徐佳星

查看人人主页

拥有2个小站,订阅0个话题,关注35个小站

极昼

黑客暴利生意:一个黑客的自白

黑客暴利生意:一个黑客的自白

2011年12月21日上午,有黑客在网上公开了中国最大的开发者社区CSDN网站的用户数据库,600余万个注册邮箱账号和与之对应的明文密码泄露;12月22日,网上接着曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户账号密码遭公开泄露堪称中国互联网史上最大规模的用户信息泄密事件,再次让大家对黑客以及其背后的隐秘的... 阅读全文

2011年12月21日上午,有黑客在网上公开了中国最大的开发者社区CSDN网站的用户数据库,600余万个注册邮箱账号和与之对应的明文密码泄露;12月22日,网上接着曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户账号密码遭公开泄露堪称中国互联网史上最大规模的用户信息泄密事件,再次让大家对黑客以及其背后的隐秘的产业链产生了浓厚的兴趣。以下为一个黑客的口述。

盘下一家肯德基的“教主”

那个靠做黑色产业发家,后来洗白,花800万元盘下一家肯德基店的人,我们叫他教主。

教主是海南人,1987或者1988年出生,身材瘦小,皮肤偏黑。他年纪虽然小,但是舍得花钱,很大气,做事也很老到,2004年左右(16岁)看他跟人打交道就非常成熟,很难想象是什么情况造成他这种性格。

2003年年底,我加入了一个QQ群,那个群当时在技术性入侵领域很有影响力,无数人想进入,可以说是一位难求。群里的聊天记录每天能有3000页,大家都非常纯真,纯粹是为了交流技术。2004年,教主可能在黑客基地报名学了点简单的东西,但是学得又不太明白,他进入了这个群。在群里,我亲眼见他和群主讨价还价买卖17173(一个游戏门户网站)的权限,群主开价700元,教主说我就500元,一年半以后,同一个权限有人开价15万元购买。

那个时候,大家都没想到靠17173的权限还能赚钱,说白了,其实就是获得网站控制权,挂马,然后获得用户账号密码去网游《传奇》、《魔力宝贝》里盗号。后来我找人打听了一下,教主这单可能赚了两三万块钱。

教主真正开始立业,是在2004年时去做中国台湾的游戏市场,他是先行者。他自建渠道,跟台湾当地人合作,在盗取网游账号后,由当地人负责卖游戏装备,交易的钱被汇入当地人用假身份证开的账户里。从2004年下半年到2005年上半年,教主在台湾赚了估计能有500万元。台湾人被搞怕了,后来很多网站都禁止大陆人访问。后来教主又去做韩国和美国的游戏市场,等到他2008年洗白那会儿(20岁),赚了绝对不少于2000万元。他是一个很高调的人,经常在群里说他去哪个国家玩了,买了多少栋房子,买了什么车之类的。

教主的技术并不高超,但他有商业头脑。不从技术角度出发,纯讲入侵水平,国内黑客一直都不弱于世界顶尖国家,可能比美国、俄罗斯还要强,中国人能算计,在入侵思路方面比较聪明。

我亲眼见过一个例子。2004年年底,有个黑客端着笔记本电脑进了一家五星级酒店,第二天他出来的时候,电脑里存着这家酒店所有的客户数据。这是酒店竞争对手给他下的单子——把客户都抢过来。从谈判到见面交易我都陪他去,后来这批数据卖了129万元。

还有一件事也是我亲眼所见——在电商网站抢单。长沙有一帮人,在各大电商网站的数据库里装后门,实时在本地更新数据库或直接进入电商网站后台看数据。他们一般挑货到付款的顾客,只要一看到有人下单,立马在最短时间内发货,动作比电商网站的物流快,冒充该网站让顾客签收。等顾客下单的货真正到的时候,他肯定就拒收了。这伙人专挑服装、成人用品、减肥用品这些出货量大的品种,每个网站偷三五单,网站很难发现。但他们在四五十家网站偷,一年下来净利也有2000多万元。

比这更黑的生意是通过网银或信用卡偷钱,但也更危险。很少有人敢在国内做,我以前有两个手下因为做这个,现在还在牢里待着。我知道有个人在澳大利亚偷中国国内的网银,他雇了一些台湾人和香港人来大陆,每个月付他们一万块钱,让他们帮忙取他从别人网银账户里转过来的钱。他曾经截过一张图给我看,那是他弄到的一张银行卡的打款记录,卡主人每个月的打款金额都在1000万元左右,我记得很清楚有一笔是打给台湾一家唱片公司的,备注里写着“周杰伦演出费”。银行的U盾有没有用我不知道,我自己用的是工行网银,之前我试验了一下,至少一代U盾算法不强,是可以复制的。

网上流传赚5000万元的黑客我没见过,但赚1000万元的不少,我在北京有很多这样的朋友,他们大多没有正经工作,也不出名。但说句实在话,他们都是打工的人,这条产业链上真正的大鱼是渠道商。有人给渠道商下单了,他们就会雇一些人来找黑客谈价钱,这都指不定倒几次手了,可惜我没有接触过渠道商。

中国黑客在韩国闹得也很厉害,韩国现在被搞得比台湾当年还要风声鹤唳草木皆兵。我手里有4000万韩国网民的数据(2011年韩国人口总数5051.5万),而且他们实行实名制。

黑客圈生态

我是上大学以后接触黑客圈的。我遇到了很多拿个简单工具到处攻击的菜鸟黑客,我在研究他们的同时对黑客技术也有了些兴趣,心想“不过如此”,之后我就开始自己下载工具,给别人装个木马闹着玩,吓唬吓唬对方。再往深里研究,我慢慢接触到了一些扫描器、入侵工具,自己也到处看一些相关的原理,因为我大学读的是数学,跟计算机关系比较大,一年之后,我差不多把入侵需要的东西全学会了。那时候我就算是圈里人了,每天跟一个小团体在一起探讨技术。

后来,有一个叫孤独剑客的人开了一个网站“黑客基地”,我就去聊天室里当讲师,给别人做VIP培训,讲入侵,每周一节课,他们一节课给我200块钱。那个时候也没有什么法律观念,每节课都拿别人的网站做试验。比如这节课我要讲这个漏洞,我就去找符合条件的网站,先把漏洞留好,讲课的时候现场入侵,一步步解说,工具发下去之后再把步骤说一遍。当时祸害了不少网站,我印象里有网易的分站。

但实际上入侵靠的是经验,灵活应对各种情况,比如快速判断这个地方会不会出现弱口令、有没有验证等。技术手段说白了,如果天天学的话,两三个月足够。现在高明的攻击手都不会那么累,他会使用社会工程学的一些方法,比如他通过跟你聊天知道了你们公司的部门组成,如果你们是按部门排座位的话,他接着就能推算出你们的网络构架,他的攻击能变得更加精准;再比如他通过挂马获得了你们老板邮箱的账号密码,他用这个邮箱给你们的同事发一封邮件,要求获得网络管理员的账号密码,基本员工都会中招。当然,技术高超的攻击手能解决一些更复杂的问题。

挖掘漏洞的人是我最佩服的,因为他直面系统。这是一个非常非常枯燥、我看见就想吐的活儿。圈里有名的一位挖掘者,三个月不出门,全吃方便面。所以擅长挖掘漏洞的人都不擅长入侵,因为他没时间。

黑客圈其实也是拼人脉的,因为得拿到漏洞才能由程序员去制作入侵工具,你人脉广,才有人愿把漏洞送给你或跟你交换。圈里把没公布的漏洞叫0DAY,如果刚好赶上这个网站有0DAY漏洞,也许我一秒钟就能把它搞定。一个0DAY漏洞能换50个普通漏洞,拿去卖市价可能有几十万元,还有一些女黑客为了骗0DAY漏洞情愿跟人上床,所以圈里人也把我们这个圈叫“娱乐圈”。

我在“黑客基地”讲了半年课,技术提升比较快,因为给别人讲东西自己得先会,一些以前没注意的东西,在讲课的过程中重新学习到了,慢慢地我在圈里有了些名气。大学最后一年,我想赚点钱,刚好有人给我下单子,让我去一个全国性网站挂马。他收我“信封”(一个账号加一个密码叫一封信),一封一块钱,我一周大概有700-800元的收入。然后,他拿这些账号密码去《传奇》里面撞库盗号。

2004年,我从河南、安徽、广东、辽宁一共凑了9个人组成工作室,我们租了个100平方米的房子弄成上下铺,两个带媳妇的住两间,剩下5个人住单间。我们分头去攻击网站,靠得来的账号密码去网游里盗号。我们中有人能挖浅显的漏洞,但系统漏洞挖不了,写程序的也不多,入侵工具我们宁愿去买,稳定性比自己做的好些。我们当时还特意分出来一个女生管后勤。

2005年左右,我不太想做这个了,圈子里其实很多人都在偷偷摸摸地做,但都不好意思说出来,怕别人鄙视,说你怎么玷污了我们的精神?那个时候大家还信奉有什么东西就得公布出来共享,入侵一个站点大家一起玩。其实我自己也是那种很纠结的心理,搞技术的还靠这个赚钱?但后来发现,都他妈有人赚几百万了,我想想,还是偷摸着回去搞吧。

黑客产业在2006年的时候最凶猛,国内国外都凶猛,韩国、巴西、越南的网游市场都被中国黑客搞过,我记得我还搞过马来西亚的。后来有个国内网游公司的工作人员跟我说,马来西亚市场运营得不怎么好,自从某月被批量盗号后就不行了,我心想这事儿我多亏没跟你说。马来西亚代理公司的老板给我打电话,说我每个月固定给你钱,你别搞我们了,我们也快不行了??那时候法律还没管到这块,他抓不了我。

我做这行属于断断续续的,比如这个月赚了50万元,那我就出去玩,花光了回来再做,如果按全工作时算,前后可能也就干了三四个月,加起来也就赚了200来万元。这种钱花得可真快,动动鼠标就得到的我不会珍惜,我和女朋友出去玩都是住五星级酒店,有时候懒了经常跨省打车。

没有信仰,只有丧心病狂

从中国有黑客开始,我就开始接触到一些网站的用户账号密码库,它们明文保存密码,真是脑残的行为。但以前我都是乱扔,新浪、天涯的我都直接删了,心想哪有硬盘存这些东西,那时候没有远见能看到这些也是能卖钱的。

中国黑产圈子里的人有些丧心病狂了,讲道义、讲信用的人很少,大家都没有信奉的规则,明的暗的都没有。中国为什么没有维基解密?因为大家都没有信仰再加上文化程度低,很多人连世界观、价值观都没了,当他们碰上法律不健全、看似自由的网络世界,这个圈子能变成什么样子可以想见。

当年我做黑产的时候,经常几个人在一起讨论:哎呀,真堕落啊,我们干这个!但年轻人,没有那么多是非观念,我们甚至在盗取一个网游账号后会这样安慰自己:又拯救了一个网瘾少年!

我现在也没什么理想和信仰了,以前还会有一种精神,想在中国黑客圈占有一席之地,我分享一些东西,让大家觉得你这人值得尊敬,我会有一种成就和满足感。但是2006年之后,这个世界就变了,从业者增加了,我现在认识的这些人,基本都是在2005年之前就接触过,2005年之后才进入的,我一个都不认识。

CSDN树大招风,它的数据库当年人手一份。今年年初我开始有意收集能接触到的各个数据库,想着以后还能写本书,证明自己当年也牛逼过。当时有人想50万元预订我这些库,我说不卖,我知道你想干嘛,不就是写个程序然后找网游挨个盗号嘛。所以这次账号密码大规模泄露,还代表着新一轮的网游盗号狂潮要到来。

我还是怀念当初的那种日子,去名人的邮箱、网站看看,在群里贴贴王力宏的ICQ聊天记录,能知道别人不知道的信息就是一件很幸福的事情。

收起全文

极昼

图灵测试

图灵测试(又称&图灵判断&)是图灵提出的一个关于机器人的著名判断原则。所谓图灵测试是一种测试机器是不是具备人类智能的方法。被测试的有一个人,另一个是声称自己有人类智力的机器。提出的原因一种测试机器是不是具备人类智能的方法。如果说现在有一台电脑,其运算速度非常快、记忆容量和逻辑单元的数目也超过了人脑,而且还为这台电脑编写了许多智能化的程序,并提供了合适种类的大... 阅读全文

 

  

图灵测试(又称“图灵判断”)是图灵提出的一个关于机器人的著名判断原则。所谓图灵测试是一种测试机器是不是具备人类智能的方法。被测试的有一个人,另一个是声称自己有人类智力的机器。

 

提出的原因

一种测试机器是不是具备人类智能的方法。如果说现在有一台电脑,其运算速度非常快、记忆容量和逻辑单元的数目也超过了人脑,而且还为这台电脑编写了许多智能化的程序,并提供了合适种类的大量数据,使这台电脑能够做一些人性化的事情,如简单地听或说。回答某些问题等。那么,我们是否就能说这台机器具有思维能力了呢?或者说,我们怎样才能判断一台机器是否具存了思维能力呢?  为了检验一台机器是否能合情理地被说成在思想,人工智能的始祖阿兰·图灵提出了一种称作图灵试验的方法。此原则说:被测试的有一个人,另一个是声称自己有人类智力的机器。测试时,测试人与被测试人是分开的,测试人只有通过一些装置(如键盘)向被测试人问一些问题,这些问题随便是什么问题都可以。问过一些问题后,如果测试人能够正确地分出谁是人谁是机器,那机器就没有通过图灵测试,如果测试人没有分出谁是机器谁是人,那这个机器就是有人类智能的。目前还没有一台机器能够通过图灵测试,也就是说,计算机的智力与人类相比还差得远呢。比如自动聊天机器人。同时图灵试验还存在一个问题,如果一个机器具备了“类智能”运算能力,那么通过图灵试验的时间会延长,那么多长时间合适呢,这也是后继科研人员正在研究的问题。

 

图灵测试的提出

1950年,图灵来到曼彻斯特大学任教,同时还担任该大学自动计算机项目的负责人。就在这一年的十月,他又发表了另一篇题为《机器能思考吗?》的论文,成为划时代之作。也正是这篇文章,为图灵赢得了一顶桂冠——“人工智能之父”。在这篇论文里,图灵第一次提出“机器思维”的概念。他逐条反驳了机器不能思维的论调,做出了肯定的回答。他还对智能问题从行为主义的角度给出了定义,由此提出一假想:即一个人在不接触对方的情况下,通过一种特殊的方式,和对方进行一系列的问答,如果在相当长时间内,他无法根据这些问题判断对方是人还是计算机,那么,就可以认为这个计算机具有同人相当的智力,即这台计算机是能思维的。这就是著名的“图灵测试”(Turing Testing)。当时全世界只有几台电脑,其他几乎所有计算机根本无法通过这一测试。但图灵预言,在20世纪末,一定会有电脑通过“图灵测试”。目前为止还没有电脑通过图灵测试。美国科学家兼慈善家休·勒布纳20世纪90年代初设立人工智能年度比赛,把图灵的设想付诸实践.比赛分为金、银、铜三等奖。

 

示范性问题

图灵采用“问”与“答”模式,即观察者通过控制打字机向两个测试对象通话,其中一个是人,另一个是机器。要求观察者不断提出各种问题,从而辨别回答者是人还是机器。图灵还为这项测试亲自拟定了几个示范性问题:  

问: 请给我写出有关“第四号桥”主题的十四行诗。  

答:不要问我这道题,我从来不会写诗。  

问:34957加70764等于多少?  

答:(停30秒后)105721  

问:你会下国际象棋吗?  

答:是的。  

问:我在我的K1处有棋子K;你仅在K6处有棋子K,在R1处有棋子R。现在轮到你走,你应该下那步棋?  

答:(停15秒钟后)棋子R走到R8处,将军!  

 

图灵指出:“如果机器在某些现实的条件下,能够非常好地模仿人回答问题,以至提问者在相当长时间里误认它不是机器,那么机器就可以被认为是能够思维的。”

从表面上看,要使机器回答按一定范围提出的问题似乎没有什么困难,可以通过编制特殊的程序来实现。然而,如果提问者并不遵循常规标准,编制回答的程序是极其困难的事情。例如,提问与回答呈现出下列状况:  

问:你会下国际象棋吗?  

答:是的。  

问:你会下国际象棋吗?  

答:是的。  

问:请再次回答,你会下国际象棋吗?  

答:是的。  

 

你多半会想到,面前的这位是一部笨机器。如果提问与回答呈现出另一种状态:  

 

问: 你会下国际象棋吗?  

答:是的。  

问:你会下国际象棋吗?  

答:是的,我不是已经说过了吗?  

问:请再次回答,你会下国际象棋吗?  

答:你烦不烦,干嘛老提同样的问题。  

 

那么,你面前的这位,大概是人而不是机器。上述两种对话的区别在于,第一种可明显地感到回答者是从知识库里提取简单的答案,第二种则具有分析综合的能力,回答者知道观察者在反复提出同样的问题。“图灵测试”没有规定问题的范围和提问的标准,如果想要制造出能通过试验的机器,以我们现在的技术水平,必须在电脑中储存人类所有可以想到的问题,储存对这些问题的所有合乎常理的回答,并且还需要理智地作出选择。

图灵测试背景

英国数学家阿伦.图灵1950年提出了一个测试标准,来判断电脑能否被认为是“能思考”。这个测试被称为图灵测试,现在已被多数人承认。

所谓图灵测试是一种测试机器是不是具备人类智能的方法。被测试的有一个人,另一个是声称自己有人类智力的机器。测试时,测试人与被测试人是分开的,测试人只有通过一些装置(如键盘)向被测试人问一些问题,这些问题随便是什么问题都可以。问过一些问题后,如果测试人能够正确地分出谁是人谁是机器,那机器就没有通过图灵测试,如果测试人没有分出谁是机器谁是人,那这个机器就是有人类智能的。目的还没有一台机器能够通过图灵测试,也就是说,计算机的智力与人类相比还差得远呢。

要分辨一个想法是“自创”的思想还是精心设计的“模仿”是非常难的,任何自创思想的证据都可以被否决。图灵试图解决长久以来关于如何定义思考的哲学争论,他提出一个虽然主观但可操作的标准:如果一台电脑表现(act)、反应(react)和互相作用(interact)都和有意识的个体一样,那么它就应该被认为是有意识的。消除人类心中的偏见,图灵设计了一种“模仿游戏”即现在说的图灵测试:远处的人类测试者在一段规定的时间内,根据两个实体对他提出的各种问题的反应来判断是人类还是电脑。通过一系列这样的测试,从电脑被误判断为人的几率就可以测出电脑智能的成功程度。

图灵预言,到2000年将会出现足够好的电脑,能够在不超过7成人的长达5分钟的提问中全部回答正确。成功通过图灵测试的电脑还没有,但已有电脑在测试中“骗”过了测试者。最终将会出现能够骗过大多数人的电脑吗?这让我想起前几年IBM公司研制的计算机“深蓝”与国际象棋世界冠军卡斯帕罗夫进行的那场人机大战,最终以“深蓝”战胜卡斯帕罗夫而宣告结束,让我们不得不佩服图灵的天才预言。

 

收起全文

极昼

详解账号泄露全过程:1亿用户已泄露

腾讯科技讯(娄池)12月28日消息,2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发,其后的48小时,中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。 龚蔚表示,本次黑客公布的用户账号约为1亿个用户账号及密码相关信息,预计地下黑客掌... 阅读全文

腾讯科技讯(娄池)12月28日消息,2011年12月19日有着中国黑客教父之称的goodwell龚蔚在其腾讯微博发表了一篇微博再次指出互联网信任危机一触即发,其后的48小时,中国互联网迎来了历史上最大的灾难性的安全事件。腾讯科技特邀请龚蔚从专业角度对本次事件进行深度解析。

龚蔚表示,本次黑客公布的用户账号约为1亿个用户账号及密码相关信息,预计地下黑客掌握了更多的互联网用户账号信息,本次泄露及公布的与实际被黑客掌握的用户账号数相比只是冰山一角,预计有将近4到6亿的用户账号信息在黑客地下领域流传(2011年互联网数据统计,中国互联网网民为4.8亿),这次被黑客公布爆库的网站数据信息只是黑客地下流传的极少一部分。

他透露,其中有相当一部分网站采用明文方式存储用户密码,分析预计约有2亿的用户密码为明文存储。其余90%以上的网站采用公开的MD5算法对用户密码进行存储,通过简单的彩虹表碰撞(一种加密密码破解的方法)可以在数秒钟内破解加密存储的密码。

以下为本次账号泄露的基本时间表:

12月21日:CSDN 640W用户帐户,密码,邮箱遭到黑客泄露

12月22日:中国各大知名网站全面沦陷.涉及范围甚广,泄露信息涉及用户相关业务甚多.... 一场席卷全中国的密码安全问题爆发了....

12月23日:经过确认 CSDN 泄露 多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露

12月23日:网友爆料 天涯沦陷...7K7K包中包含天涯帐户密码!!!互联网安全何在???

12月24日:178沦陷 UUU9沦陷 事态蔓延...

12月24日:天涯全面沦陷 泄露多达900W帐户信息...

12月24日:网易土木在线也沦陷,数据量惊人...

12月25日:百度疑因帐号开放平台泄露帐户信息...

12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信息全部泄露...

12月25日:UUU9.COM被黑客两次拖库..

12月25日:事态升级天涯疑泄露4000W用户资料

12月25日:178第二次被拖库泄露数据110W条

12月25日:木蚂蚁被爆加密密文用户数据,约13W数据

12月25日:知名婚恋网站5261302条帐户信息证实...

12月26日:myspace泄露,迅雷又成功离线3个泄露包!

12月26日:ispeak泄露帐户信息 已验证!请官方通知会员修改密码!

12月26日:网络流传包17173.7z中17173.0为178帐户信息,178惨被拖库3次

12月26日:网络流传包17173.7z中17173.3为UUU9.COM帐户信息,泄露数据不详

12月26日:塞班智能手机网校验准确率高达70%!!或塞班智能手机网沦陷

12月27日:网易土木论坛通过碰撞分析密码,用户资料全部属实!共计135文件,4.31G 资料泄露时间疑为2011-07-09 15:09:11(已论坛发帖通知,厂商未回应.)

12月27日:178.com彻底沦陷,共计泄露超出1100W+ 数据!

12月27日:766验证泄露,泄露数据十余万!

12月27日:ys168验证泄露,泄露数据三十余万!

12月27日:凡客20W 当当10W 卓越20W 用户资料验证泄露

12月28日:太平洋电脑泄露200W用户资料包含用户帐户

12月28日:大学数据库泄露,身份证信息泄露,更为敏感内容糟骇客泄露,泄露数据不详,只能靠截图揣摩!

以下为本次账号泄露情况的基本信息表:

CSDN共计泄露640万个帐号,泄漏信息:帐号、明文密码、电子邮件;

多玩:共计泄露800万个帐号,泄漏信息:帐号、MD5加密密码、部分明文密码,电子邮件,多玩昵称;

178.COM:共计泄露188万个账号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、178昵称(178账户通用NGA)

天涯:共计泄露4000万个帐号(预计超过4000W数据),泄漏信息:帐号、明文密码、电子邮件

人人网:共计泄露500万个帐号,泄漏信息:明文密码、电子邮件

UUU9.COM:共计泄露700万个帐号,泄漏信息:帐号、MD5加密密码、全部明文密码、电子邮件、U9昵称

网易土木在线:约4.3GB 137个文件,泄漏信息:帐号、MD5加密密码、其他相关数据

梦幻西游:约1.4G(木马盗取),泄漏信息:帐号、邮箱、明文密码、角色名称、所在服务器、最后登陆时间、最后登陆IP。

北京麒麟网信息科技有限公司:共计泄露9072966个帐号,泄漏信息:帐户、明文密码

知名婚恋网站:共计泄露5261302个帐号,泄漏信息:帐户、明文密码

Ispeak.CN:共计泄露1680271个帐号,泄漏信息:帐户、明文密码、昵称

木蚂蚁:共计泄露13W帐号,泄漏信息:帐户、加密密码、数据库排序ID、其他信息

塞班论坛:共计泄露约140W帐号 泄漏信息:帐户、明文密码、电子邮箱

766.COM:共计泄露约12W帐号,泄漏信息:帐户、md5(md5(pwd).salt)密码、salt、电子邮箱、数据库排序ID

ys168:共计泄露约30W帐号,泄漏信息:帐户、明文、电子邮箱

当当:共计泄露约10W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话

凡客:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话

卓越:共计泄露约20W用户资料,泄漏信息:真实姓名、电子邮件、家庭住址、电话

谁是幕后的主谋?

龚蔚认为,从某种意义上说任何一个安全厂商都可能是事件之后直接的利益获得者,首次公布CSDN泄密信息为金山一个不知名的技术人员,但事件的第一个出场人物不是这些数据的最早拥有者,且就算凭借他的一己之力也不可能掌握如此庞大的数据,面对事件带来的极大社会影响谁都可以预知,显然作为长期站在黑客对立面的商业公司肯定不愿意搅这趟浑水。他表示,从技术分析,一个或者几个联合体的黑客团队完全可能掌握这些庞大的地下信息,但是公布这些信息显然是对他们没有任何价值的,就目前来看还没有一个黑客团队公布对该事件的任何信息,公布近亿的用户数据就为了一个出名显然不可能。他认为这次得信息泄露就是一场蝴蝶效应,当一部分密码被泄露后,一方面用户首先会做的就是更改他所有网站的密码,而另一方面对于黑客来说,他以前掌握的这些用户账号密码但来自于其他不同的网站,当黑客发现他们的密码将不再有任何的价值和意义时,随即娱乐大众拿出自己掌握的数据来与大家分享一下,用黑客那种独有的桀骜不驯的性格愚弄和嘲讽这些所谓的门户网站。这是一种连锁反应。


产业链解析

龚蔚称,黑客地下产业细分很明确,一旦获得用户账户信息(黑客们习惯称为刷库),将进行流水化的洗库工作,庞大的群体等待着这些账户密码(黑客俗称洗库),下线洗库的首先判断是否可以登录其他所有的将近500个大型网站,然后分门别类的区分出不同的账号价值,比如短位QQ账号(5位6位的QQ号),带有虚拟币的系统比如支付宝系统,网游系统,通过第一次的刷库将其最直接的虚拟币或游戏账号进行转移,第二梯队根据刷下的库对用户账户信息进行筛选,将用户的一些基本信息进行保存,比如密码习惯,找回密码的答案,然后再根据这些信息去尝试用户其他的账户,同时进行二次刷库。掌握某些网站的关键维护人员的用户账号信息后,他们的密码很可能就是某些网站的维护密码,这为刷库的黑客带来了更多的入侵机会,他们将会尝试这些管理员的密码扩大入侵的范围,(黑客俗称“社会工程学破解”)。龚蔚表示,更多的产业链在等着这些刷库工作者,用户数、游戏运营商需要注册用户数,广告商要用户数,刷库的可以在短时间内将任何有需求的注册用户数提升上去,而且都是真实的用户。他透露,更为可怕的是,根据数据库可以判断出账户的社会关系,如果一个密码数据库里只有5个人用,那就是马甲了。如果一个邮件后缀只有30个用户那你们就是某种特定关系的朋友或者是同事。一个IP用户不同账号同时发了几次微博,那你一定离得很近。如果一个密码找回的问题有着同样的答案且不多过10个重复率,那你们之间一定有联系。还有更多的黑客分析算法,目的只有一个这将作为下一个产业链的开始,可以是诈骗,可以是敲诈。因为他知道网民背后所有的秘密。他介绍,就算最后所有的价值都被榨取完了,这些账号还是有利用价值的,这些信息将被无情的低价倒卖给一些专门发送垃圾邮件,垃圾广告的群体,你的每一次点击将会给他带来1毛钱的收入。注:产业链部分可参考腾讯科技系列独家稿件《黑客揭秘帐号泄露:隐私被多次售卖鸣谢COG论坛组织者,黑客元老龚蔚goodwill接受腾讯科技专访。

收起全文

极昼

CSDN数据库被爆 统计CSDN用户都喜欢哪些密码

今天有黑客在网上公开了知名网站CSDN的用户数据库,这是一次严重的暴库泄密事件,涉及到的账户总量高达600万个。有人写了一个小程序,统计了这次公布的 6428632 个 CSDN 哪些密码出镜率较高?统计结果显示有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。重复次数 密码 百分比501 qwe... 阅读全文

今天有黑客在网上公开了知名网站CSDN的用户数据库,这是一次严重的暴库泄密事件,涉及到的账户总量高达600万个。有人写了一个小程序,统计了这次公布的 6428632 个 CSDN 哪些密码出镜率较高?统计结果显示有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23万5千人使用它作为密码。

 

重复次数 密码 百分比

501 qwerasdf (0.0124073903469017)

504 computer (0.012481686097482)

519 zxczxczxc (0.0128531648503832)

521 dddddddd (0.0129026953507701)

525 299792458 (0.0130017563515437)

532 135792468 (0.0131751131028976)

535 20082008 (0.0132494088534779)

536 369369369 (0.0132741741036713)

553 5845211314 (0.0136951833569594)

556 yangyang (0.0137694791075396)

559 csdncsdn (0.0138437748581199)

559 google250 (0.0138437748581199)

561 woaini520 (0.0138933053585067)

562 zhang123 (0.0139180706087001)

562 1234567b (0.0139180706087001)

565 wocaonima (0.0139923663592804)

567 1233211234567 (0.0140418968596672)

567 9876543210 (0.0140418968596672)

570 qaz123456 (0.0141161926102475)

571 q123456789 (0.0141409578604409)

572 321654987 (0.0141657231106343)

578 369258147 (0.0143143146117948)

585 aaa123456 (0.0144876713631487)

589 1357924680 (0.0145867323639224)

592 123321aa (0.0146610281145026)

601 25257758 (0.0148839153662434)

608 wojiushiwo (0.0150572721175973)

616 ssssssss (0.0152553941191446)

618 qazwsx123 (0.0153049246195315)

621 123456aaa (0.0153792203701117)

623 1234567a (0.0154287508704985)

642 z123456789 (0.0158992906241735)

649 woainima (0.0160726473755274)

650 44444444 (0.0160974126257208)

651 buzhidao (0.0161221778759142)

657 ffffffff (0.0162707693770747)

669 100200300 (0.0165679523793957)

680 12345679 (0.0168403701315233)

685 12369874 (0.0169641963824904)

693 1122334455 (0.0171623183840377)

702 111111 (0.0173852056357785)

708 woaini123 (0.017533797136939)

713 qwe123456 (0.017657623387906)

726 xiaoxiao (0.0179795716404205)

727 123456654321 (0.0180043368906139)

729 woshishui (0.0180538673910007)

732 12301230 (0.018128163141581)

740 1234554321 (0.0183262851431283)

741 5201314520 (0.0183510503933217)

744 12345612 (0.018425346143902)

765 lilylily (0.0189454163979637)

770 123456asd (0.0190692426489308)

772 10101010 (0.0191187731493176)

777 1q2w3e4r5t (0.0192425994002847)

783 11235813 (0.0193911909014452)

805 12345600 (0.0199360264057004)

835 11111111111111111111 (0.0206789839115029)

847 wwwwwwww (0.0209761669138239)

852 0987654321 (0.0210999931647909)

882 5845201314 (0.0218429506705934)

882 zxcvbnm123 (0.0218429506705934)

892 kingcom5 (0.0220906031725276)

894 123456987 (0.0221401336729144)

910 05962514787 (0.0225363776760091)

920 321321321 (0.0227840301779433)

967 woaiwojia (0.0239479969370339)

975 1qazxsw2 (0.0241461189385812)

988 123qweasd (0.0244680671910956)

991 1234abcd (0.0245423629416759)

1003 woaini1314 (0.0248395459439969)

1037 12345678a (0.025681564450573)

1054 q1w2e3r4 (0.0261025737038611)

1058 asdfghjk (0.0262016347046348)

1109 1123581321 (0.027464662464499)

1111 123698745 (0.0275141929648858)

1119 asdf1234 (0.0277123149664332)

1136 521521521 (0.0281333242197213)

1148 147852369 (0.0284305072220423)

1183 123456qq (0.0292972909788118)

1200 3.1415926 (0.0297183002320999)

1206 qweqweqwe (0.0298668917332604)

1214 111222333 (0.0300650137348078)

1245 zzzzzzzz (0.0308327364908037)

1268 ms0083jxj (0.0314023372452523)

1273 11112222 (0.0315261634962193)

1285 code8925 (0.0318233464985403)

1316 qweasdzxc (0.0325910692545363)

1339 77777777 (0.0331606700089848)

1384 asd123456 (0.0342751062676886)

1480 qwer1234 (0.0366525702862566)

1589 33333333 (0.039351982557339)

1652 55555555 (0.0409121933195242)

1652 741852963 (0.0409121933195242)

1656 963852741 (0.0410112543202979)

1699 520520520 (0.0420761600786148)

1854 123456123456 (0.0459147738585944)

1859 999999999 (0.0460386001095615)

1859 123456aa (0.0460386001095615)

1891 99999999 (0.0468310881157508)

1918 asdfasdf (0.047499749870973)

1971 aa123456 (0.0488123081312241)

1986 123456789a (0.0491837868841254)

1989 qwertyui (0.0492580826347056)

2100 1234qwer (0.0520070254061749)

2106 a1234567 (0.0521556169073354)

2113 123456123 (0.0523289736586893)

2131 123456 (0.0527747481621708)

2138 a12345678 (0.0529481049135247)

2160 abc123456 (0.0534929404177799)

2166 123321123 (0.0536415319189404)

2243 22222222 (0.0555484561838334)

2296 asdasdasd (0.0568610144440845)

2348 110110110 (0.0581488074541422)

2380 12341234 (0.0589412954603315)

2396 abcd1234 (0.0593375394634262)

2515 qazwsxedc (0.0622846042364428)

2540 12121212 (0.0629037354912782)

2573 123654789 (0.0637209887476609)

2578 0123456789 (0.063844814998628)

2580 123456abc (0.0638943454990148)

2796 1q2w3e4r (0.0692436395407928)

2826 asdfghjkl (0.0699865970465953)

2885 0000000000 (0.0714477468080069)

2985 12344321 (0.0739242718273486)

3061 31415926 (0.0758064308420482)

3080 iloveyou (0.0762769705957231)

3094 qq123456 (0.076623684098431)

3143 qwertyuiop (0.0778371813579084)

3175 000000000 (0.0786296693640977)

3277 qqqqqqqq (0.0811557248838262)

3281 87654321 (0.0812547858845999)

3501 password (0.0867031409271515)

3610 789456123 (0.0894025531982339)

3649 xiazhili (0.0903683979557772)

3667 1qaz2wsx (0.0908141724592587)

4096 11223344 (0.101438464792234)

4435 a123456789 (0.109833884607803)

5025 66666666 (0.124445382221918)

5145 1111111111 (0.127417212245128)

5459 aaaaaaaa (0.135193500805861)

5553 987654321 (0.137521434324042)

5965 147258369 (0.14772471740373)

6995 111111111 (0.173232925102949)

15033 88888888 (0.372296006157632)

17790 1234567890 (0.440573800940881)

19986 123123123 (0.494958290365624)

34952 00000000 (0.865595024760297)

46053 dearbook (1.14051406715741)

76346 11111111 (1.89072779126658)

212749 12345678 (5.26878221339919)

235012 123456789 (5.82013097845522)

收起全文

极昼

程序员的本质

程序员的本质

程序员的本质 很多人认为计算机变得如此智能,所以在不久的未来将不再需要程序员。另外一些人认为程序员是天才,他们在电脑前能不断地解决复杂的数学难题。甚至不少程序员对他们是做什么的都没有清晰的概念。在这篇文章中,笔者想给不知情的人解释一下程序员到底是做什么的。   程序员是将人类想法翻译成计算机语言的译者。 ... 阅读全文

程序员的本质

 


很多人认为计算机变得如此智能,所以在不久的未来将不再需要程序员。另外一些人认为程序员是天才,他们在电脑前能不断地解决复杂的数学难题。甚至不少程序员对他们是做什么的都没有清晰的概念。在这篇文章中,笔者想给不知情的人解释一下程序员到底是做什么的。

 

  程序员是将人类想法翻译成计算机语言的译者。

  他们是两种世界之间的纽带。你认为维护这个纽带很容易吗?

translator

  人类世界的背景

  The problem with people is that they’re only human. – Bill Watterson
  人类的问题是,他们只是人而已。——比尔·沃特森

  人类是生物进化的产物,并且拥有独特而宝贵的器官——大脑,它能为程序员提供想法。大脑有组合复杂的新大脑皮层(对人类而言是独特的),还有从 哺乳动物和爬行动物继承的旧结构。旧的大脑结构主要负责生殖(性)和生存(寻找食物或者躲避危险)。新大脑皮层进化成能够更好地支持这些功能,但是,它开 始产生奇怪的副作用——意识、思考和好奇心。幸亏这些副作用的影响,人类产生了文明并在数千年后发明了计算机。

  一些人相信经过数千年的发展,人类应该变成完全沉闷的、理性的、可预测的生物,但是这并没有发生。人类旧的大脑结构、复杂的心理和社会行为往往 使人们不理性,不可预测并带有欺骗性。并且,人类有糟糕的记忆力、强烈的情感和个人兴趣。但是,程序员没法选择与更理性的物种工作,他们不得不与人类共事 并且把人类的想法翻译成计算机语言。

  计算机世界背景

  Part of the inhumanity of the computer is that, once it is competently programmed and working smoothly, it is completely honest. – Isaac Asimov
  计算机非人性的一部分表现是,一旦完成编译并且顺利运行,它将忠实地完成工作。——艾萨克·阿西莫夫

  计算机是人类文明的最佳发明。它由CPU、主板、内存、硬盘驱动器、显示器和其他部分构成。计算机将我们的文明推入一个新的水平,使我们的生活 更有意义并充满乐趣,还弥补了我们大脑的缺陷。很可能计算机比人类更聪明。(不过,我有点关心如果这成为现实后,计算机还需要人类程序员吗?)

  现代计算机具有完全逻辑性、直接性和顺从性。如果你知道它应该做什么并且知道如何命令它,那么和计算机一起工作是快乐的。唯一的问题是,计算机只会做你告诉它去做的。因此,你应该有清晰的思路并且在见你的上司或客户时保证计算机不出岔子。

  在人类和计算机之间的翻译

  翻译中会遇到三个主要的挑战:

1. 语言歧义。人类语言是模糊、复杂并且双关的,例如:“这个程序不能提供良好的用户体验”。文化、背景和上下文语境都会对沟通和含义造成影响。与之相反,所有计算机语言都是准确、直接的,与上下文无关。
2. 细节层次。人类的沟通是笼统而不带有过多细节的,例如:“我想让这该死的程序运行起来”。这样可以节省时间与精力,但由于缺少详细信息,会产生两个比较大的问题——误解和不确定性。而计算机需要所有细节——每件事都要说清楚。
3. 思维模式。人类习惯于思考需求、结果与解决方案之间的关系,例如:“这份报告应该在2秒内运行,而不是2个小时”。然而,计算机需要算法——按照步骤去达到想要得到的结果。

 

  为了写出优秀的软件,程序员们必须克服这些困难,理解人们的想法并将之转换成计算机语言。

  一名优秀程序员所具备的能力
  我们可以看到,一名优秀程序员应该具备应付两个不同世界的两套技能。

  理解人类的需求并提出解决方案:

1. 沟通——与人建立联系的能力,能够同他人亲密的交谈,并有勇气去尝试分享自己的观点。
2. 意图——从谈话中提取有用的信息,理解并使之有意义。
3. 逻辑——为不懂让步的计算机整理、剔除那些人类思想中含糊而有争议的内容。
4. 创造力——挖掘、转变人类的想法,从而创建优秀的解决方案。
5. 构思——利用人类友好的接口和便捷的互动性来包装编程思想。
6. 大局观——清楚解决方案是如何适应全世界的用户、企业以及其他,从而使你的程序更有用。
  告诉计算机该做什么,并建立解决方案:

1. 逻辑(再次强调)——把程序员的想法组织整理成有凝聚力的软件思想和计算机指令
2. 技术——发现并理解科技黑箱(对于99%的人来说是黑箱)。
3. 编程语言——学习美观的、富有逻辑的、清晰明了的语言,从而把程序员的想法提供给电脑。
4. 算法——精通让计算机完成任务最高效的方法。
5. 建模——在软件代码中建立抽象和模型,从而掌握并操控想法。
6. 实践(比如代码重构、单元测试、持续集成)——周期性活动,以保持系统可靠、健康与可改变。
  面向人类和面向硬件对象/系统的程序员有很大不同。

  不与人沟通的程序员不是好程序员。一个优秀的解决方案需要计算机世界与人类世界的双重技能。只有连接起两个世界,才能成为一个真正的优秀程序员。

  英文原文:Andriy Solovey

  中文翻译:伯乐在线  敏捷翻译

收起全文

极昼

主流WIFI加密方式大比拼

想知道怎样才能保护好我们的无线网络,首先就了解一下主流的无线加密方式,也就是在无线路由器的安全设置中常常出现的WEP、WPA、WPA2以及WPA+WPA2这几种加密方式。 WEP(Wired Equivalent Privacy,有线等效保密)。一种数据加密算法,用于提供等同于有线局域网的保护能力。它的安全技术源自于名为RC4的... 阅读全文

想知道怎样才能保护好我们的无线网络,首先就了解一下主流的无线加密方式,也就是在无线路由器的安全设置中常常出现的WEP、WPA、WPA2以及WPA+WPA2这几种加密方式。

WEP(Wired Equivalent Privacy,有线等效保密)。一种数据加密算法,用于提供等同于有线局域网的保护能力。它的安全技术源自于名为RC4的RSA数据加密技术,是无线局域网WLAN的必要的安全防护层。目前常见的是64位WEP加密和128位WEP加密。

WPA(WiFi Protected Access,WiFi网络安全存取)。WPA协议是一种保护无线网络(WiFi)安全的系统,它是在前一代有线等效加密(WEP)的基础上产生的,解决了前任WEP的缺陷问题,它使用TKIP(临时密钥完整性)协议,是IEEE 802。11i标准中的过渡方案。其中WPA-PSK主要面向个人用户。

WPA2,即WPA加密的升级版。它是WiFi联盟验证过的IEEE 802。11i标准的认证形式,WPA2实现了802。11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES(高级加密)所取代。

WPA-PSK+WPA2-PSK。从字面便可以看出,很明显,最后一种是两种加密算法的组合,可以说是强强联手。WPA-PSK 也叫做 WPA-Personal(WPA个人)。WPA-PSK使用TKIP加密方法把无线设备和接入点联系起来。WPA2-PSK使用AES加密方法把无线设备和接入点联系起来。

几种目前无线设备中应用的主流加密算法已经罗列出来,并且也一一做了介绍, 那么几种安全模式究竟孰优孰劣?用户在使用过程中应该选择哪种安全模式?它们对无线传输的速度会不会有什么影响呢?一起来看一下。

1、有胜于无的WEP

WEP作为一种老式的加密手段,它的特点是使用一个静态的密钥来加密所有的通信,这就意味着,网管人员如果想更新密钥,必须亲自访问每台主机,并且其所采用的RC4的RSA数据加密技术具有可预测性,对于入侵者来说很容易截取和破解加密密钥,使用户的安全防护形同虚设,因此如非迫不得已,不建议选择此种安全模式。

2、升级后的WPA

继WEP之后,人们将期望转向了其升级后的WPA,与之前WEP的静态密钥不同,WPA需要不断的转换密钥。WPA采用有效的密钥分发机制,可以跨越不同厂商的无线网卡实现应用。它作为WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力。

3、追求,永无止境:WPA2

WPA2是WiFi联盟验证过的IEEE 802。11i标准的认证形式,WPA2实现了802。11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。

目前WPA2加密方式的安全防护能力非常出色,只要用户的无线网络设备均能够支持WPA2加密,那么恭喜你,你的无线网络非常安全。

4、强强联手:WPA-PSK+WPA2-PSK

俗话说,山外有山,楼外有楼,强中自有强中手,虽然WPA2的安全防护能力很出色,但WPA-PSK(TKIP)+WPA2-PSK(AES)的选项则要比它更优越,但它也并非绝对完美,由于这种加密模式的兼容性存在问题,设置完成后很难正常连接,所以显得有些华而不实,用户在选择之前还需要斟酌一下。

收起全文

极昼

谷歌对搜索算法进行重大修改 加重时间因素

谷歌对搜索算法进行重大修改 加重时间因素

据《纽约时报》报道,谷歌在美国当地时间星期四宣布对其搜索引擎的算法作出重大修改。新算法将加重时间因素的影响。这一改动会使35%的搜索结果产生变化。谷歌作出这一改变是因为现今的人们更希望从Twitter或者其它网站搜索到实时的消息,但谷歌目前的搜索算法则无法做到这一点。显示的结果总会显得有点过时,譬如当搜索&奥斯卡奖&以找出今年颁奖晚会的具体时间时,得到的搜索... 阅读全文

 

 


据《纽约时报》报道,谷歌在美国当地时间星期四宣布对其搜索引擎的算法作出重大修改。新算法将加重时间因素的影响。这一改动会使35%的搜索结果产生变化。谷歌作出这一改变是因为现今的人们更希望从Twitter或者其它网站搜索到实时的消息,但谷歌目前的搜索算法则无法做到这一点。显示的结果总会显得有点过时,譬如当搜索“奥斯卡奖”以找出今年颁奖晚会的具体时间时,得到的搜索结果却是一项过去颁奖晚会的内容等等。

http://i.i.com.com/cnwk.1d/i/tim/2011/11/03/freshness_blog.png

谷歌将新算法称为“freshness algorithm”(新颖度算法),利用谷歌的“咖啡因”网页索引系统更快的捕捉网络信息,并给出相关的实时搜索结果。

谷歌每年都会对其搜索算法作出超过500次的修改,但大多数修改仅仅会影响极少部分的搜索结果。上一次较大规模的修改发生在今年2月份,当时谷歌清除了一些低质量的网站,比如信息农场网站等,受影响的搜索结果达到了12%左右。

新算法实施后,对于近期发生的事件,如奥斯卡奖或者总统大选等,最新更新的信息会排在搜索结果的前列,就像是使用谷歌搜索新闻时使用时间工具那样。此外,较频繁更新的话题,如对新iPhone的评论等,也会显示靠前的评论。

对于那些对时间不敏感的内容搜索结果,如“如何更换汽车轮胎”或者“香蕉面包的做法”之类的,谷歌表示他们的算法能知道什么是最符合答案的结果,时间此时将不受影响。

http://i.i.com.com/cnwk.1d/i/tim//2010/04/04/Amit_Singhal-1_270x249.jpg

参与谷歌搜索开发的工程师阿米特·辛格哈尔(Amit Singhal)说,“此次算法的改进意在更好地明白如何区分用户是在搜寻最匹配的答案,还是想知道事态的最新发展。”

这是谷歌第二次进行实时搜索方面的改进尝试。早在2009年,谷歌曾向Twitter支付了一笔费用,并合作推出了google.com/realtime实时信息搜索。后来双方的合作于今年7月到期结束,谷歌也没有在继续合作,并撤下了该服务。

一位谷歌发言人表示,谷歌最终还是计划将google.com/realtime服务重新上线,并与Google+及其它服务相结合。

网易科技

收起全文

极昼

防病毒软件如何工作:四种病毒侦测技术

防病毒工具是大多数防恶意软件套装的必备组件之一。它必须能够辨识已知的和未见过的恶意文件,并且在造成破坏前阻止它们。尽管这些工具在实现恶意软件侦测机制方面有所不同,但它们趋向于融合同样的病毒侦测技术。熟悉这些技术有助于你理解防病毒软件是如何工作的。 基于签名的侦测技术:使用已检查过文件的关键特征来创建已知恶意软件的静态指纹。该签名... 阅读全文

防病毒工具是大多数防恶意软件套装的必备组件之一。它必须能够辨识已知的和未见过的恶意文件,并且在造成破坏前阻止它们。尽管这些工具在实现恶意软件侦测机制方面有所不同,但它们趋向于融合同样的病毒侦测技术。熟悉这些技术有助于你理解防病毒软件是如何工作的。

基于签名的侦测技术:使用已检查过文件的关键特征来创建已知恶意软件的静态指纹。该签名可能以文件的一系列字节来表示。它也可能是整个文件或部分文件加密后的哈希值。这个侦测恶意软件的方法,是防病毒软件工具诞生以来必要的方面之一。作为许多工具的一部分该技术保留至今,尽管它的重要性在逐渐减弱。基于签名的侦测技术的主要局限在于,从它自身来说,这个方法无法标记那些还没有开发签名的恶意文件。考虑到这点,现今的攻击者们经常通过改变文件的签名来对病毒进行变异并保留恶意的功能。

基于启发式的侦测技术:该技术目的在于通过静态地检查文件的可疑特征,来一般性地侦测新的恶意软件而无需精确的签名匹配。例如,某个防病毒工具可能在被检查的文件中寻找罕见的指令或花指令(junk code)。该工具还可能模拟运行该文件,以便确认如果执行该文件,它会在不明显拖慢系统的情况下尝试做些什么。单独的可疑属性可能还不足以把这个文件标记为恶意的。然而好几个这样的特征可能会超出期望的风险阈值,导致该工具把该文件划分为恶意软件。启发式方法最大的弊处在于它可能无意地把合法的文件标记为恶意的。

行为侦测技术:该技术观察程序如何执行,而不是仅仅模拟它的执行。这个方法尝试通过寻找可疑的行为如解压恶意代码、修改主机的文件或是进行键盘记录来辨识恶意软件。值得注意的是,这样的操作能够让防病毒工具在受保护系统上侦测到事先未见过的恶意软件。对于启发式技术来说,这些操作的每一个可能不足以划分程序为恶意软件,然而把它们一起考虑的话可能意味着是一个恶意的程序。使用基于行为技术让防病毒软件更加接近于主机入侵预防系统(host intrusion prevention systems,HIPS)的类别,后者传统上以单独的产品类别存在。

基于云的侦测技术:该技术通过从受保护的计算机上收集数据、同时在服务提供商的基础设施上分析、而不是在本地进行分析来辨识恶意软件。这通常是通过捕捉文件的相关细节和在终端上文件执行时的情境来实现,并把这些信息提供给云引擎进行处理。本地的防病毒代理只需进行最小化的处理工作。此外,厂商的云引擎能够通过关联来自多个系统的数据获取与恶意软件特征和行为相关的模式。相比之下,其它防病毒软件的组件大多数基于本地观察到的属性和行为进行决策。基于云的引擎能让使用防病毒软件的单个用户从社区的其他成员的经验中获益。

尽管根据上述各自的标题列出了这些方法,但各种技术之间的差异往往是模糊不清的。例如,术语“基于启发式”和“行为侦测”经常被交互地使用。此外,当工具融合基于云的能力时,这些方法——包括签名侦测技术——趋向于扮演活跃的角色。为了跟上不断变化的恶意软件样本,防病毒软件厂商们必须在他们的工具中融合多层防御,依赖于单个方法是不可行的。

收起全文

极昼

printf背后的秘密

作者: tracing 时间: [ 2011-10-27 11:54 ]基本上我们编写的第一个C程序都是打印hello world, 但很少有人去分析打印一个字符串是怎么实现的,认为这是理所当然的,起码我当时是这么认为,没有任何疑问,而且还很兴奋,当时大学的C语言都学完了,我都不知道printf的原理,或者说根本就没有去研究过,实际上一个简单的printf背... 阅读全文

 作者: tracing 时间: [ 2011-10-27 11:54 ]

 

 

基本上我们编写的第一个C程序都是打印hello world, 但很少有人去分析打印一个字符串是怎么实现的,认为这是理所当然的,起码我当时是这么认为,没有任何疑问,而且还很兴奋,当时大学的C语言都学完了,我都不知道printf的原理,或者说根本就没有去研究过,实际上一个简单的printf背后做了大量的工作。

    从完全开发手册的stdio实例出发,看下printf的实现。

    1、输入输出的终端设备采用串口,也可以使用LCD或者其他。

    2、变参函数的实现。printf和scanf的参数个数是不固定的,但通过第一个参数的地址,可以找到其他参数的地址,通过fmt的格式可以确定参数的个数,一般都要用到这样一个宏:

#ifndef _VALIST#define _VALISTtypedef char *va_list;#endif /* _VALIST *//* * Storage alignment properties */#define  NATIVE_INT   int#define  _AUPBND         (sizeof (NATIVE_INT) - 1)#define  _ADNBND         (sizeof (NATIVE_INT) - 1)/* * Variable argument list macro definitions */#define _bnd(X, bnd)    (((sizeof (X)) + (bnd)) & (~(bnd)))#define va_arg(ap, T)   (*(T *)(((ap) += (_bnd (T, _AUPBND))) - (_bnd (T,_ADNBND))))#define va_end(ap)      (void) 0#define va_start(ap, A) (void) ((ap) = (((char *) &(A)) + (_bnd (A,_AUPBND))))#endif /* va_arg */

具体的使用可以百度。

    3、64位整数的处理。

    64位整数的除法或者乘法是要自己实现的,毕竟2440是32位的CPU,如果使用现成的库就不用这么费劲了,现在是在没有任何库的情况下。先说下除法:

#define do_div(n,base)						\({								\	register unsigned int __base      asm("r4") = base;	\	register unsigned long long __n   asm("r0") = n;	\	register unsigned long long __res asm("r2");		\	register unsigned int __rem       asm(__xh);		\	asm(	__asmeq("%0", __xh)				\		__asmeq("%1", "r2")				\		__asmeq("%2", "r0")				\		__asmeq("%3", "r4")				\		"bl	__do_div64"				\		: "=r" (__rem), "=r" (__res)			\		: "r" (__n), "r" (__base)			\		: "ip", "lr", "cc");				\	n = __res;						\	__rem;							\})


这是一个长整数除法的一个宏,其中n是64位的,base是除数,register这个关键字表示某个变量用寄存器代替,如regiser unsigned long long __n  asm("r0")表示用寄存器r0代替__n,这里有个地方不大理解,为什么r0=n之后,n的高32位就赋给r1了?

     内联汇编的格式asm(code : output operand list : input operand list : clobber list);其中code要用""引起来,换行要用\n, %0表示输出输入列表的第一个参数,其他依次类推,=r表示被赋值或者输出,=&r表示只能用做输出,clobber list表示修改过的参数。

    __do_div64采用移位的方法实现除法,最多也就移动64次,从高位开始算,我曾经在DSP上也做过一个除法,现在想想当时的算法实在太笨了,我用减法实现除法,如果是一个64位的数,除以一个比较小的数,那延时就大了,这个算法实在很巧,具体代码入下:

 

#define ALIGN		.align 4,0x90	#define __LINUX_ARM_ARCH__  1#define ENTRY(name) \  .globl name; \  ALIGN; \  name:		#ifdef __ARMEB__#define xh r0#define xl r1#define yh r2#define yl r3#else#define xl r0#define xh r1#define yl r2#define yh r3#endif/* * __do_div64: perform a division with 64-bit dividend and 32-bit divisor. * * Note: Calling convention is totally non standard for optimal code. *       This is meant to be used by do_div() from include/asm/div64.h only. * * Input parameters: * 	xh-xl	= dividend (clobbered) * 	r4	= divisor (preserved) * * Output values: * 	yh-yl	= result * 	xh	= remainder * * Clobbered regs: xl, ip */ENTRY(__do_div64)	@ Test for easy paths first.	subs	ip, r4, #1	bls	9f			@ divisor is 0 or 1	tst	ip, r4	beq	8f			@ divisor is power of 2	@ See if we need to handle upper 32-bit result.	cmp	xh, r4	mov	yh, #0	blo	3f	@ Align divisor with upper part of dividend.	@ The aligned divisor is stored in yl preserving the original.	@ The bit position is stored in ip.#if __LINUX_ARM_ARCH__ >= 5	clz	yl, r4	clz	ip, xh	sub	yl, yl, ip	mov	ip, #1	mov	ip, ip, lsl yl	mov	yl, r4, lsl yl#else	mov	yl, r4	mov	ip, #11:	cmp	yl, #0x80000000	cmpcc	yl, xh	movcc	yl, yl, lsl #1	movcc	ip, ip, lsl #1	bcc	1b#endif	@ The division loop for needed upper bit positions. 	@ Break out early if dividend reaches 0.2:	cmp	xh, yl	orrcs	yh, yh, ip	subcss	xh, xh, yl	movnes	ip, ip, lsr #1	mov	yl, yl, lsr #1	bne	2b	@ See if we need to handle lower 32-bit result.3:	cmp	xh, #0	mov	yl, #0	cmpeq	xl, r4	movlo	xh, xl	movlo	pc, lr	@ The division loop for lower bit positions.	@ Here we shift remainer bits leftwards rather than moving the	@ divisor for comparisons, considering the carry-out bit as well.	mov	ip, #0x800000004:	movs	xl, xl, lsl #1	adcs	xh, xh, xh	beq	6f	cmpcc	xh, r45:	orrcs	yl, yl, ip	subcs	xh, xh, r4	movs	ip, ip, lsr #1	bne	4b	mov	pc, lr	@ The top part of remainder became zero.  If carry is set	@ (the 33th bit) this is a false positive so resume the loop.	@ Otherwise, if lower part is also null then we are done.6:	bcs	5b	cmp	xl, #0	moveq	pc, lr	@ We still have remainer bits in the low part.  Bring them up.#if __LINUX_ARM_ARCH__ >= 5	clz	xh, xl			@ we know xh is zero here so...	add	xh, xh, #1	mov	xl, xl, lsl xh	mov	ip, ip, lsr xh#else7:	movs	xl, xl, lsl #1	mov	ip, ip, lsr #1	bcc	7b#endif	@ Current remainder is now 1.  It is worthless to compare with	@ divisor at this point since divisor can not be smaller than 3 here.	@ If possible, branch for another shift in the division loop.	@ If no bit position left then we are done.	movs	ip, ip, lsr #1	mov	xh, #1	bne	4b	mov	pc, lr8:	@ Division by a power of 2: determine what that divisor order is	@ then simply shift values around#if __LINUX_ARM_ARCH__ >= 5	clz	ip, r4	rsb	ip, ip, #31#else	mov	yl, r4	cmp	r4, #(1 << 16)	mov	ip, #0	movhs	yl, yl, lsr #16	movhs	ip, #16	cmp	yl, #(1 << 8)	movhs	yl, yl, lsr #8	addhs	ip, ip, #8	cmp	yl, #(1 << 4)	movhs	yl, yl, lsr #4	addhs	ip, ip, #4	cmp	yl, #(1 << 2)	addhi	ip, ip, #3	addls	ip, ip, yl, lsr #1#endif	mov	yh, xh, lsr ip	mov	yl, xl, lsr ip	rsb	ip, ip, #32	orr	yl, yl, xh, lsl ip	mov	xh, xl, lsl ip	mov	xh, xh, lsr ip	mov	pc, lr	@ eq -> division by 1: obvious enough...9:	moveq	yl, xl	moveq	yh, xh	moveq	xh, #0	moveq	pc, lr	@ Division by 0:	str	lr, [sp, #-4]!/*	bl	__div0	*/	@ as wrong as it could be...	mov	yl, #0	mov	yh, #0	mov	xh, #0	ldr	pc, [sp], #4


注释已经比较详细了,其中xl(r0)为被除数的低位,xh(r1)为被除数的高位,yl(r2)商的低位,yh(r3)商的高位,xh还作为余数。

    然后是64位的乘法。在不包含任何库的情况下,用arm-linux-gcc编译一个长整数的乘法,会提示找不到__muldi3的定义,我一开始我就奇怪,我根本就没用到这个函数,实际上是我太想当然了,32位的CPU不能实现64位的乘法,看乘法的部分:

#define umul_ppmm(xh, xl, a, b) \{register USItype __t0, __t1, __t2;                                     \  __asm__ ("%@ Inlined umul_ppmm					\n\        mov     %2, %5, lsr #16						\n\        mov     %0, %6, lsr #16						\n\        bic     %3, %5, %2, lsl #16					\n\        bic     %4, %6, %0, lsl #16					\n\        mul     %1, %3, %4						\n\        mul     %4, %2, %4						\n\        mul     %3, %0, %3						\n\        mul     %0, %2, %0						\n\        adds    %3, %4, %3						\n\        addcs   %0, %0, #65536						\n\        adds    %1, %1, %3, lsl #16					\n\        adc     %0, %0, %3, lsr #16"                                    \           : "=&r" ((USItype) (xh)),                                    \             "=r" ((USItype) (xl)),                                     \             "=&r" (__t0), "=&r" (__t1), "=r" (__t2)                    \           : "r" ((USItype) (a)),                                       \             "r" ((USItype) (b)));}


其中a,b是32位数,xh是a*b的高32位,xl是a*b的低32位,两个32位数相乘绝对不会超过64位,所以该算法把32位先分成了高16位和低16位,2个16位数相乘绝对不会超过32位,CPU是有这个能力计算的,把16位看成一个整体就是一个2位数的乘法了,跟我们小学学的数学一样。

    看似很多理所当然的东西背后仔细研究一下都有大文章。

收起全文

极昼

使用iphone mobiscope应用实现实时远程监控

使用iphone mobiscope应用实现实时远程监控

使用iphone mobiscope应用实现实时远程监控 作者: jjfat 时间: [ 2011-10-27 10:16 ] ... 阅读全文

 
使用iphone mobiscope应用实现实时远程监控
作者: jjfat
时间: [ 2011-10-27 10:16 ]
 

日期:2011-10-26      作者:shirley    来源:GBin1.com

今天Gbin1想跟你分享一个新程序---mobiscope网络电子眼

在国外很多幼儿园会在教室里安装摄像头,一是为了安全,二是可以让家长实时看到自己孩子的表现及动态。

在国内这样的情况并不是太多,原因不详。

优势:可以随时随地的观察摄像头区域的画面,方便及时,有一定的监督性。凡是有了computer number和密码的用户,都可以查看到此区域内的画面。

略势:有大概5秒左右的滞后,手机及摄像头电脑均需要有网络的条件。

下面我详细的介绍一下可以用手机监控的这项应用----mbiscope

进入itunes商店,找到mobiscope,这里你需要选择付费的程序,如果选择免费的下载估计你只能看到demo版。

安装完成后,你首先需要的是在按有摄像头电脑上下载一个客户端点击下载连接

1、注册用户名和密码

2、下载客户端

3、运行

这里注意,选择与你电脑匹配的客户端进行下载。

 正常运行起来,你会看到一个计算机编码(computer number),这将是你接下来必须用到的,请切忌保存好。右边的绿灯亮起表示已经与网络连接,反之则无法与手机相连。

接下来是打开手机对应的mobiscope

选择右上角的添加(加号键)

 

 点击右边的mobiscope computer number

在这里你需要进行重要的首次连接!第一列中加入你的计算机编码,就是你电脑中出现的8位数字,首次连接需要设定密码(为的是避免更多的人随便查看你的摄像头区域),第三项设定一个此区域的名称(比如my office,my home,my desk & etc.)

设置完成就可以点击右上角的存储了!

接下来你就可以在双方都有网络的条件下随时随地的查看摄像头区域了!

 之前介绍过会有一个滞后,大概是2秒跳动一下,滞后速度大概是5秒。如果是你在2秒中之内在画面中出现又退出,它就有可能捕捉不到这个画面。

每个手机最多可以同时监控4个画面,也就是4个摄像头的摆放位置。

它的好处是可以当个监控实录,比如监控自家楼下的停车位情况,或者放在窗口监控马路堵车情况等等,至于你想把这个摄像头摆在何方位,都由你决定!

这里特别提出注意噢,不要放在不该放的地方,保护个人隐私,不要涉嫌违法.

原文出自:使用iphone mobiscope应用实现实时远程监控

收起全文

极昼

【“威金”(Worm.Viking)病毒】

【“威金”(Worm.Viking)病毒】

【&威金&(Worm.Viking)病毒】   对于&威金&病毒而言,青出于蓝而胜于蓝的&熊猫烧香&病毒已经被我干掉了,但是作为&熊猫烧香&病毒前辈-----&威金&病毒,我在这也简单的介绍下吧。其实我是不愿意写相同类型病毒的帖子的,要不重复。但是必须写,原因一是为... 阅读全文

【“威金”(Worm.Viking)病毒】


  对于“威金”病毒而言,青出于蓝而胜于蓝的“熊猫烧香”病毒已经被我干掉了,但是作为“熊猫烧香”病毒前辈-----“威金”病毒,我在这也简单的介绍下吧。其实我是不愿意写相同类型病毒的帖子的,要不重复。但是必须写,原因一是为了给它们哥俩凑个团圆;原因二是因为“威金”病毒是所有感染型病毒之母!

  “威金”又名“维金”,还是前者名称比较流行。我下面说下“威金”病毒的运行方式和查杀方法。





【“威金”病毒解析】


·病毒破坏行为分析·

  据说最早“威金”病毒是同过局域网传播的,这个我不太清楚。该病毒入侵后,首先病毒将自身(“威金”病毒样本程序)复制到C盘“WINDOWS”系统文件夹目录下,然后将其命名成“rundl132.exe”,明显是在伪装系统程序“rundll32.exe”,但病毒文件与系统文件不同的是文件名中间的数字“1”和字母“l”的区分。之后创建开机自动启动项,启动项名称为“load”,如下是在注册表中创建的项、值:

[

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:\WINDOWS\rundl132.exe"
  2. “[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
  3. @=""
  4. "auto"="1"

复制代码

  前者注册表项、值是“威金”病毒的开机启动项,后者注册表项、值是用于下载木马程序的。随后创建“dll.dll”和“Logo1_.exe”这两个文件,并启动这两个程序运行“威金”病毒。“威金”病毒首次入侵用户电脑后,是不会先运行病毒主程序“rundl132.exe”的,而运行的是“Logo1_.exe”这个程序,它会全盘搜索“.exe”执行程序并感染,总体来说这个程序也就在这派上一次用场。只有用户下次重启计算机后“rundl132.exe”才真正的加入到系统内存中运行,所以说这个程序才是该病毒主体!

  “威金”病毒运行后,除了那么几个系统文件夹目录之外全盘感染“.exe”执行程序,感染后文件图标全变成了“.exe”执行程序缺省时的图标,也就是咱们常见的“大白框框”图标。如下是“威金”病毒感染“.exe”执行程序的方式(例如感染“setup.exe”这个程序):[attach]511001[/attach]

  首先复制“setup.exe”后并将病毒代码嵌入到该程序中,命名成“setup.exe.exe”创建在该目录下。然后删除原来的“setup.exe”执行程序,再将“setup.exe.exe”重命名成“setup.exe”。



  有所不知吧,“威金”病毒就是这样感染“.exe”执行程序的。当成功感染一个磁盘分区后会在其目录生成名称为“_desktop.ini”的配置文件作为当天已通过感染的标记。病毒程序“Logo1_.exe”运行的同时,病毒组件“dll.dll”也被插入到了程序进程中运行,检查网络可用之后连接黑客服务器便下载木马程序,盗取用户隐私。从这也得知,任何蠕虫病毒的目的并不是盲目的对计算机进行破坏,那样也只是恶搞程序,真正的目的还是与窃取中招用户隐私信息有关系。



·病毒主体文件简介·

rundl132.exe:病毒主体文件;它既是病毒程序也算是木马程序。首先说这个程序是“威金”病毒随机启动程序,不但能像“Logo1_.exe”那样全盘感染“.exe”执行程序之外,而且还具有木马的功能,就是盗取用户隐私信息。该程序自动运行后,会调用病毒组件“dll.dll”插入到系统进程中运行,之后用户联网后打开端口连接黑客服务器。

dll.dll:病毒主体文件;它是病毒的动态链接库文件,病毒运行后会将“dll.dll”插入到系统进程中,例如“explorer.exe”或者“iexplore.exe”进程。成功插入后,会检查网络是否可用,如果可用便下载木马程序。注意,这个“.dll”文件的名称并不单一,不同的变种名称也不同。

Logo1_.exe:病毒主体文件;部分功能和病毒程序
“rundl132.exe”是一样的,也会调用“dll.dll”。它只是在“威金”病毒首次入侵系统后运行,其作用只是负责全盘感染“.exe”执行程序和调用病毒组件“dll.dll”并将其插入到系统进程中运行。并不像后期变种的“熊猫烧香”病毒一样,每个病毒主程序都有重新释放病毒的功能。但注意的是,运行被它感染的“.exe”执行程序后均会重新释放完整的“威金”病毒。

_desktop.ini:病毒配置文件;这个文件是当“威金”病毒成功感染一个磁盘分区目录下所有“.exe”执行程序后才被创建的,每个驱动器目录下各存在一个。它不属于程序,只是个配置文件。打开后和记事本没什么两样,里面只是记录着该文件夹目录下“.exe”执行程序当天被感染的日期,它的作用就是记录病毒是否在今天访问过该文件夹目录。

*Sy.exe:“威金”病毒下载的木马程序;其中“*”代表数字,例如“0Sy.exe”~“9Sy.exe”等木马程序。





【“威金”病毒清除】



一、查杀“威金”病毒准备工作!

  不建议打开 Microsoft Internet Explorer 浏览器,如果打开了请强行关闭窗口。强制断网,直接拔掉网线。



二、结束“威金”病毒的进程树!
  按“Ctrl + Alt + Del”键调出“任务管理器”,在里面查看是否存在“Logo1_.exe”和“rundl132.dll”这两个进程?无论是哪一个都要强行结束掉,鼠标右键进程选择“结束进程树(T)”。
[attach]511002[/attach]



三、删除“威金”病毒的注册表!

开始菜单——运行 输入:regedit.exe
调出“注册表编辑器”……


删除病毒相关注册表信息:

  依次展开至“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows”;子项“Windows”右侧窗口找到名称为“load”的值项,鼠标右键菜单中选择“删除(D)”。
[attach]511003[/attach]


删除病毒相关注册表信息:
  依次展开至“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”;子项“Run”右侧窗口找到名称为“load”的值项,鼠标右键菜单中选择“删除(D)”。

[attach]511004[/attach]

删除病毒相关注册表信息:

  依次展开至“HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW”;鼠标右键子项“Soft”菜单中选择“删除(D)”。
[attach]511004[/attach]


PS:

  “威金”病毒之前联网下载的木马程序还会在注册表里面注册信息,也要将其删除。例如下载了一个木马程序名称为“0Sy.exe”,并且创建创建随机启动项。打开“注册表编辑器”,先选定“我的电脑”-----编辑-----查找,查找目标(N):0Sy.exe

快捷键:“Ctrl + F”.

点击“查找下一个”,将找到相关“0Sy.exe”的项、值全部删除!



四、删除“威金”病毒相关组件!

病毒相关的程序全部都在“%SystemRoot%”的目录下,即“C:\WINDOWS”系统文件夹目录。

删除:C:\WINDOWS\rundl132.exe
删除:C:\WINDOWS\dll.dll
1d01d2eq11abc7_998eec.jpg 

  当删除病毒组件“dll.dll”的时候,竟然跳出“无法删除 dll: 访问被拒绝。请确定磁盘未满或未被写保护而且文件未被使用。”的对话框,无法删除,这是因为“dll.dll”还在插入在进程中运行……必须结束调用它的进程才能删掉它!
1d01d2eq11abc7_998eec.jpg 

  如通过命令行程序查看进程加载“.dll”模块的截图,留意我用“黄色”矩形围住的那个被调用的DLL模块。可以看出“dll.dll”是插入到“explorer.exe”进程中运行的(经过观察,一般只插入“explorer.exe”和“iexplore.exe”这两个进程)。对映进程图像名和PID分配数字完全相符,确定“dll.dll”就是插入在“explorer.exe”进程之中,调出“任务管理器”在进程列表中首先结束“explorer.exe”进程。这是你会看到桌面除了壁纸背景之外什么都没了,唯一剩下的就是“鼠标”指针和“任务管理器”。不要慌,“任务管理器”右上角找到点击“文件”-----“新建任务(运行...)(N)”,输入:explorer.exe
1d01d2eq11abc7_998eec.jpg 

  点击“确定”后即可再次恢复正常桌面。这时由于病毒主体程序“rundl132.exe”已被删除了,所以病毒组件“dll.dll”不会再被插入到系统进程中运行了,大可放心;现在可以直接将“dll.dll”删掉了!

删除:C:\WINDOWS\Logo1_.exe
删除:*:\_desktop.ini

“*”:代表驱动器盘符。

  由于“威金”病毒搜索全盘“.exe”执行程序并感染后,在这些被感染的程序目录下都会创建名称为“_desktop.ini”的配置文件作为感染通过的标记。存在多个驱动器的话一个一个删除多麻烦,所以可以通过批处理命令删除!

开始菜单——运行 输入:cmd.exe
调出“命令提示符”;然后在黑色窗口里面输入如下DOS命令:

DEL *:\_desktop.ini /F /A

令中的“*”是所选定的磁盘盘符,比如想要删除C盘所有目录下的“_desktop.ini”文件,则输入:

DEL C:\_desktop.ini /F /A

  其中参数“/F”为强制删除只读文件;参数“/A”为根据属性选择要删除的文件。

  有几个分区就更换其中的盘符输入,这样即可清除每个驱动器目录下的“_desktop.ini”文件!

删除:C:\WINDOWS\*Sy.exe

“*”:代表数字。

例如:“0Sy.exe”~“9Sy.exe”等木马程序。


这是“%SystemRoot%”系统文件夹目录下部分“威金”病毒组件截图:

1d01d2eq11abc7_998eec.jpg 


五、恢复被感染的.EXE执行程序!

  我在这只提供手动的删除方法,至于“威金”病毒专杀工具,你可以自己去百度上搜。

  全盘的“.exe”都被感染了,怎么办?难道只有格式化删掉?这样许多资料不全没了啊!不用删,千万不要删除它们,因为我下面提供了一个可以恢复染毒“.exe”执行程序的方法。

  根据观察,当运行染毒的“.exe”执行程序时,病毒会脱壳。就是病毒自动清除捆绑病毒代码的程序恢复至该程序感染前的状态,即可正常打开,但会重新释放并运行“威金”病毒。不过在这却存在一个致命的漏洞,通过这个漏洞可以恢复被感染的“.exe”执行程序。那好,我们就抓住“脱壳”的漏洞恢复“.exe”执行程序,请看如下操作!

  杀毒前首先记住本次“威金”病毒入侵后释放了哪些病毒组件,要记住这些组件的名称和路径位置。不同的变种释放的组件名称、位置是不同的,可以通过查看杀毒软件的“杀毒日志”查看此信息。例如本次“威金”病毒会释放“rundl132.exe”、“dll.dll”、“Logo1_.exe”这几个组件,释放位置均在“C:\WINDOWS”目录下。也就是说,打开运行被感染的“.exe”执行程序脱壳后,也会释放与之相同名称的病毒组件到“C:\WINDOWS”目录下。

  现在不要打开运行任何染毒程序。分别在“C:\WINDOWS”目录下创建三个文件夹,把它们重命名为“rundl132.exe”、“dll.dll”、“Logo1_.exe”。之后,你就可以疯狂的打开运行染毒的“.exe”执行程序了。因为根据“威金”病毒“脱壳”这一漏洞,我们知道运行染毒程序便释放“威金”病毒组件,会脱壳成正常程序,便等待下一次“威金”病毒对它的感染。但由于之前我已创建了与“威金”病毒要释放的组件文件名相同名称的文件夹,根据同目录下同名文件不能共存的原理。打开运行被感染的程序只能是脱壳(自动清除病毒代码),但无法释放“威金”病毒组件。接下来,你可以像平常一样使用电脑了。但要记住的是,千万不要删除创建的那三个名称为“rundl132.exe”、“dll.dll”、“Logo1_.exe”的文件夹,不然前功尽弃!


PS:

  伪装病毒组件名称的文件夹俗称“免疫文件”。除了上述作用外,利用同目录下不能出现同名文件的原理还可以用来预防某些病毒入侵电脑。但要注意的是,创建这些“免疫文件”时必须是文件夹而不能是文件,如果是文件,病毒可能将代码复制进去,也就成为病毒文件了。





【片尾曲】

  本帖是我回忆2007年第一次被“威金”病毒入侵系统后的杀毒记录。

  许多人可能认为“威金”蠕虫类的病毒只是为了一味地破坏、感染“.exe”执行程序,这么想就错了。如果真是那样根本算不上病毒,只能算是“恶搞程序”罢了。通过上述得知,中招后,“威金”病毒利用全盘捆绑程序而释放木马下载器,并下载大量木马程序,这才是编写这个病毒的作者的真正目的。

  自“威金”病毒出现后也有不少的变种,不过变种后查杀方法也是大同小异。如下我提供了一个“威金”病毒变种样本。
下载地址:
附件:“威金”病毒样本.rar 

特此感谢网友(子之痕 )提供“威金”病毒变种样本!

  这个“威金”变种病毒组件名称没变,不过感染文件后图标变得多种多样,而且病毒主体文件“rundl132.exe”磁盘位置也改变了。附件中的那个变种运行后首先会创建一个名称为“uninstall”的文件夹,然后将自身复制在该目录下,重命名为“rundl132.exe”。之后释放的两个病毒组件分别是“RichDLL.dll”和“Logo1_.exe”。运行后全盘感染“.exe”执行程序....

  后期“威金”加壳变种的“熊猫烧香”病毒破坏方式与上述描述的还不一样,想了解就请参考这个帖子吧:
【原创】蠕虫病毒——“熊猫烧香”和“金猪报喜”破解 + 查杀! 

  以后病毒更是多种多样,“威金”病毒也就成了其它病毒木马的一个特性了。比如“威金”病毒增加了通过U盘传播的功能;有些木马病毒将威金病毒的结合成一体并感染用户……最典型的例子就是2010年初的“极虎”病毒,该病毒也具备“威金”病毒捆绑“.exe”执行程序的功能,其危害胜过毒王“熊猫烧香”病毒。对于现在的计算机病毒,防不胜防。所以为了减少这类病毒破坏后造成的损失,大家最好将无需注册类的软件压缩到压缩包里存放,这样相当于给程序加了层壳。

 

 

 

作者:三里屯摇滚

收起全文

极昼

防火墙和杀毒软件区别

在许多人的思想中,特别是电脑的初学者,都对防火墙有一种错误的认识。即分不清什么是防火墙以及杀毒软件,认为杀毒软件就可以代替防火墙,所以就掉以轻心,成了网络的受害者。其实杀毒软件和防火墙有很大的不同。下面,我就从这两种防火墙的工作原理谈起,再谈谈它们的区别和选择。   首先,我从杀毒软件的原理谈起。杀毒软件主要是针对计算机病毒而设计的,它的防毒原理是:... 阅读全文

 

在许多人的思想中,特别是电脑的初学者,都对防火墙有一种错误的认识。即分不清什么是防火墙以及杀毒软件,认为杀毒软件就可以代替防火墙,所以就掉以轻心,成了网络的受害者。其实杀毒软件和防火墙有很大的不同。下面,我就从这两种防火墙的工作原理谈起,再谈谈它们的区别和选择。

  首先,我从杀毒软件的原理谈起。杀毒软件主要是针对计算机病毒而设计的,它的防毒原理是:在病毒进入系统前,先取得系统的控制权,并监视一切程序的运行,做到实时监控。正是因为这个原理,所以在安装了杀毒软件的系统里,最先被加载的程序往往就是杀毒软件程序。例如金山毒霸的kavdex.exe和VRV的bav2000.exe等。而且基本上都要加载两次。(这可以在WINDOWS里运行msconfig就可以看见具体加载的程序)我想这应该是对DOS和WINDOWS分别加载的吧(这是我的猜测,如果有不正确的地方还请各位指正)就以windows和金山毒霸为例,我对杀毒软件的加载流程作一个介绍:其实WIN98也是DOS下的应用程序。它还是要靠DOS7.0来启动。在开机自检完成后,DOS开始启动。然后执行config.sys和autoexec.bat。这时,在autoexec.bat中,第一个被执行的就是KAVDX.EXE这个防毒程序。这样,就保证了DOS下无毒。然后再加载一些DOS下的应用程序和需要实模式驱动的驱动程序,在这些程序完成后,Windows的启动文件Win.com才被加载,随后就进入了Windows的界面,这时KAVDX.EXE又会被加载一遍,此时就是为了在病毒之前获得系统的控制权。然后再加载其它的启动程序,比如Explorer等。怎样获得系统的控制权?我只知道VRV是以.VXD(虚拟设备驱动)这种方式来取得控制权的。其他的我想也是类似这样。在Windows启动后,杀毒软件便常驻内存,监视系统的一举一动。当我们要运行一个程序时,防火墙便被激活,对这个程序进行扫描,如果发现这个程序含有病毒特征码,就拦截该程序,使之不能运行。然后根据预先设定的内容进行杀毒或删除或等待用户确认等;如果没有检测到病毒特征码,就进行智能分析,以判断是否含有未知病毒,若含有,就按前面那样处理,若没有,就让该程序运行。这里提到了病毒特征码和智能分析,也就顺带说说杀毒程序判断是否染毒的方法。其方法有两种:1、根据病毒特征码判断:每一种病毒都有不同的病毒特征码,这些通过一定的组合就形成了病毒程序。杀毒软件多有一个叫病毒库的文件,这个文件其实是一个文本文件,里面就写着不同病毒的特征码,杀毒软件就是通过对比这些特征码来判断是否带毒的。但是,这种方法一旦遇到新病毒就不行了,于是就产生了第二种方法:智能分析、判断是否带毒,这是通过分析病毒发作特征来查毒的,由于现在计算机的普及率及性能的不断提高,每天都有很多新病毒被制造出来,所以智能判断病毒这个功能也越来越重要,其判断的准确程度也是衡量一个防毒软件好坏的重要依据。

  "木马算病毒吗?"这个问题至今还在争论中。可据我所知,许多杀毒软件对木马却无能为力,或者只杀得了几种木马。比如VRV查不出"冰河"(至少我做这个实验时杀不了),金山毒霸就可以。好了,谈了那么久的杀毒软件后,也该让防火墙出面了,防火墙,顾名思义,就是面向网络的防火墙,它使专门针对木马和各种攻击而开发出来的防御软件。其原理和杀毒软件有类似的地方,但也有很大的不同。下面,我就谈谈防火墙的原理,在这里要提到一个概念,就是OSI参考模型,它是由国标标准组织ISO所制定的,OSI的全称是开放系统连接(OpenSystemInterconnection)。OSI模型将网络通信系统作层次划分,由低层的通信物件到高层的网络应用,分为七个层次,分别使:Layer1,物理层:规定在网络通信介质中,如何使通信的两端得以正确的接收比特流;Layer2,数据链路层:规定取得通信介质的方式。同时也必须与通信的对方建立起收发数据的默契,以便数据能可靠地传至接收端;Layer3,网络层:规定在同一网络中,传输路径的选择及建立方式,以便数据能由起点通过可能的中间点而到达终点。在TCP/IP协议中,网络层中的协议有两个:IP(InternatProtocol)和ICMP(InternetControlMessageProtocol),负责传输路径的建立(IP协议),并将Layer4的TPDU(TransportProtocolDataUnit)切成小段,形成数据包(packet),并在网络路由器或接收端,将其重组起来;Layer4,传输层:在TCP/IP中,该层的协议有TCP(TransmissionControlProtocol.传输控制协议)和UDP(UserDatagramProtocol)两种。负责传送数据。TCP与UDP的区别是:前者是连接式服务,而后者是非连接式服务;Layer5,会话层:提供控制机能,将下四层的信息流控制成会话形式;Layer6,表示层:以建立连接,传送数据,控制会话及活动的同步为主,防火墙就位于这一层;Layer7,应用层:提供三种协议以便与下层通信,并提供软件的应用的平台。OSI模型就简单地介绍完了,现在继续接着前面谈,防火墙运行后,其会监视Layer6的活动,对每一个通过的数据包进行检测,同时也会守住每一个端口。端口位于Layer4,使在传输层中建立的数据传输虚拟通道,作用和门一样,每一个程序要在网络上传送数据,就要开一个"门"(端口),就这样通过"门"对"门"进行数据传输的。网上的额数据也是通过端口进入计算机的,一个计算机最多有65536个端口,重1到65536,程序就是通过这即端口进行一对一的通信,例如OICQ,其默认的端口就是4000,当4000这个端口没有被其它程序占用时,OICQ就通过这个端口收发讯息,如果该端口被占用了,就会另外选一个空闲的断口进行通讯。用netstat-a就可以看见开了那些端口,当然也可以用软件来看,我的主页上就有这一类的软件,大家可以来看看(http://networms.yeah.net/)。一般...。比如20端口就是FtpData、21端口就是FTPOpenServer、23端口就是Telnet服务、137~139端口是用于netbios的,等等。防火墙就是守住这些门的卫士,它可以过滤掉一些有害的数据包。

  什么是有害的数据包?在前面的OSI模型中的Layer3和Layer4中,我们提到了几种数据传输协议,分别是ICMP、TCP、UDP、IGMP等,这些传输协议都有一些漏洞(准确地说是设计时的缺陷),如果利用这些漏洞进行攻击,则有可能让被攻击者泄密,或者远程共享等,许多攻击软件就是利用这些漏洞来设计的,危害很大。防火墙拦截到这些有害数据后,就会把它过滤掉。是这些数据包不再进入上层中去,也就不会对计算机形成危害了。但是,有些攻击也不是利用这些漏洞来攻击的,比如古老的PING攻击。这种攻击简单地说就是不断地发送ICMP数据包,是对方的机器瘫痪从而造成破坏我们设攻击者为A,被攻击者为B。PING的原理是A向B发送一个ICMP数据包,B在受到这个数据包时给A一个回应,告诉A该数据包已收到。A就可以以此判断出网络已经连通,否则网络就有问题,所以PING这个命令是用来监测网络连通的软件。而PING攻击就是A不断地PINGB,使B不断地回复数据,从而是B的系统资源耗尽而死掉,这就是PING攻击的原理。因为linux的发包速度比win9x快得多,所以PING攻击者常常是用的linux。当然这也要攻击者的机器够快才行,否则他也会因为来不及处理B返回的数据而死掉。有的防火墙也能过滤掉ICMP数据包,比如天网防火墙。使攻击者收到的是TimeOut(超时),从而也就无法攻击了。

  防火墙还有一个重要的作用,就是防止木马的连接。因为木马通常由两个程序组成:客户端和服务器端。受害者的电脑上运行的就是服务器端的程序。当计算机运行了服务器端的程序后,这个程序就会打开一个端口,这个端口可以用客户端的程序设置。客户端程序找这些中了木马的计算机的方法是:PING这些计算机的端口(就是设定的木马端口),并发送一个连接请求,如果是没有中木马的计算机,就不会理会这个请求,也就不会与客户端连接。而中了木马的计算机,在收到这个请求时,就会产生回应,并于之相连。使客户端可以共享主机(也就是中了木马的计算机)的资源,权限就和NT例的Administrator一样。可以看到一切东西,包括帐号和密码等信息。这也就是木马的危害之处。防火墙的作用就是拦截这个请求,并过滤掉,使计算机不响应,也就不能连接上客户端了。

  防火墙与杀毒软件也正是这些区别,由于杀毒软件不具有端口监控的能力,所以不能防止木马的连接,最多也就是杀木马而已。而且也不能对数据包进行过滤,并不能防止网络上的攻击。所以,杀毒软件并不能代替防火墙。说了这么多,大家也应该对这两种防火墙有一个比较清醒的认识了。

  还有一点错误的认识,就是不要以为装了一个防火墙就可以防止一切入侵。各个防火墙都有一定的弱点,比如大名鼎鼎的lockdown2000,它可是防火墙中的佼佼者,能防的木马也最多,但是…………"冰河"这个国产精品,它就不能防,不信吗?试试就知道了。其实"冰河"这个软件做得可真不错,用来作局域网的管理好得很,作者也正是基于这个目的而开发的,现在却成了木马中的"精品",真实令作者始料不及,其作者也停止了对这个软件的开发。天网,也是国货精品,就能防止"冰河"的连接。这也算是符合中国国情吧。

 

 

 

 

 

转自CU

收起全文

极昼

盘点43款免费杀毒软件

盘点43款免费杀毒软件 杀毒软件似乎永远是个热门的话题,尤其是免费的杀毒软件。据说整个杀毒产业都在慢慢转向免费,不管认同与否,总需要对这股免费的大潮多加了解。以下盘点了43种免费杀毒软件,你知道的有哪些呢? 1、 Avast!Free Antivirus官网:http://www.avast.com/ ... 阅读全文

盘点43款免费杀毒软件

 


杀毒软件似乎永远是个热门的话题,尤其是免费的杀毒软件。据说整个杀毒产业都在慢慢转向免费,不管认同与否,总需要对这股免费的大潮多加了解。以下盘点了43种免费杀毒软件,你知道的有哪些呢?

1、  Avast!Free Antivirus
官网:http://www.avast.com/
来自捷克,在全球拥有超过一亿两千万的用户,其中将近三分之二是通过引荐而来的。
2、  Avira AntiVir Personal
官网:http://www.avira.com/
德国制造,全球用户接近1亿,中国网民亲切地称它为“小红伞”。
3、  AVG Antivirus Free Edition
官网:http://www.avg.com/
同样属于全球最受欢迎的杀毒软件,稍微有点恼人的是它的广告。
4、  Comodo Internet Security
官网:http://www.comodo.cn/
专业程度丝毫不亚于收费软件,只是本土化做得还有些欠缺。
5、360杀毒
官网:http://www.360.cn/
360杀毒已经占领国内将近80%的计算机,马上就要挥师海外。
6、金山毒霸
官网:http://www.ijinshan.com/
轻巧、灵敏、兼容性一流、进步神速。
7、瑞星全功能安全软件
官网:http://www.rising.com.cn/
瑞星仍然是非常好的选择,只是要更加注意细节。
8、Microsoft Security Essentials
官网:http://www.microsoft.com/zh-cn/security_essentials/default.aspx
超朴素的大牌,很少在专业测试中失手,兼容性也不错。
9、Panda Cloud Antivirus
官网:http://www.cloudantivirus.com/
出色地运用了“云安全”技术,最新版本已经有防火墙功能了。
10、PC Tools Antivirus Free
官网:www.pctools.com/
属于一流的杀毒软件,不过资源占用还是有可以改进的地方。
11、Immunet Free Antivirus
官网:http://www.immunet.com/
同样是以“云安全”技术为基础,资源占用很小,兼容性上佳。
12、Outpost Security Suite FREE
官方网站:http://free.agnitum.com/
如果不害怕主界面出现广告的话,绝对是值得信赖的。
13、Malwarebytes’ Anti-Malware
官方网站:http://www.malwarebytes.org/
老牌的反间谍软件,检测率高,新版本将有N多改进。
14、Super Antispyware
官网:http://www.superantispyware.com/
广受欢迎的反间谍软件,最近同样出了新版本。
15、Spybot-Search & Destroy
官网:http://www.safer-networking.org/
优秀的反间谍软件,刚去官网看了下,新版本变漂亮了很多。
16、Ad-Aware Free Internet Security
官网:http://www.lavasoft.com/
检测率很高,同时资源占用稍微有点大。
17、FortiClient Lite
官网:http://www.forticlient.com/
 飞塔最近悄悄地推出了“FortiClient Lite”,光看图就让人爱不释手。
18、ClamWin Free Antivirus
官网:http://www.clamwin.com/
知名的开源杀毒软件,各方面相对孱弱,界面也很一般。
19、IObit Malware Fighter Free
官网:http://www.iobit.com/
西方微点“IObit Security 360”的继任者,界面比较清爽。
20、超级巡警
官网:http://www.sucop.com/
超级巡警已经进化到V5版本了,这次它成了真正的杀毒软件。
21、BitDefender Free Edition
官网:http://www.bitdefender.com/
功能大大精简的一个版本,引擎也是陈旧的,拿来备用比较好。
22、ZenOK Antivirus Protection Professional
官网:http://www.zenok.com/en/
来自美国,采用BitDefender的引擎以及部分病毒库。
23、Digital Defender Antivirus Free
官网:http://www.digital-defender.com/
一款来自英国的杀毒软件,简洁易用。
24、Returnil System Safe Free
官网:http://www.returnilvirtualsystem.com/
比较创新的杀毒软件,融合了系统还原技术。
25、Preventon Antivirus Free Edition
官网:http://www.preventon.com/
来自英国,采用了VirusBuster 反病毒引擎,界面比较有特色。
26、Clearsight Free Edition
官网:http://www.clearsightav.com/
来自英国,简洁易用,多次通过VB100测试。
27、Zillya! Antivirus
官网:http://zillya.com/en/
乌克兰免费杀软,相当不错啊。
28、ALYac Antivirus Basic
官网:http://asia.alyac.com/
相当于韩国的360杀毒,也是多引擎的,不同的是它有带防火墙。
29、Nano Antivirus
官方网站:http://www.nanoav.ru/
风格比较接近于大蜘蛛,同样来自于俄罗斯。
30、CMC Antivirus
官网:http://www3.cmcinfosec.com/
来自越南,支持多国语言,仅凭这点就值得关注一下。
以下是并非严格意义上的杀毒软件
31、Norman Malware Cleaner
官网:http://www.norman.com/
欧洲劲旅Norman出的绿色版杀毒组件,没有实时防护。
32、MWAV Toolkit
官网:http://www.escanav.com/
麦克沃德绿色版杀毒组件,清毒效果非常不错。
33、F-secure Online Scanner
官网:http://www.f-secure.com/
F-secure的在线杀毒组件,非常方便,完全没有兼容性的问题。
34、Trendmicro HouseCall
官网:http://www.trendmicro.com/
趋势科技的在线杀毒组件,相对来说更人性化一些。
35、ESET Online Scanner
官网:http://www.eset.com/
任何人都可以通过这个在线杀毒组件体验到ESET强大的引擎。
36、安博士在线杀毒
官网:http://www.ahn.com.cn/
安博士的产品提供了多种形式的在线服务,这是其中一种。
37、瑞星在线杀毒
官网:http://online.rising.com.cn/
同样承诺客户端永久免费,金山的在线杀毒是收费的,瑞星没有。
38、Kaspersky Virus Removal Tool
官网:http://www.kaspersky.com/
卡巴斯基也有一个绿色版的清毒组件,关键时刻或许能帮大忙呢。
39、Dr.Web CureIt!
官网:http://www.freedrweb.com/
基于大蜘蛛引擎的绿色扫描程序,同样没有实时监控功能,且不能自动更新。
40、Emsisoft Emergency Kit
官网:http://www.emsisoft.com/en/
奥地利“Emsisoft”公司的产品,检测率惊人,同时误报也高。
41、安天防线
官网:http://antiyfx.com/
国内资历很老的杀毒软件了,已转型为纯绿色的杀毒软件。
42、百锐启发式检测引擎
官网:http://bytehero.com/
侦测未知病毒的技术相当厉害,是后起之秀。
43、Norton Power Eraser
官网:http://www.symantec.com/
被成为“神器”或“大杀器”,诺顿因此永久性地摘去“弱盾”的称号。

收起全文

极昼

XML加密算法被破解 W3C标准即将重订

新闻来源:开源中国社区在Ruhr学院的研究者发现XML加密协议中存在的严重安全漏洞,并在本次芝加哥举行的ACM展会上予以发表。&一切都变得不安全&是这次漏洞发现所传递的消息。XML加密协议是一种用于服务器与服务器之间传递敏感和不敏 感信息的一种协议。它的加密算法基于块加密的连缀,不过很显然,它并不是想象中的那么安全。 根据研究人员声明,他们可以通过发送... 阅读全文

 

新闻来源:开源中国社区
在Ruhr学院的研究者发现XML加密协议中存在的严重安全漏洞,并在本次芝加哥举行的ACM展会上予以发表。“一切都变得不安全”是这次漏洞发现所传递的消息。XML加密协议是一种用于服务器与服务器之间传递敏感和不敏 感信息的一种协议。它的加密算法基于块加密的连缀,不过很显然,它并不是想象中的那么安全。

根据研究人员声明,他们可以通过发送被稍加变动的密文到服务 器,并根据其返回的错误信息来破解这种加密。

研究者们用一个非常广泛使用的开源XML加密协议的实现和一些企业内使用XML加密的闭源系统进行测试。结果是:他们都能破解信息。

目前来说,修复这个安全问题需要W3C修订对XML加密的标准。这可不是件容易办到的事。

收起全文

极昼

Researchers Release Attack Tool That Cripples Secure Websites

Researchers have released an attack tool that makes it trivial for anyone to take down websites that allow users to connect via secure connections. Unlike most denial-of-service... 阅读全文

Researchers have released an attack tool that makes it trivial for anyone to take down websites that allow users to connect via secure connections.

Unlike most denial-of-service attacks (DoS) that require an attacker to direct a network of distributed computers to take down a website by flooding it with fake traffic, the so-called THC-SSL-DOS tool purportedly allows an attacker to achieve the same result from a single computer — or in the case of a website with a number of webservers, just a handful of computers would be sufficient.

The tool, released by a group called The Hackers Choice, exploits a known flaw in the Secure Socket Layer (SSL) protocol by overwhelming the system with secure connection requests, which quickly consume server resources. SSL is what’s used by banks, online e-mail providers and others to secure communications between the website and the user.

The flaw exists in the process called SSL renegotiation, which is used in part to verify a user’s browser to a remote server. Sites can still use HTTPS without that renegotiation process turned on, but the researchers say many sites have it on by default.

“We are hoping that the fishy security in SSL does not go unnoticed. The industry should step in to fix the problem so that citizens are safe and secure again. SSL is using an aging method of protecting private data which is complex, unnecessary and not fit for the 21st century,” said the researchers in a blog post.

The attack still works on servers that don’t have SSL renegotiation enabled, the researchers said, though it takes some modifications and some additional attack machines to bring down the system.

The group notes that vendors have been aware of the vulnerability since 2003, but have not fixed it.

 

 

================================================================

###########The following content from the THC###################

================================================================

 

 

2011-OCT-24 UPDATE:

SSL-DOS released. Some organizations already found out about this release a while ago and mistakenly identified it as an SSL-RENEGOTIATION BUG. This is not true. The tool can be modified to work without SSL-RENEGOTIATION by just establishing a new TCP connection for every new handshake.

2011-OCT-24: News Articles: http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/ http://www.theregister.co.uk/2011/10/24/ssl_dos_tool_released/ http://www.zdnet.co.uk/news/security-threats/2011/10/25/hacking-tool-targets-ssl-vulnerability-40094270/ http://www.wired.com/threatlevel/2011/10/ssl-dos/ http://news.cnet.com/8301-1009_3-20125058-83/new-attack-tool-targets-web-servers-using-secure-connections/

2011-OCT-25 PRIVATE RELEASE:

People are asking us about the private release that works against servers that do not support SSL renegotiation. We will not release it.

Meanwhile the good news is that openssl can be used to perform the same attack It's not as elegant as the private thc-ssl-dos but works quite well indeed.

2 simple commands in bash:

-----BASH SCRIPT BEGIN-----

thc-ssl-dosit() { while :; do (while :; do echo R; done) | openssl s_client -connect 127.0.0.1:443 2>/dev/null; done } for x in `seq 1 100`; do thc-ssl-dosit & done

-----BASH SCRIPT END-------

Follow @hackerschoice

 

        http://www.thc.org 
        THC-SSL-DOS is a tool to verify the performance of SSL. 
        Establishing a secure SSL connection requires 15x more processing power on the server than on the client.  THC-SSL-DOS exploits this asymmetric property by overloading the server and knocking it off the Internet. This problem affects all SSL implementations today. The vendors are aware of this problem since 2003 and the topic has been widely discussed. This attack further exploits the SSL secure Renegotiation feature to trigger thousands of renegotiations via single TCP connection. Download: Windows binary: thc-ssl-dos-1.4-win-bin.zip Unix Source : thc-ssl-dos-1.4.tar.gz Use "./configure; make all install" to build. Usage: ./thc-ssl-dos 127.3.133.7 443 Handshakes 0 [0.00 h/s], 0 Conn, 0 Err Secure Renegotiation support: yes Handshakes 0 [0.00 h/s], 97 Conn, 0 Err Handshakes 68 [67.39 h/s], 97 Conn, 0 Err Handshakes 148 [79.91 h/s], 97 Conn, 0 Err Handshakes 228 [80.32 h/s], 100 Conn, 0 Err Handshakes 308 [80.62 h/s], 100 Conn, 0 Err Handshakes 390 [81.10 h/s], 100 Conn, 0 Err Handshakes 470 [80.24 h/s], 100 Conn, 0 Err Comparing flood DDoS vs. SSL-Exhaustion attack: A traditional flood DDoS attack cannot be mounted from a single DSL connection. This is because the bandwidth of a server is far superior to the bandwidth of a DSL connection: A DSL connection is not an equal opponent to challenge the bandwidth of a server. This is turned upside down for THC-SSL-DOS: The processing capacity for SSL handshakes is far superior at the client side: A laptop on a DSL connection can challenge a server on a 30Gbit link. Traditional DDoS attacks based on flooding are sub optimal: Servers are prepared to handle large amount of traffic and clients are constantly sending requests to the server even when not under attack. The SSL-handshake is only done at the beginning of a secure session and only if security is required. Servers are _not_ prepared to handle large amount of SSL Handshakes. The worst attack scenario is an SSL-Exhaustion attack mounted from thousands of clients (SSL-DDoS). Tips & Tricks for whitehats 1. The average server can do 300 handshakes per second. This would require 10-25% of your laptops CPU. 2. Use multiple hosts (SSL-DOS) if an SSL Accelerator is used. 3. Be smart in target acquisition: The HTTPS Port (443) is not always the best choice. Other SSL enabled ports are more unlikely to use an SSL Accelerator (like the POP3S, SMTPS, ... or the secure database port). Counter measurements: No real solutions exists. The following steps can mitigate (but not solve) the problem: 1. Disable SSL-Renegotiation 2. Invest into SSL Accelerator Either of these countermeasures can be circumventing by modifying THC-SSL-DOS. A better solution is desireable. Somebody should fix this. Yours sincerely, The Hackers Choioce http://www.thc.org
 
 
 
 
 
 

收起全文

极昼

Google最终向美国政府交出了维基解密志愿者的Gmail数据

新闻来源:谷饭 前几天报道了美国政府要求Google交出以为维基解密的志愿者的相关邮件信息,Google不屈服。而这种不屈服也仅仅是维持了几天,终于在今天向美国政府低头了。此次Google交给美国政府的数据有那位志愿者的Gmail数据,包括他的IP地址和联系人列表。目前Google尚未对此事作出更多的解释。自从维基解密披露许多高度机密的政府文件,同时包... 阅读全文

新闻来源:谷饭
前几天报道了美国政府要求Google交出以为维基解密的志愿者的相关邮件信息,Google不屈服。而这种不屈服也仅仅是维持了几天,终于在今天向美国政府低头了。此次Google交给美国政府的数据有那位志愿者的Gmail数据,包括他的IP地址和联系人列表。目前Google尚未对此事作出更多的解释。

自从维基解密披露许多高度机密的政府文件,同时包括数以前几的美国秘密文件和外交电报,它就一直被美国政府视为仇人。现在,美国政府又盯上了维基解密中的一位志愿者,同时要求Google和Sonic两家公司交出这个志愿者的相关邮件信息。

这次被美国政府盯上的人事来自Tor Project公司的一位年仅28岁的开发者Jacob Appelbaum,他志愿为维基解密提供一些消息,属于非营利的服务,但由于美国政府手中并没有什么充分的证据对Appelbaum进行指控,所以此次 要求Google和Sonic提供他的邮件信息,希望从这点找到相关入口,抓捕Appelbaum。

收起全文

极昼

AV-Comparatives公布4款中国杀软测试报告

AV-Comparatives公布4款中国杀软测试报告

AV-Comparatives公布4款中国杀软测试报告 AV-Comparatives是来自奥地利的杀毒软件评测机构,在国际上享有盛名,是公认信得过的独立测试机构。不久前,AV-Comparatives受两家国外用户委托对4款&中国产&杀毒软件进行了测试,测试结果也已经公布。遗憾的是,由于委托进行此次测试的客户希望对产品... 阅读全文

AV-Comparatives公布4款中国杀软测试报告

 


AV-Comparatives是来自奥地利的杀毒软件评测机构,在国际上享有盛名,是公认信得过的独立测试机构。不久前,AV-Comparatives受两家国外用户委托对4款“中国产”杀毒软件进行了测试,测试结果也已经公布。遗憾的是,由于委托进行此次测试的客户希望对产品使用匿名的方式,所以,AV-Comparatives并未公布这四款软件的名称,不过透露,所有四个厂商全部来自中国内地,只是不包含参与AV-Comparatives 8月份测试的厂商。

 

此次测试采用了大约20万个恶意软件样本,都是截止到8月份比较流行的:

AV-Comparatives公布4款中国杀软测试报告
蓝色为特洛伊木马,红色为后门或BOTS,绿色为蠕虫,紫色为其他恶意程序或病毒

测试产品均设定为默认设置。

测试结果:

遗漏样本,越低越好(结果中的百分比仅指测试使用的病毒样本比例):

AV-Comparatives公布4款中国杀软测试报告

误报测试:

AV-Comparatives公布4款中国杀软测试报告

有时,误报带来的麻烦不亚于真正感染的病毒,在对比检测率指标时,要注意,容易造成误报的产品也更容易获取较高的分数,所以在选择杀软时也应该考虑误报率的问题。

第四款杀软不仅遗漏病毒率高,而且误报率也高,大家认为是哪款杀毒软件呢?

文/驱动之家

收起全文

极昼

实用的搜索引擎资源大搜罗

搜索可能是最有效率的事情,也可能是最没有效率的事情。实际上大多数人都仅仅处在使用搜索引擎的入门阶段,因为没有合理地使用搜索引擎,长久以来所浪费的时间决不在少数。以下提供一些实用的搜索引擎资源,大家可以各取所需。 常用搜索 谷歌 搜索引擎的代名词,正在积极向更智能的方向演变 百度 ... 阅读全文

 

 

搜索可能是最有效率的事情,也可能是最没有效率的事情。实际上大多数人都仅仅处在使用搜索引擎的入门阶段,因为没有合理地使用搜索引擎,长久以来所浪费的时间决不在少数。以下提供一些实用的搜索引擎资源,大家可以各取所需。

 

常用搜索

谷歌                     搜索引擎的代名词,正在积极向更智能的方向演变

百度                     一个回避不了的网站,其实有很多需改善的

搜搜                     个人认为搜搜的实用性在国内仅次于百度

Yahoo                  美国用户量前三甲,有它自己的优势

必应                     搜索技术的革新者,微软不惜一掷千金

有道                     有道试图架设一条道路,以缩短问题与答案之间的距离

搜狗                     全球首个百亿规模中文搜索引擎,有超越谷歌中国的趋势

Spezify                创新的搜索,图文并茂

DuckDuck Go     简洁、讨喜,应付普通应用绝无问题

聚合搜索、元搜索

Mamma              检索结果整合了谷歌、必应和雅虎的,然后过滤重复、优化显示

Dogpile                同上

Info                      同上

Fefoo                    类似傲游多重搜索,整合了大量高质量搜索,还有小众派的

鱿鱼                      这里几乎能找到所有搜索引擎,而且分类合理、简洁

傲游多重搜索      聚合N多种有用的搜索,切换很方便,节约时间

实用搜索引擎      整合了许多实用的搜索引擎

百科

搜百科                  只针对百科内容进行搜索,包括维基、百度百科和互动百科

百度百科              国内最大的网络百科全书

维基百科              一个伟大的网站

搜搜百科              后起之秀,许多条目质量比百度的还好

互动百科              国内三大百科之一,是一个很好的补充,但排版不好

小百科                  互动百科的子网站,细分领域,精致化

MBA智库百科     专业百科的典范,专注于经济管理领域知识的分享

39健康百科         在健康领域做得很不错

大英百科              大英百科全书的网络版,检索结果包含图片和视频

Answers               给出很多有价值的参考

Encyclopedia       百科资源的聚合

中文百科在线      新兴的综合百科站点,条目质量很高

科技中国              IT资源的整合站点,相当于一个高质量的IT大百科

文档、图书

百度文库              目前国内最大的文档分享平台

豆丁网                  优秀的C2C文档销售与分享社区

超星图书              国内最大的数字图书资源提供商

道客巴巴              专注于文档在线交易的网站

MBA智库文档      领先的经济管理资源分享平台

爱问共享资料       收藏了众多高质量的文档

龙源期刊               国内最大的电子期刊网站

古登堡计划           世界上第一个数字图书馆

Free-Ebooks         拥有海量的电子书,全免费

国家图书馆           用作参考是很不错的

百度文档搜索       仅存的文档搜索之一,已慢慢和百度文库整合

PDF搜索               仅搜索PDF文件,海量的文件,直接可以下载或阅读

谷歌图书搜索       检索数字图书和纸质图书,已授权的数字图书可直接阅读

Wikiversity           维基的学习资源库,模拟高校学生系统学习某些知识

Wikibooks             维基的文库,资源少一些,质量和维基百科一样好

资源

电驴网                   网络资源的圣地,然而版权问题不容忽视,谨慎使用

狗狗搜索               在文档和软件搜索方面很有优势,整改后质量有所下降

豆瓣                       海量的用户在讨论和分享所钟爱的主题,需要耐心互动

Squidoo                 许多专家在推荐资源,在国外人气超高

Torrentz                国外人气很高的BT网站,也是法律重点监督对象,谨慎使用

About                     属于资源类型的网站,在这里可以得到高质量的建议

分类目录

雅虎目录                Yahoo的网站分类目录

DMOZ                    世界上最大的网站分类目录

Alexa                      和DMOZ类似,所收录的网站质量非常高

学术

知网空间                超大规模的学术文献数据库资源

Scirus                     大名鼎鼎的学术搜索引擎

中国研学资源网    对于学术研究者是个宝藏,超赞

维普网                    国内最大的综合文献数据库,收费

谷歌学术搜索        不愧是谷歌的技术,无论精确度和数量都达到一个高度

视频

搜库                        优酷旗下的视频搜索

搜狗视频搜索        检索质量不俗

百度视频搜索        目前国内使用量最大的视频搜索

搜搜视频                检索质量不俗

必应视频搜索        支持检索其他语言的视频

谷歌视频搜索        支持检索其他语言的视频

购物、团购

一淘                        淘宝旗下的比价购物搜索,近来突飞猛进

谷歌购物搜索        蛮低调的,但质量好过很多购物搜索

有道购物搜索        有道重点发力的对象,检索质量不俗

团购搜索资源        整合大量优秀的团购搜索

音乐

百度MP3搜索        国内使用量最大的音乐搜索

音乐哼唱搜索        把歌曲唱一小段出来,它就能识别是什么歌

搜搜音乐搜索        很棒的,搜索结果很少冗余

谷歌音乐搜索        检索华语音乐比不上国内的引擎,检索其他语言的就不一样了

在线翻译、词典

有道翻译                有道新出的翻译,已进化到2.0,有较大提升空间

谷歌翻译               谷歌的伟大创造, 大部分情况下是不二之选,然而翻译质量需提升

必应翻译               微软的技术, 翻译质量相对比谷歌的略低些

百度翻译               经测试在不少情况下翻译质量要超过谷歌 , 遗憾仅支持中英文

爱词霸                   老牌的词典翻译,质量上乘,就是广告多了些

必应词典               令人赞叹的词典 , 一出来就惊艳

有道词典               进步速度很快 , 首创视频例句和多语种发音

海词                       清爽的在线词典,支持整句朗读

维基词典               以前没注意 , 现在发现它在多语种之间对比和语源方面的优势了

OneLook               世界各种语言的在线词典资源的高度整合

实用工具

8684公交查询      公交查询的首选,实用工具的典范

坐车网                   可以查跨省的最佳路线 , 现在百度地图也有类似功能了

快递查询               全面的快递查询网站

站长工具               站长的必备

新浪天气               方面又全面的天气查询

MSN天气              自动识别用户所在地的天气情况,英文

实用查询资源        整合大量实用的工具查询资源

财经

谷歌财经                专注于财经信息的搜索,尤其是证券

Yahoo财经             专注于财经信息的搜索,尤其是证券,英文

问答

雅虎知识堂             国内第一阵营的问答网站

爱问知识人             国内第一阵营的问答网站

搜狐问答                 国内第一阵营的问答网站

天涯问答                 由谷歌和天涯社区联合开发的互动问答知识社区

百度经验                 整合了百度知道的问题和百度百科的格式标准

百度知道                 国内最大的问答社区

搜搜问问                 腾讯正大力发展的问答社区

奇虎网                     360刚开始就弄这个,到现在还很活跃

阿邦                         About的中国版,由较专业的人来帮助大家解决问题

Yahoo Answers      Yahoo的问答,特点在于还可以搜索其他语言的答案

Ezinearticles           众多专家来分享,很专业哦

Knol                         谷歌的问答网站,很多人不知道

Quora                      世界知名的问答网站

知乎                         社会化问答网站,被称为中国的“Quora”

42区                         问答新贵,由精英来解答问题

百度新知                  高质量问答知识社区,不同于百度知道

教程

Ehow                        同样拥有大量高质量的教程,文章和视频都有

How Stuff Works    拥有大量的视频教程

Wonderhowto         拥有大量高质量教程,手把手教你该怎么做

国家精品课程          很棒哦,还带有PPT课件甚至视频

名校公开课              想了解什么,先听听哈佛、耶鲁的教授怎么说

儿童、老年

Yahoo Kids              Yahoo的儿童搜索

Aol Kids                    美国在线的儿童搜索

百度老年搜索          字很大,看着方便

腾讯儿童搜索          专门为儿童设计的经过过滤的搜索引擎

地图

都市圈                      三维地图的领航者

E都市                       三维地图的领航者

百度地图                 一般的应用都没问题

谷歌地图                 貌似交通路线有时比百度更精准

MAPABC                领先的基础地图服务提供商

图吧                         亮点在于多种精细化的交通服务

搜搜地图                 越来越好了,强悍的腾讯那

搜狗地图                 亮点在于实时路况等多种交通服务

图片

百度图片搜索          国内质量最好的图片搜索

谷歌图片搜索          最强大、最精准,遗憾经常无反应

搜搜图片搜索          搜索自家的头像、表情等不错

有道图片搜索          检索质量有待提高

搜狗图片搜索          检索质量有待提高

百度识图                  新兴的“以图搜图”技术,不过百度又慢半拍了

Tineye                      搜索相类似的图片  精确度不错,关键时候用得上

Yahoo图片搜索        能很方便地搜索国外图片

新闻

百度新闻搜索           新闻搜索的第一选择、精准、到位

搜搜新闻搜索           新版本的搜索堪称惊艳,谁用谁知道

Yahoo新闻搜索        界面看着很舒服,检索质量一流

谷歌新闻搜索           中文版的没以前好了,英语版的超级棒

搜狗新闻搜索            数量比较少,质量也有待提高

有道新闻搜索            检索质量介于搜狗和搜搜之间

即刻新闻搜索            老将出马,功能有不少创新

博客

百度博客搜索            博客搜索的首选,某些情况下是很有用的

搜狗博客搜索            一个很好的补充

搜搜博客搜索            一个很好的补充

谷歌博客搜索            一个很好的补充

有道博客搜索            一个很好的补充

谷歌博客搜索             搜索英文博客驾轻就熟

其他

类似网站搜索             搜索相类似的网站,实用

名人行踪                     搜索名人最近在干嘛

名人关系                     名人之间的关系,以上两个都是腾讯捣腾出来的

谷歌代码搜索             搜索海量开源或经授权的代码

各国的谷歌                 世界各种语言的谷歌搜索

百度专利搜索             专业的专利搜索引擎

百度法律搜索             专业的法律搜索引擎,尤其检索法律条文非常有效

百度软件搜索             从各大软件站搜索软件

数据搜索资源             从专业的数据网站搜索数据,这是很重要

工作搜索资源             整合优秀的工作搜索引擎

搜房房产搜索             国内最大的房产搜索

一起搜房产搜索         搜索各大房产网站发布的信息,还带不少实用工具

车易搜汽车搜索         专业的汽车搜索

企业搜索资源             阿里巴巴、慧聪网等企业搜索

收起全文
    人人小站

    TA关注的小站35

    • 人人小站
    • 【橘子客慢生活】
    • 文字控
    • 星期天读书会SRC
    •  小站活动
    • 汽车绘
    • 小站精选
    • 寞,
    • 青春ベ是个欠砸的つ七彩杯具
    • 猫の站
    • love with you
    • 各种有趣的东西!
    • Solidot
    • 秦时明月
    • 没事看设备
    • 信息安全协会
    • 思科 新网络 人为本
    • 无兄弟,不篮球。
    • 不正常人类研究中心
    • 纯图
    • Paul Lee 咖啡馆
    • 棞子
    • Cisco CCIE学习交流
    • 军用飞行器
    • my way
    • 创意无限DIYyy
    • 彼得的春天·夏天·秋天和冬天
    • I love drawing
    • 时光,你还好吗
    • 画▪事
    • 女孩兒的告白
    • * Stella * 小筑之地
    • 人工智能,看到的美看不到的伤。
    • Cyan_s
    X 人人网小程序,你的青春在这里