PCSL 2009.3 全方位測試報告出爐！

PCSL09年三月份的全方位測試報告已經出爐
本次測試我們成功邀請位於德國的GDATA加入評測行列
GDATA的初次表現相當優異，維持著它一貫的高偵測率




結果：




正體中文版PDF報告：


英文版PDF報告：


簡體中文版PDF報告：

(繼續閱讀...)

ArchLinux中gcin的設定！

今天待在家實在太無聊了，就把家裡唯一的一台上網機給yaourt -Syu了一下
總共更新了1g的量，換句話說整個系統有將近一半的套件都被更新了
等待40幾分鍾後，安裝終於告一段落，reboot之後很幸運還可以進入X
但是gcin卻發傻了．．檢查了一下發現原來是我先前的profile被覆蓋了．．



怪異的是我的主力機，一路升級上來gcin也沒出問題
也不知為何發生這個問題，反正也不管他，只要重新建立profile就行了！

首先：

sudo vi /etc/profile

然後加入以下：

export GTK_IM_MODULE=gcin
export XMODIFIERS="@im=gcin"
gcin &

這樣子GTK及QT的應用程式都可以使用gcin做中文輸入！


另外推薦一下夸父正黑體，很感謝作者一群好心人的維護
說實在的，最早的夸父正黑體不是相當好看，字體在24以上表現還不錯
但是在12左右的字體卻相當虛，非常不美觀！
好在新的字體在小字型上改良漫多了，已經真正進入"堪用"的地步了


更新前：



更新後：


其實這樣看起來差別還不是很明顯，主要是我找的字體其實還不夠小的緣故！
如果用更小的字體做比較，你就可以看出小號的夸父正黑不會像舊版那麼虛了 (繼續閱讀...)

駭客大會上MAC OS再度讓人失望！

Pwn2Own駭客大會上（３．１８）一位名叫Charlie Miller的參賽選手
他僅僅只花費十秒的時間，就成功入侵了MAC OS！
並讓MAC OS成為本次大會上率先被成功入侵的第一個系統！
而Windows上的IE 8、Firefox、Safari也在同一天被另一名德國選手Nils給攻破！



Windows上唯一全身而退的只有Google Chrome瀏覽器！
Miller賽後接受ZDNET的訪問說到MAC/Safari的漏洞他之所以能夠在短時間內突破
那是因為他很早之前便發現了該漏洞，發現漏洞後並沒有做任何通報，也沒有公佈該漏洞
不公佈漏洞，讓他在此次駭客大會上拿到了5000美元的獎金，也為了他的公司做了一個很好的宣傳

但在他的眼哩，另一個發現Windows/IE漏洞的Nils，Miller認為Nils所發現的漏洞價值
遠比他突破MAC OS系統所得到的5000美元獎金還要高出十倍！

Miller接著被問到，為什麼不選擇Windows平台而卻選擇MAC作為攻擊對象時
他說"因為MAC OS上所發現的漏洞非常容易利用"！
用白話一點方式來講，Miller的意思其實是說MAC OS上的垃圾漏洞（很難被利用的漏洞）
相對於Windows來說低了很多！

而且Windows系統上有所謂的反漏洞攻擊（Anti Exploit），在MAC OS上卻沒有類似的功能
Miller所謂的Anti Exploit，其實就是指Windows系統上的"資料執行防止"（DEP）
從訪談中可以透露出在Miller眼裡，Windows其實是個比MAC OS還要來的安全的系統



而在網路瀏覽器的部分，Miller說道同樣的Firefox瀏覽器，在MAC OS系統下
就是要來的比Windows系統上來的好利用多了，在他的經驗裡，MAC是一個很容易被入侵的平台！

而Google Chrome也是本次駭客大會上唯一一個全身而退的網路瀏覽器
Miller說Chrome的漏洞很難利用，因為Chrome有自己的沙盤（SandBox）技術做後盾
如果你得到一個Chrome的漏洞，你還必須還要再有一個Chrome沙盤的漏洞
藉由沙盤的漏洞讓瀏覽器本身的漏洞可以穿出沙盤之外！不過Miller說這種同時存在漏洞的可能性不高！

雖然目前Chrome在漏洞的數量上，不見得比較少
但由於它自帶沙盤的關係，使得漏洞的被利用率大大的降低！
所以就目前來說，瀏覽器加上沙盤，是另一個不錯的選擇！


而所謂的沙盤，這裡我用SandBoxie官網提供的說明圖做個簡單的說明
在沒有沙盤的保護下，瀏覽器可以對系統做任何的修改
但只要你有了沙盤，沙盤便會對位於沙盤內的應用程式，將它們對系統的修改
重新定像到一個空白區域，而不是直接就將修改寫入硬碟之中
此舉它有一個好處！就是你不滿意的部分你只需要清空沙盤內的資料
那一切又回覆到最初的那個原始狀態！


Chrome剛推出時，Google特別強調的沙盤技術
在這次的駭客大會上證實確實是一個有用的功能
如果你對Chrome的沙盤技術感興趣
可以順便看我去年所寫關於Chrome沙盤技術抄襲的事件！ (繼續閱讀...)

AV Comparatives 09.2 百萬樣本偵測率測試出爐！

AV Comparatives在不久前發佈了從2月開始進行的海量樣本測試結果
這次的測試加入了Command Anti-Malware，大部分人應該對它很陌生
它是來自美國佛羅里達的Authentium公司的產品，這次它手次參加AVC的評測行列！



這次的樣本數量將近130萬，測試結果如下：



GDAV 2009在這次的測試是中以0.1%的差距超越AVIRA AntiVir拿到這次的冠軍！


再來是誤報測試，測試結果如下：



微軟的OneCare在本次測試中僅有兩個誤報，比第二名的McAfee的5個誤報還少了一半以上！


最後這是這次測試的評級結果：



雖然GDAV偵測率最高，但是由於誤報的因素，造成它跟第二名的AVIRA AntiVir落到第二級的命運！

而Symantec 、ESET、Kaspersky、McAfee因為保持了一定的
高偵測率以及低誤報，所以被排在第一級的位置

而首次參賽的Command Anti-Malware，由於表現還不夠亮麗
所以它與Norman還有金山毒霸並沒有得到AVC評級的最低標準！ (繼續閱讀...)

樣本分析－fake AntiVirus

這是我在分析本月PCSL測試樣本時發現的一個很有趣的樣本
這個樣本它是一個fake AntiVirus，fake AntiVirus是一種模仿防毒軟體的一種惡意軟體
表面上似乎是一款防毒軟體，但實際上這種假防毒軟體其實是做一些病毒才會做的事情！



這個fake AntiVirus跟一般的fake AntiVirus不太相同，因為它真的很像一款防毒軟體
而且很多防毒軟體的小細節它全部都顧慮到了
所以它沒有一般fake AntiVirus粗製濫造一眼便看穿企圖的問題
相反的，作者的水平還頗高，絕不是那種連外觀都做的很假的
假防毒可以相提並論的！就它的外觀而言，做的幾乎跟真的一樣！


按小圖賞大圖









首先我要說的是我一開始分析的時候並不知道這是一個fake AntiVirus
因為它看起來真的超像一款真的防毒軟體，我是經過一連串的分析
到最後才發現它原來也是一款fake AntiVirus


我們先執行fake AntiVirus，啟動畫面會告訴你正在更新特徵庫
這裡並沒有任何會令HIPS軟體發出警告的可疑行為
而我覺得它可疑的地方在於它在此時並沒有提出聯網要求
意思就是表面上正在透過網路更新特徵碼，但實際上它並沒有聯網！




它啟動完就會自動開始掃瞄系統，與一般假防毒不同的是
它具備系統掃瞄功能！




只是沒多久它就掃完了，算是比較美中不足的地方，因為真的掃太快了一點
不過也很快的就掃到系統中所存在的威脅




這裡比較讓我驚訝的是這個fake AntiVirus它真的具備掃瞄功能
而不是像平常那種連掃瞄過程都是假的那種fake AntiVirus
它掃到的有些是亂報，亂報這部分我們可以很容易瞭解
但是其它也些被報的，這些卻是真正的威脅或灰色程式
不過我猜測，這是它把系統裡的檔案隨機亂報而來的！




掃瞄完後，如果你沒有理它，它會一直彈出這樣的一個視窗
提示你防毒軟體的保護功能沒有被開啟




然後有時候還會告訴你，在系統內發現了追蹤餅乾
如果要移除，必須取得全功能版！




如果你打算取得全功能版，你就會看到這樣的一個頁面
這裡它使用是系統最高級的最上層顯示！我猜測這是用來
擋住使用者本來就有的防毒軟體所提出的警告
用意在於讓受害者專心於付費購買全功能版
達到忽略自己防毒軟體所提出的警告！




這個fake AntiVirus到目前為止都沒有任何對系統不利的危險行為
它有的行為只是很單純的將自己加入啟動項目

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup

HKUS\S-1-5-21-796845957-1390067357-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

而且這個fake AntiVirus居然還有微軟提供的數位簽章
由於這個fake AntiVirus沒有任何危險行為，所以KIS裡的危險指數為零
危險指數為零，這代表著什麼？代表著它比大部分的系統程式都要來的安分！




簡單的說它其實是一個客戶端版的釣魚程式！
當它出現前面已經看過的付款畫面時，它才開始要求聯網服務




目的IP為94.75.209.11，所在地區為荷蘭
不確定這是否為荷蘭的犯罪組織，或者只是單純的跳板而已




從這個樣本我們可以知道，不用老方法破壞系統，單純用詐騙的方式
其實也是有利可圖的，至少我也一度以為它是一款"真"的防毒軟體
整個過程可以說還瞞有意思的，雖然花了不少時間，但這個過程是值得的
至少我現在知道fake AntiVirus也隨著時代的進步而演進
其實如果一開始我就用"RAPID ANTIVIRUS"做關鍵字去Google一下
或許我就不用這麼忙了，因為這個fake AntiVirus現在在國外還挺有名的 (繼續閱讀...)

從免疫007來看各廠商如何對付"殼程式"

『殼』是一種程式設計師普遍會使用的一種打包工具，最初的用途在於保護自己撰寫的程式不被竄改，同時也有減少程式體積的優點！不同於一般人使用的壓縮軟體(archival)，加過殼的程式不需要解壓縮既可執行！因為它本身就是exe執行檔。另一個最大的不同點，加過殼的程式在執行的時候，先啟動的是『殼』這個程式，殼執行後會把被包進殼的程式解壓縮到實體記憶體內，優點是不佔用多餘的空間而且執行效率極高！同時具有規避防毒軟體引擎的作用！也因為加殼程式執行後會隱藏被加殼程式本身，所以利用特殊加殼工具我們可以簡單避過緝毒引擎的偵測！目前流通的病毒樣本中有超過97%以上的電腦病毒都經過加殼。



通過加殼軟體『免疫007』，我們可以把一個程式給壓縮的更小，同時由於免疫007的特性，它具備反虛擬機環境（Anti Virtual Machine），可以輕鬆避過防毒軟體的虛擬機啟發引擎（Emulator Engine），免疫007只要偵測到是在虛擬環境中執行，那將會自動關閉不再執行！



免疫007跟ASPack這種常見加殼軟體不同點在於：免疫007它專門針對防毒軟體而來，主要是給病毒作者用的加殼工具！而免疫007除了會偵測虛擬機外，它每一次的執行都會改變自身的特徵值，這種方法會造成防毒軟體特徵碼失去比對的精度！在目前依然是相當有效，用來規避緝毒引擎的方法之一！



但是難道加了殼防毒軟體真的就完全沒轍了嗎？答案是否定的，防毒軟體藉由結構探測（Suspicious Structure）來尋找可疑的特徵結構，通常這種結構都會進行加密並隱藏真正的功能，優點是確實加強的偵測能力，但是一定程度上的提升誤報！除了結構偵測我們還可以倚靠HIPS做行為偵測，藉由SSDT Hook系統API我們可以根據程式行為判斷它是否為一個正在運作中的病毒


但是一般緝毒引擎遇到這類型的加殼樣本，由於都採用黑名單方式處理
所以加了殼之後，不管被加殼對象是黑或白均會被報毒
當然這類型的加殼程式一般人不會去用，但是這裡我所要探討的
就是大部分廠商很少會對其做後續處理，因為這類樣本本來就很棘手！
如果單獨每一個樣本都帶殼入庫，這樣的效率太低了，其它用同樣加殼方式的樣本就偵測不到了

對廠商來說，直接將"殼特徵"提取，製作基因特徵碼，好處是用了同樣加殼工具的不同樣本
均會在第一時間被報，但是被報的其實是加殼程式本身，而不是被加殼的對象
所以有某個程度的誤報情形會出現在這類型的樣本中！

這裡我製作了一個用2006年版免疫007，並替一個不是病毒的程式加了一層殼
並且使用Multi Command-Line Scanner進行掃瞄


掃瞄結果：

Multi Command-Line Scanner Report
-------------------------------------------------------------------------
D:\Threat Centre\PageFileInfo.exe
MD5 Hash: 121F1B3DDA9228AAE554BF65438ADC85

A-squared ----- Packed.Win32.NSAnti!IK
Avast ----- Win32:JunkPoly [Cryp]
AntiVir V8 ----- TR/Crypt.NSAnti.Gen
BitDefender ----- Packer.Malware.NSAnti.A
ClamWin ----- Nothing
Dr.Web V5 ----- Trojan.Packed.Gen
Eset V4 ----- Nothing
F-Prot ----- W32/Heuristic-210!Eldorado
Gdata ----- Packer.Malware.NSAnti.A
Jiangmin ----- Nothing
Kaspersky ----- Packed.Win32.NSAnti.r
Kingsoft ----- Win32.Hack.NSAnti.ge
Mcafee ----- New Malware.w
Microsoft ----- VirTool:Win32/Obfuscator.A
Norman ----- Trojan Hupigon.gen82
Panda ----- Suspicious file
TrendMicro ----- Mal_NSAnti
VBA32 ----- Malware.VB.51
VirusBuster ----- Packed/NSPM

*** 16/19 antivirus engines found virus in this file ***
-------------------------------------------------------------------------

Task done @ 2009/03/13 五 22:44:45.10
Note: The results might be different from that of the GUI version.

掃瞄結果很有趣，就算免疫007現在已經不常見了
但是掃瞄的結果仍然還是報殼的一大堆！
三年不算長也不算短的時間，這麼多廠商還是無法對這種殼提出共有效的辦法
至於其它沒報的，也不代表它們的引擎比有報的這些好
可能是這些廠商基於原則問題，或者是一開始就不報
三年後的今天仍然不報，也有可能是直接帶殼入庫
總之不報的不表示比較差，也不代表其它意義！


對於這樣的一個結果，其實在一般人的操作環境上屢見不鮮
由於大部分的廠商引擎解殼能力普遍不佳，就算是解殼好的廠商
也不是說每一種殼它都能夠解得開！所以遇到這類型的樣本時
把"殼特徵"入庫是很普遍的事情，所以有些程式
例如破解軟體、續號產生器、駭客工具之類的灰色程式
由於作者不想被別人輕易的反解，所以幾乎所有的設計師都會替自己的程式加殼！
當然不見得一定是使用這種專門替病毒家殼的工具，只是加殼程式普遍都會預到這種問題
當預到這種問題時，大部分人有的會選擇忽略警告直接使用，有的則是信以為真
誤以為是病毒就將其刪除，但事實上只是因為加殼的關係所造成的一個誤報而已！
所以告誡每一個正在使用防毒軟體的人，不要完全相信你防毒軟體所報的結果！ (繼續閱讀...)

從Matousec的測試來看Outpost與COMODO！

這幾天心血來潮，看到Outpost出新的測試版
我就下載並安裝起來，說來我也很長一段時間沒有在接觸Outpost了
想當初Outpost跟ZoneAlarm都是在傳統軟體防火牆市場上的頭牌！
不過以前的市場沒有今天競爭如此激烈，也沒有如此特別強調AntiLeak功能
時至今日，現在的軟體防火牆市場已經與以前有了大大的不相同
皆往一個大方向邁進，就是陸續整合了HIPS功能，有了HIPS模組後
這些傳統防火牆也不再只是單純的傳統網路防火牆，也可以防止病毒的侵犯
對於AntiLeak的能力也大幅的提升！現在與HIPS相關測試也越來越多了
Matousec的LeakTest與Firewall Challenge都算是這方面比較為人知的測試
今天我不評論Matousec的測試做的如何，我們來看一下測試結果鎖看不到的一些東西


我們先從網路防火牆的部分來看
這是Outpost的網路活動清單：




Outpost這裡會統計process的全部連線數目以及所有流量
相較COMODO來說，COMODO提供的網路活動清單不如Outpost詳細
但這部分的差距還可以接受就是了




接下來是規則的部分Outpost跟COMODO在這部分都還算是清晰明瞭






但是比較奇怪的地方是Outpost它沒有應用程式規則清單
下面這是COMODO的應用程式規則清單




Outpost雖然每個應用程式都可以建立獨立的規則
但是它必須經由網路活動清單點選才可進行規則編輯的動作，相當的不方便！




再來看它的HIPS設定的部分，這裡跟前面一樣，只能經由process活動清單裡進行編輯




跟COMODO不一樣的地方在於Outpost有所謂的廣域設定，這部分跟COMODO一樣
但Outpost用了另一種方法來呈現，這部分倒是Outpost要方便了許多




但是HIPS我們手動可以設定的部分卻是COMODO要多於Outpost




另外一個很重要的一點就是雖然Outpost同樣擁有RD防護
但是跟KIS一樣，當process近於屬於黑名單行為時候才會出現作用




換句話說就是Outpost缺乏RD的自定義功能！
除了RD外Outpost同樣也不具有FD規則編輯的功能
這個就不是Outpost可以跟COMODO相比的地方

再來就是防護的部分，我使用AKLT 3作為測試
Outpost對於AKLT的KeyLog行為幾乎都能阻止






換了另一個比AKLT高階的Zemana的Log測試工具
Outpost在這個測試下完全無反應，這系列的測試
COMODO跟KIS都可以防的了了，顯然Outpost在這部分還是弱了一點




雖然Matousec上的成績顯示Outpost比COMODO分數要來的高一點
但實際上是不是這麼一回事？所以一個產品的好壞絕對不能只看測試結果
結果論不適合用在Matousec所做出來的測試上，尤其是這些屬於TOP級的產品！
所以我覺得先瞭解它們的產品定位我想會比較重要，畢竟光從功能上來比較
Outpost光提供的功能就比COMODO要少了很多，就算從都有的功能上來看
COMODO也遠比Outpost所提供的要來的豐富許多，如果你是一個End user
那COMODO絕對是比Outpost符合你需求的一款安全軟體！ (繼續閱讀...)

Giveaway of the Day - Zemana AntiLogger

這是Giveaway每日大方送的軟體
是一款簡易又強大的HIPS軟體，現在透過Giveaway of the Day活動
可以免費獲得Zemana出品的AntiLogger免費一年授權！



Zemana這家公司還有它們出品AntiLogger我就不再多解釋了
如果是新朋友可以參考我以前寫的評測



如果要問我對它的評價，我會說它的Anti KeyLog很強
比同樣也是免費版的ThreatFire還強上不少，在以前的測試中
這部分的測試可能還勝過COMODO與KIS，不過這是我以前的測試
現在COMODO跟KIS有沒有追上來我就不知道了？
或許有空我會考慮測試一下！ (繼續閱讀...)

微軟允許用戶移除Windows 7內的IE瀏覽器！

延續之前的一個話題
微軟在Windows 7 Build 7048內，開放讓使用者自訂應用程式
IE 8也包括在內，這似乎是跟之前歐盟的裁決有關！



這是一篇來自ComputerWorld的報導
微軟在最新的Windows 7測試版中允許用戶自訂預設應用程式
其中IE也可以被移除，或者是關閉它，這是10多年來首次
微軟提供正當的管道允許IE不被使用，或不見它的芳蹤 (繼續閱讀...)

Debian 5.0 with LXDE 真的快好利害！

話說Debian 5.0也推出好幾天了，我上個禮拜因為好奇
特別抓了LXDE桌面環境的版本，LXDE是由台灣人PCMAN團隊設計製作的
X11開源操作環境，適合硬體需求不高的電腦
根據官網上的描述，LXDE在Pentium II上，還能保持一定的流暢度
是一款羽量級桌面環境，相較於比較普遍的Gnome或者KDE桌面環境
LXDE對系統的負擔又更小了很多！



安裝時後的發現，Debian除了文字模式安裝外
它還可以選擇進入圖形安裝模式，而不是像Live System那樣，進入系統後可以做其它工作
這是一個基於GTK的圖形安裝介面，安裝上還算是方便
由於太久沒有用Debian了，不太清楚這個新的圖形安裝精靈是否為5.0版新特性
Debian在這方面還算是有用心！





使用LXDE後，電腦的速度確實變的飛快，開機完只吃了不到60MB的主記憶體
看到這裡，或許有人覺得60mb已經很低了，但我還是要透露一下
我的ArchLinux用LXDE後，開機只吃不到50MB的主記憶體
所以Debian在這個部分，還有不小優化的空間！







總體而言，LXDE不但適合像eeePC這樣的小型NB外
用在老硬體上也是相當適合，如果你像我一樣喜歡壓榨電腦的性能
不妨也來跟我一起用LXDE桌面環境！


下載Debian with LXDE
Debian with LXDE ftp server
Debian with LXDE http server (繼續閱讀...)