昨天已正式升級至Comodo Internet Security 3.5！

Comodo Firewall 3（以下簡稱為CFP3）用了很長一段時間了
可能是因為開發團隊忙於CIS（Comodo Internet Security），CFP3很久都沒有更新了
由於Comodo可能對於CFP3線上更新至CIS存有一定的風險
所以後來發出的聲明，讓CFP3手動更新至CIS的方法

If you have CFP 3 installed, Here is what you do when upgrading from CFP 3 to CIS 3.5 to keep your original settings.

1. Miscellaneous>Manage my Configurations>Export Your configuration file to anywhere on your Hard Drive, For example my Documents, Desktop, etc. You can also rename it.

2. Uninstall CFP 3.0, Reboot, Download & Install CIS 3.5, Reboot. Now go back to Miscellaneous>Manage my Configurations>Import And import your configuration file where you saved it. When you successfully imported it, Make sure you Select that Configuration in Manage my Configurations. Delete any other Default Configurations you DON'T use, Like Proactive Security, Antivirus Security, etc which just modifies your policies & Settings.

Now your settings from CFP 3.0 should work! Note: You CANNOT do this for COMODO Antivirus v2.0 Beta & v3.5, It only works for COMODO Firewall & Full CIS.

If anyone finds this not to work, please post steps here So I can edit the post, if this does work pls let me know, and myself or any other Moderator will act on it.

http://tinyurl.com/5sevye

以下我用圖解說明CFP3設定過度到CIS的方法

1.首先匯出你CFP3的設定，到Miscellaneous>Manage my Configurations



2.匯出目前設定到你指定的路徑



3.移除CFP3然後重新啟動系統


4.安裝完CIS後從同樣的地方，匯入設定從你指定的路徑



5.匯入完成後還必須選擇你剛匯入的設定檔，這樣子才會啟用你先前的規則



這樣的話設定還可以保有，如果你還跟之前的獨立版CAV（Comodo AntiVirus）一同使用
這部分的設定是無法匯入到CIS的！關於這點請注意！


此次升級很大的原因是由於Defense+在3.5有修正與加強了防禦能力
與CAV的整合到還不是吸引我的原因！

CIS已經成為目前唯一一款免費的網路安全套裝，在此之前網路安全套裝全部都為付費產品
Comodo挾著強勁的HIPS，現在似乎有意用CIS來替自家的AV做推廣，讓更多人投入反喟
雖然目前AV的表現還相當差強人意，但我們應該看好CIS未來能帶給我們的表現！ (繼續閱讀...)

繼續推廣 Ubuntu 8.10 Intrepid Ibex

使用Ubuntu 8.10 Intrepid Ibex已經三天了
目前RC版也已經釋出了(FTP明天才會釋出)
根據以往的經驗，正式版ISO跟RC版是沒有差異的
所以如果你打算嘗試或是升級Ubuntu 8.10
現在就可以開始了！升級方法可以參考我前先的文章！

今天更新到RC後原本就存在的一些怪問題現在也正常了
有問題的部份目前發現Firefox的擴充套件FEBE不正常運作

其餘比較大的問題就是FlashPlayer的亂碼問題
在瀏覽Flash時字體可能會變成亂碼

Ubuntu從發行到現在，在Linux DeskTop上已經取得了最高的佔有率
也有很多善心人士開發了很多懶人工具
但如果你打算真正學習Linux我建議自己手動補完那些缺憾會比較好
畢竟給你魚吃還不如給你一根釣竿！
但我能提供的非常有限！希望能夠因此引發拋磚引玉之效！


ISO下載：
Ubuntu 8.10
Kubuntu 8.10
Xubuntu 8.10
Ubuntu Studio 8.10



Ubuntu在安裝好後我通常會再安裝以下軟體：

Swiftfox(優化過的FIrefox 3)

添加源

deb http://getswiftfox.com/builds/debian unstable non-free

然後透過新力得搜尋swiftfox，安裝適合你硬體的版本




SMPlayer(功能相當於windows上的KMPlayer)

sudo apt-get install smplayer

Win32 Video Codec(影像音訊解碼器)
http://tinyurl.com/rdto7

找到Binary Codec Packages這一項，根據你的CPU下載對應的項目

安裝方法：

sudo mkdir /usr/lib/codecs/
sudo mv essential*/* /usr/lib/codecs/

Reale格式還必須再安裝all-20071007.tar.bz2這個Codec
http://tinyurl.com/5bwqs

如果你的Ubuntu是AMD64版，還必須載安裝

sudo apt-get install w64codecs

TVTime(電視卡軟體)

sudo apt-get install tvtime

Amarok(類似foobar2000的播放軟體，具備樂庫管理功能)

sudo apt-get install amarok

K3B(燒錄軟體)

sudo apt-get install k3b

Kopete(即時通訊軟體)

sudo apt-get install kopete

Amarok、K3B、Kopete的中文支援

sudo apt-get install kde-i18n-zhtw

WinRAR壓縮格式支援

sudo apt-get install rar

FTP客戶端

sudo apt-get install filezilla

Java運作環境

sudo apt-get install sun-jave6-jre sun-java6-plugin

Adobe Reader
http://tinyurl.com/2xmbxc

下載deb格式



Adobe FlashPlayer 10
不要下載deb for ubuntu 8.04或apt for ubuntu 8.04
請下載.tar.gz的版本
http://tinyurl.com/zgkz2



解壓縮後敲入

cd ~/Desktop/
sudo ./install_flash_player_10_linux/flashplayer-installer

一開始會詢問你是否要安裝FlashPlayer，安enter到下一步
這邊會詢問安裝目錄，例如/usr/lib/mozilla
如果前面安裝過Swiftfox那就安裝在：

/usr/lib/swiftfox

gcin(真正適合國人的中文輸入工具)
http://tinyurl.com/5s386r

gcin請勿使用ubuntu源裡面帶的，根據我使用的情形
原裡面的版本在8.10上偶爾會發瘋，打字時會中英文不分
所以直接使用Debian的1.4.2版gcin，而我正用此版打此篇文章
但不排除這個是我個人的問題
如果要從源安裝gcin請敲入：

sudo apt-get remove scim*
sudo apt-get install gcin

FireStarter(防火牆iptables的圖形化前端)

sudo apt-get install firestarter

中文字體美化
ubuntu雖然把夸父正黑體作為預設字體
但是這個字體在美觀上還是有很大的進步空間
不能忍受的人，可以自行安裝其它喜歡的字體

步驟：
首先複製字體到這

sudo cp ~/Desktop/LiHei.ttf /usr/share/fonts

開放可讀權限

sudo chmod a+r /usr/share/fonts/truetype/LiHei.ttf

強制字體不自動微調，需要編輯fonts.conf

sudo gedit /etc/fonts/fonts.conf

找到<fontconfig>這段
然後在下面加上這一段，記得修改字體名稱

<match target="font">
<test name="family">
<string>LiHei Pro</string>
</test>
<edit name="hinting">
<bool>false</bool>
</edit>
</match>

最後更新字體快取

sudo fc-cache -f -v

效果



Compiz-Fusion
首先必須先確認你的顯示卡驅動已經被kernel掛載
如果不想自己安裝驅動，可以透過ubuntu本身的受限驅動支援功能開啟



如果驅動安裝出現問題請重新調整X.ORG

sudo dpkg reconfigure xserver-xorg

然後再添加源，需要編輯soureces.list

sudo gedit /etc/apt/sources.list

安裝：
加入源列表

deb http://ppa.launchpad.net/compiz/ubuntu intrepid main

然後更新源列表

sudo apt-get update

開啟新立得，並以compiz作為關鍵字搜尋
如果你跟我一樣使用Gnome桌面，那請安裝以下套件：



安裝完後先在終端機中敲入：

fusion-icon

如果3D桌面正確啟動
那就把它添加到啟動項，這樣每次開機就會自動啟動Compiz





效果：





TMPFS(RAMDisk功能)
RAMDisk功能請參照我blog另一篇文章


目前暫時先寫到這樣，之後想到什麼會再補上來 (繼續閱讀...)

等不及只好先升級到ubuntu 8.10了

離ubuntu 8.10正式釋出已經不到十天了
我等不及到釋出日，在昨天晚上直接透過網路升級到了ubuntu 8.10
新的ubuntu 8.10除了一些基本軟體版本的提升外
還新加入了檔案加密功能！
通過ecryptfs-utils這個軟體，可以再安裝的時候選擇是否進行資料上的加密處理
其它變更還包括了Gnome 2.24、kernel 2.6.26、X.Org 1.5等
除此之外ubuntu 8.10還捨棄了用了許多年的Gnome human GTK佈景主題
換了另一個顏色較為深沉看起來有些像ubuntu Studio靠攏的配色主題


如果跟我一樣迫不及待使用ubuntu 8.10的人可以直接透過apt升級：

sudo update-manager -dc

看到更新管理器上方，可以選擇直接更新到ubuntu 8.10
這個部份如果發生問題，請換另一個源做更新



這裡是用戶公告，主要告訴你目前ubuntu 8.10目前還是屬於測試的階段
不應該作為你的正式工作平台，因為可能會有不可預期的錯誤發生，所以請考慮清楚再升級！



第三方源會被停用，有些源等升級完成後可以再把他重新添加



必須下載的量有1g多一點點



進度說明，其實大部分時間都是花在套件的下載
實際升級的時間反而一下就好了，在我的C2D系統上約花了20分鐘進行升級



升級的時候記得不要更改配置檔，因為可能會造成升級失敗
另外如果你曾經安裝過顯示驅動，記得XORG重新設定一下
否則你可能會什麼畫面都看不到！

sudo dpkg- reconfigure xserver-xorg

(繼續閱讀...)

淺談：為何我們需要反滲透能力（AntiLeak）？

這是繼續前兩天關於ESS的AntiLeak測試的話題
什麼是反滲透？為什麼我們需要反滲透功能？

反滲透是最近三年才開始流行的一種概念
它存在的目的為彌補傳統網路防火牆的不足！


傳統防火牆最典型的就是像Windows XP SP2中所內建的
它提供了基本的網路防禦，對連入（inbound）的需求進行過濾，並阻擋不良的連入（outbound）需求
但是這種典型防火牆它對於連外的連線需求並沒有特別去限制它
意思就是我們使用瀏覽器上網這類的防火牆
我們不需要為它特別去設置規則（Rule）或策略（policy）
就可以隨意存取網路資源，所以一旦我們中了木馬或者是蠕蟲
傳統的典型防火牆是無法防範的！

再好一點的防火牆它可以針對連外做限制
例如限制IE不能存取網路，或不能存取特定IP位置或連結阜（Port）
這類型的防火牆它可以當發現連外需求的時候，會提示目標位置的IP以及連線阜等資訊
我們可以利用這些資訊來判斷這是否為必要或不必要的連線
加上適當的規則或是策略，我們可以限制瀏覽器無法瀏覽某些IP位址的網站
但不是被限制的網站卻可以隨意瀏覽，規則與測率經過適當的限制
我們可以把explorer.exe或者svchost.exe病毒常利用的兩個住要系統元件做限制
這樣子如果中了會利用這兩個元件連外的病毒，我們可以免於帳密落入惡人之手
但是如果只有這樣子其實還是不太夠的！

因為病毒的連外不但可以靠自己本身，還可以藉由其它系統程式對外連出！
我們把病毒對外連出的這個過程稱做"滲透"
大部分的傳統防火牆，只會告訴你是什麼程式要連出以及要連到哪裡的資訊
但是並不會讓你知道這個連線是由用戶本身發起還是病毒透過調用發起的！

為了讓用戶知道程式彼此之間的調用或行為，現在新一代的防火牆都包含了
HIPS模組利用SSDT Hook系統上的API，來監測額外的軟體行為
我們的防火牆就可以為我們提供更詳細的程式行為，以分辨是否為不良的連線！


下面我用Matousec的測試程式模擬病毒經過調用後外連的情形
在ESS的提示裡我們只能看到explorer.exe有連外需求




從ESS的提示中我們不知道病毒是誰，或是它透過了什麼樣的行為導致explorer.exe需要連外？
再來我們看Comodo Firewall V3它基於HIPS模組的提示


CFP3發現了直接操作螢幕的行為


偵測到試圖修改已受保護的註冊表


偵測到試圖修改用戶操作介面


經過前面的修改後explorer.exe莫名其妙的要連外了！



經過以上的提示，我們可以經楚的知道explorer.exe的連外是由breakout2.exe這的程式發起
經過一連串的行為，導致explorer.exe出現連外需求
詳細的程式行為提示幫助我們能夠輕鬆判斷該程式是否屬帶有惡意行為！
以上就是反滲透過程的一個簡單示範 (繼續閱讀...)

Adobe Flash Player 多弱點公告發佈！

Adobe Flash Player的佔有率在瀏覽器上不分作業系統
佔有率高達98%，這個佔有率比Windows所有版本的佔有率都要來的高！


這個漏洞危險性不高，主要是被發現透過某些方法可以繞過Flash Player的安全限制
影響的範圍為所有的Flash Player V9.X的版本

1) An error while enforcing cross-domain policy files can be exploited to bypass certain security restrictions.

This is related to vulnerability #4 in:
SA28161

2) An ActionScript implementation error can be exploited to determine if a port on a remote host is opened or closed.

This is related to vulnerability #8 in:
SA28161

3) The problem is that the "FileReference.browse()" and "FileReference.download()" methods can be called without user interaction and can potentially be used to trick a user into downloading or uploading files.

要修正這個安全漏洞只需要將Flash Player更新至前不久才發佈的Flash Player V10 (繼續閱讀...)

不幸因為誤裝新版WGA的解法！

很多人包括我以前也都是有正版授權但卻選擇安裝D版
原因不外乎就是安裝容易，省了時間在打Patch上
把安裝的過程簡化到三歲小孩也能使用XD

當然有些人可能因此中了新版會導致黑屏的WGA
如果你有正版授權又不幸中獎，那就按"繼續閱讀"
看擺脫的方法，如果你只有D版，那就請您就此打住！


去掉新版的WGA不難
也不需要任何第三方Patch，自己動動手就可以解決了

首先開啟"執行"，輸入regedit.exe

接著尋找

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyWgaLogon

把WgaLogon這項刪除就完成了 (繼續閱讀...)

Firefox 3.1 在Acid3也拿到了90分以上的成績了！

昨天針對最新的Nightly Build Firefox
測試了Acid3的render能力
比起Firefox 3.0.3還有先前的Nightly Build Firefox都有長足的進步！

目前的版本已經取得了93分的成績
其它的瀏覽器如Chrome跟Opera雖然在Acid3上成績比Firefox 3.1還要高
但是前兩者在完成度上卻遠不如Firefox 3.1，其中Opera能夠取得Acid3滿分的版本
還是個特別專為Acid3所推出來的任務性特別版，實用上存在很多問題
雖然Acid3是滿分了，有些網頁的render卻有些錯誤．．



Firefox 3.1現在已經正式進入"beta"了，離正式版也不遠了
雖然目前的版本還是有些很鳥的問題，但短時間上的日常使用穩定度也足夠了
我預計在一個禮拜內把目前的預設瀏覽器從Firefox 3.0.3換成Firefox 3.1
因為新的Firefox 3.1的render性能讓我開始嫌棄Firefox 3.0.3了XD (繼續閱讀...)

關於ESS在Firewall Challenge的成績

Matousec最近公佈的Firewall Challenge在AVPClub上
由000110版主提出ESS的成績與實際測試有所出入！
對此我在稍晚的時候也做了AntiLeak的測試


首先這是ESS最新的Firewall Challenge成績，等級只到達Level 1而已



這是一個相當差的表現！
而且ESS在Level 1的kill1跟kill2也沒有通過
在之前一般對於成績與實際有出入的猜測是設定方面的問題
但是我個人認為應該沒有這麼簡單，因為設定上的差異不會導致
ESS失敗kill1以及kill2這兩個自我保護測試，有所差異的應該只有AntiLeak測試


以下是我昨晚自行測試的ESS成績

Level reached：3

* Level 1 – Breakout2, Coat, ECHOtest, Kill1, Kill2, Leaktest, PerfTCP, PerfUDP, Tooleaky, Wallbreaker1, Yalta
* Level 2 – AWFT1, DNStest, Ghost, Jumper, Kill3, Kill3b, Kill6, Wallbreaker3, Wallbreaker4
* Level 3 – AWFT3, AWFT4, DNStester, Kill3f, Kill4, Kill7, SSS2, Suspend1, Thermite
* Level 4 – CopyCat, CPIL, CPILSuite1, Keylog1, Kill3e, Kill8, Kill9, SSS, Suspend2
* Level 5 – Breakout1, CPILSuite2, Crash1, Crash2, Crash3, Keylog2, Kill3c, Kill3d, VBStest
* Level 6 – CPILSuite3, DDEtest, ECHOtest2, FireHole, Flank, Keylog3, Keylog4, Kill10, Kill11, Runner
* Level 7 – BITStest, Keylog5, Keylog6, OSfwbypass, Runner2, Schedtest, SSS3
* Level 8 – Keylog7, Kill5, NewClass, Schedtest2, SockSnif, SSS4
* Level 9 – Driver Verifier
* Level 10 – BSODhook, ShadowHook

由於ESS不包含HIPS模組，所以最後等級只到達3
但這樣的成績跟Matousec的結果差的實在太多太多了
同樣的例子也發生在DSA以及KIS 8上這兩款安全軟體上
正常成績應該都要比Matousec上的結果高出一些 (繼續閱讀...)

一個假Everest破解程式

這是一個由PCDVD網友所提供的一個疑似病毒樣本
這個不但是一個破解程式，還是一個居心不良的惡意軟體！

將壓縮檔解開我們得到了：

keygen.exe number.exe readme.bat serial.exe crack.exe

首先是crack.exe執行後會在system32下生成dll檔，在最後會重新hook





提權行為


修改winlogon記憶體


hook qomgddcr.dll


最後調用cmd.exe刪除cravk.exe



再來是serial.exe跟number.exe
執行後首先存取DNS/RPC服務


出現連網行為，CFP3這裡報了啟發


操作explorer.exe記憶體，很明顯這絕對不是一個好東西



最後的keygen.exe我省略了幾章節圖，放出重要的部分
主要就是修改了幾個重要的註冊表












還修改了iexplorer.exe的process memory



根據以上行為，我推測這些是屬於木馬還有Downloader的集合
透過Sreng或許可以完全清除 (繼續閱讀...)