+08:00Dr. WEB跟Mcafee的site advisor兩個FF extension我都用過。sit...Dr. WEB跟Mcafee的site advisor兩個FF extension我都用過。<B>site advisor</B>比較糟的一點是,除非你用GOOGLE看搜尋結果,不然<B>進網頁之後才能看到警告</B>。<BR/><BR/>這時候早中鏢了……<BR/><BR/>Dr. WEB的設計概念好很多,他是把網頁回傳用官方伺服器上的Dr. WEB防毒程式掃描。但是在論壇拿被舉報的惡意網頁實測,它對JS下載程式碼的偵測率很差,大陸的惡意網頁,或是台灣被駭客入侵種木馬的公司、公家機關網頁,幾乎都MISS。而iframe很難偵測這點XDITE大有提過,非戰之罪。寫這種下載碼難度不高,獲利豐富,不少人預測將是之後病毒主流之一。這是論壇轉載的<A HREF="http://avpclub.ddns.info/discuz/thread-4953-1-1.html" REL="nofollow">2007 AV-Comparatives測試結果</A>(跟Agrippa提供的是同一個),大家可以看看第三種「script virus/malware」的偵測率(Dr. WEB以59.64%的成績在該項墊底……)。<BR/><BR/>喔,KAV7沒看HIPS,所以偵測不到不代表防不了。NORTON偵測超強,但那是歐美區域,人家比較疏忽亞洲區,有點可惜。AVG是付費版,跟一般人常用的免費版有落差。<BR/><BR/>防毒軟體的HTTP SCAN就是用來防惡意網頁的,因為這些程式碼在瀏覽器中一解譯就會執行,針對存在硬碟內程式的一般即時監控無法有效防範。所以靠HTTP SCAN事先掃描要傳給瀏覽器的封包,先偵測,通過才交給FF或IE。<BR/><BR/>防毒的即時偵測其實也有一定的防禦能力。因為瀏覽器通常會把網頁存在暫存資料夾,這時形成的暫存檔就會受到防毒軟體即時偵測的掃描(如果有即時偵測的話),一旦跳警告的檔案是在這種資料夾就表示現在劉覽的網頁有問題,趕快把他關掉,手動掃描電腦。運氣好的話,JS執行會被干擾中斷,或是掃描能偵測到被下載的惡意程式。<BR/><BR/>ThreatFire這類HIPS好像可以偵測這種隱藏的自動下載動作,但是我不確定……原則上可以用自訂規則阻止任何執行檔(*.exe)從暫存資料夾執行,這樣就算惡意程式被JS downloader下載進網頁暫存資料夾,啟動時也會被擋下來。<BR/><BR/>我抄人家的規則(防JS在暫存資料夾執行,不是exe):<BR/>Prevent execution of scripts from the Temp folder<BR/><BR/>When cscript.exe or wscript.exe<BR/>tries to execute a file<BR/> named *.vbs<BR/> in **\*temp*\**\<BR/><BR/>cscript.exe和wscript.exe在\system32\裡有兩個,都選;共四個。S. Peterhttps://www.blogger.com/profile/10877323620831119384noreply@blogger.com