分享一些經典桌面與音效主題

今天趁著假日，整裡了一下硬碟裏面的東西
順便把一些自己收藏已久的東西拿出來打包
主要都是一些音效還有佈景主題
有OpenSolaris、Ubuntu、OpenSuse經典主題



首先分享Ubuntu 6.06的桌布
這桌布名字叫作Ubuntu的黎明
如果沒有記錯，在6.06之後的版本已經沒有這張桌布了




再來也是Ubuntu 6.06的音效主題
我個人非常喜歡Ubuntu 6.06的音效主題
6.06之後的預設音效主題都帶了點非洲原始部落的味道
自己不是很喜歡，還是喜歡Ubuntu 6.06的音效主題




這個是OpenSuse的登出與登入音效
我個人也覺得這音效相當經典，一起分享給各位




最後這個是OpenSolaris的GNOME主題，包含圖示檔





(繼續閱讀...)

F-Secure Mac Protection Technology Preview is Leak

F-Secure不久前發佈了MAC版的防毒軟體
繼BitDefender還有Symantec的腳步之後
又有一家國際大廠推出了MAC版防毒軟體



話說目前MAC OS處於兵荒馬亂的戰國時期
以往人們認為MAC OS不存在病毒的威脅
但自從年初的iWork 09加料事件
人們才知道原來MAC要中毒也是這麼容易的一件事情
防毒廠商看準了商機，陸續推出for MAC的防毒軟體


今天F-Secure也推出了！
不過目前仍處於測試的狀態
初期只提供基本的病毒防護，還有友好的操作介面
其它特性以及軟體需求可以參閱Release Note

如果有MAC用戶願意安裝與測試可以來官方網頁申請 (繼續閱讀...)

Kaspersky InternetSecurity 9.0.0.437 RC當中的缺憾

Kaspersky新一代的安全軟體目前已經到候選版本的階段了
功能與新特性大致到目前都已經確定了
但我們今天不是要來看它有了哪些增強
也不是要看多了哪些新花樣！
我們來看一下KIS 9.0.0.437中的SandBox功能



以前介紹過SandBox的功用
但是事實上SandBox的功用不只這些
一般我們較為常見的SandBox大部分只實現磁碟讀寫部分的虛擬定向
很少有HIPS能夠實做記憶體部分的虛擬定向，但究竟將記憶體虛擬定向有什麼好處？

簡單的說被重新定向的對象不同，以往我們只將運行於SandBox內的程式對磁碟的寫入
給重新動向到了一塊隔離區內，所有的寫入皆不是真實的寫入
我們只要清空SandBox，所有先前在SandBox內寫入的資料將會消失

而有記憶體虛擬定向的SandBox，它可以保護process與precess之間的存取
用一個實際的例子來說吧，木馬它要盜取你的帳號資料
除了鍵盤測錄(KeyLog)之外，還可以利用讀取precess內的明碼資訊來達到偷照密的目的
這個時候如果我們有一個具備記憶體虛擬定向功能的SandBox
那我們就可以用SandBox來防止木馬存取process，或保護重要的process被其它process存取
這樣的結果可以讓我們的網路環境變的更安全，也比去實做AD要來的有用


首先我們來看一下AKLT 3在SandBox中執行
我選擇不攔截它的KeyLog行為，我們可以看到鍵盤測錄成功




這個測試結果說明KIS 9.0.0.437的SandBox內部並未將記憶體存取給重新定向
所以AKLT 3可以隨意存取其它process

但是如果有從KIS 8.0就開始用的人
應該都會知道KIS有一個虛擬鍵盤(Virtual Keyboard)的功能
這個虛擬鍵盤可以在不依靠AD的情況下通過AKLT 3的測試
原理就是禁止process之間的隨意存取




我基於好奇，把KIS 9.0.0.437的虛擬鍵盤開啟了
神奇的事情居然發生了！！

開啟虛擬鍵盤的情況下居然預設禁止全域螢幕擷取(Take ScreenShot)
不必靠AD就可以通過ASTE的螢幕擷取




開啟另一個螢幕擷取工具，當我選擇擷取全螢幕時
只能得到這樣的全白的視窗畫面，換句話說
在虛擬鍵盤開啟的情況下，所有的螢幕擷取都會失敗！




測試到這邊我們可以從這樣的測試結果得知
Kaspersky確實實現了記憶體虛擬定向，所以它並不是沒有記憶體虛擬定向
雖然實現了，但它卻只用來保護虛擬鍵盤！其它在SandBox中執行的程式卻沒有受到同樣的保護
這是目前我發現一個比較奇怪的地方，該問題會通過上報告知Kaspersky Develop Team (繼續閱讀...)

究竟該不該用VirusTotal？

相信很多人一定都用過VirusTotal這個線上掃瞄工具
如果沒用過，也或多或少會在分享論壇看到有人引用VT的掃瞄結果
今天我們要來討論一下VT這種線上掃瞄服務究竟如何幫助使用者分辨病毒



當我們丟一個檔案到VT上後，會經過40家公司的引擎掃瞄
然後陸陸續續丟出掃瞄後的結果，然後VT會再丟個偵測率結果出來



大部分人很少會去質疑VT的結果，並認為如果被報的數量相當可觀
大概十之八九絕對不會是什麼好東西！

但是大部分人從來沒有想過以下問題，如果40家引擎都沒有報
難道就代表樣本百分之百絕對不會對系統造成傷害嗎？
反之，如果很多家公司的引擎報，就代表一定存在威脅？
有用過防毒軟體的人或多或少應該知道，防毒軟體有細部的選項作為設定
問題是大部分人均不知道也沒有想過VT上的引擎究竟是如何設定！

針對這些問題，可以分好幾個部分討論
首先VT上的引擎均來自各家不同的公司
這些公司的技術程度均不同，緝毒引擎有好有壞
每家公司對威脅的策略也都不盡相同

基本上各個引擎之間量級已經明顯不一樣了
放在一起掃瞄然後作偵測率百分比
已經很明顯存在一個誤導的空間在！


再來引擎的設定問題，VT上的引擎通常都與我們使用的版本會不太一樣
例如Kaspersky直接開啟偵測no-virus等的風險軟體
而Panda直接開啟最高啟發，最高啟發在個人版是不啟用的
時間久了，有人就開始以為Kaspersky跟Panda都有很高的誤報

由於每家公司對威脅的策略都不同，像有些引擎是直接見殼就報
有些則表現比較成重穩定，例如AntiVir、Avast、BitDefender、CAT-QuickHeal、F-Prot
這些都是比較喜歡報殼的AV，而像Kaspersky、McAfee、NOD32、Panda、Symantec
相形之下這些都是比較保守的AV，它們不會無故報殼，品質與技術上均具有一定的實力！


今天收到朋友的求救，說他好像中毒
隨既傳來了一個樣本，希望我幫他分析一下
這個樣本看名稱應該是一個"續號產生器"
執行後確實是一個"續號產生器"，接下來我就開始分析了他的行為
不分析還好，一分析怪我就開始疑惑了．．
因為這樣本並沒有危險行為，或者其它特殊行為會觸發HIPS
我根據這樣本破解的對象，上網找了這個軟體測試
用它產生的續號也確實能夠使用！



所以我直接排除了樣本是病毒的可能
我把這個結果告訴我朋友後，他仍然堅持這樣本事病毒
沒多久後他就傳了VT的掃瞄結果給我



我告訴他，VT的結果不能盡信，並把箇中原由告訴了他
他才曉得他長時間依賴的VT原來是這麼一回事！
我自己平常不用VT，我也建議沒能力自己分析樣本的網友
對於可疑的樣本應該交由專門的公司分析，而不是一股腦的全都往VT上丟 (繼續閱讀...)

AVG AntiVirus Free 8.5.339 SP1 is Released

AVG在不久前推出了新版免費防毒軟體8.5.339 SP1
這次的改進包括Safe Search支援百度搜尋引擎
對惡意代碼的防禦能力加強，並強化特偵碼對家族性威脅的偵測能力



Rekease Note：

News

* Safe Search: Support for Baidu search engine.
* Update: Improved malicious code prevention.
* Toolbar: Improved user interface, support for non-English languages, and various bug fixes.

Improvements

* AvgSys: Optimization of log files number.
* Core: New family of Swizzors detected.
* Core: Detection of FakeAlert family.
* Core: Detection of new modification of polymorphic virus Win32/Virut was added.
* Core: All known versions of polymorphic virus Win32/Virut are now detected.
* Safe Search: Improved anti-phishing coverage in Search-Shield.
* User Interface: "Send to analysis" button in Virus Vault was removed and replaced with context menu.
* User Interface: Correct displaing of EULA text in the About dialog with other than native Windows codepage.

Fixes

* Core: Fixed problem with crash while scanning PDF files.
* Core: Fixed occasional crash of scanning engine.
* Core: Fixed problem of crash while healing Mozilla Firefox 3 cookies.
* Core: Fixed problem with processing slowdown during Resident Shield scanning LNK files.
* Core: Fixed problem with ZoneAlarm incompatibility.
* Core: Fixed problem with missed detection in corrupted *.cab and *.zip archives (thanks to Thierry Zoller).
* Outlook: Fixed double prompt on password-protected stores.
* Outlook: Fixed possible crash of MS Outlook 2003 on email receiving with MSO enabled.
* SafeSurf: Fixed problem with wrong displaying Safe Search flyovers in IE8.
* Setup: Fixed instalation failure if administrator directory access is missing.
* Setup: Fixed crash of setup instalation if directory access for Administrator is missing.
* User Interface: Fixed problem with editor of excluded directories for Resident Shield.
* User Interface: Fixed problem with color text display when Windows inverted color scheme is used.

Process數量



資源佔用情形



有興趣的可以按我下載AVG 8.5 Free (繼續閱讀...)

Free AntiVirus of Klingon！

最近Star Trek電影熱烈上映中
在電影裡，有一個外星種族叫做克林貢人，他們跟地球人一樣都是星際聯邦的成員之一
在影集或電影裡，對克林貢人的文化還有歷史是所有外星種族裡描述的最仔細
也最完整的一個，他們甚至人造了克林貢語，有些對語言有天份或興趣的人
還會特別來學這種"外星語言"，對一個人造語言來說還真的不少人會克林貢語
就連Google也有"克林貢語版"



現在英商Sophos公司，他們提供了克林貢語的免費防毒軟體
完全免費！由於沒有即時監控，所以它可以很好的相容於你目前現在的系統
而不用去擔心會造成其它意外的衝突










(繼續閱讀...)

科莫多網路安全套裝 3.9 正式版發佈！

稍早之前COMODO Internet Security 3.9已經發布正式版了
是第一個支援正體中文的正式版本，並修正以及強化了舊版的部分功能
再次感謝AVPClub論壇的對社群的貢獻



Release Note：

What's New in 3.9.76924.507?

THANKS! COMODO would like to thank the BETA testers and the translators, whose invaluable efforts made this release possible.
NEW! Multilingual Support: CIS now supports other languages
NEW! Stateful File Inspection for Realtime Virus Scanner
NEW! Integrated In Memory Virus Scanner(i.e. Integrated BOClean)
NEW! LivePCSupport is provided as a 30 Day Trial
IMPROVED! Default popup layout changed to the basic layout in order to encourage the use of it
IMPROVED! Stronger Defense+ protection: New types of defenses are added e.g. Clipboard logging, Keyboard input blocking etc.
IMPROVED! Keyboard and Screen access alerts are improved and number of false positives are reduced
IMPROVED! Stronger Defense+ protection while the Windows is Booting/Shutting down
IMPROVED! Stronger Default Firewall policy in order to better hide from attackers(Thanks to feedback from our forum moderator Ronny)
IMPROVED! Configuration Management window is changed
IMPROVED! Submission functionality for the Quarantined items added
FIXED! Avntivirus heuristics does not detect some files properly
FIXED! Defense+ BO protection incompatible with Spy Swepper virus scanner.
FIXED! CIS does not validate digital certificates properly
FIXED! CIS blocks some application from being executed
FIXED! BSOD while CIS is being uninstalled
FIXED! CIS does not detect some types of shellcodes upon a BO attack
FIXED! CIS erroneously reports buffer overflow attacks for some applications under certain circumstances
FIXED! CIS does not scan specially created RAR files properly (http://www.securityfocus.com/bid/34737, first reported by Thierry Zoller)
FIXED! CIS creates duplicate file name entries for some protected file access alerts
FIXED! Right click scanner reports "Antivirus Engine is not initialized"
FIXED! Threatcast registration does not work properly(This bug caused some users unable to see TC statistics)
FIXED! CIS occasionally crashes while submitting the files
FIXED! CIS firewall drivers sometimes cannot be restored by the diagnostics utility
FIXED! CIS did not scan NTFS streams during manual scanning
FIXED! Windows Logon Screen is shown when CIS is installed under certain circumstances(Windows created a password bug)
FIXED! CIS causes system performance to degrade after prolonged time of network data transfer

The fololowing languages have been included with this release:
Arabic Brazilian Chineese(Simplified) Chineese(Traditional) Czech Danish Dutch Estonian Finnish French German Italian Japaneese Polish Portugeese Romanian Russian Slowak Swedish

We have not received any translations for the following languages and hence not included them in this release:
Spanish Hungarian Croatian Norwegian Turkish Greek Indonesian Finnish Hebrew Persian Korean Catalan
Serbian Ukrainian

主要是加強了D+還有AntiBO的能力
AV的部分整合了自家BOClean，啟發引擎也再度獲得提升！
而且還改進了開機與關機時的保護能力
這一項明顯是為了通過Matousec的測試所做的改進


目前CIS 3.8可以藉由自動更新升級至CIS 3.9
更新過程為兩個階段，第一先更新"自動更新"
再來才會進行升級至CIS 3.9的過程

如果你使用CIS 3.5請移除後在安裝CIS 3.9

由於AV以整合BOClean，所以已經安裝CIS 3.9全功能版
可以接著移除原本的BOClean

另外CIS 3.8更新可能會出現其它問題
目前不知如何解決．．





CIS 3.9的正體中文化的介面，能夠幫助更多人選CIS作為自己的系統安全軟體




接下來測試了一個CIS 3.8以及3.9 BETA版無法完全通過的測試
這個測試程式可以同時進行鍵盤側錄、螢幕擷取、盜取剪貼簿三種行為
新版的CIS 3.9在這部分的表現已經全數通過，目前AntiKeylog上的表現
CIS已經超越了KIS 8.0.0.506，KIS在這個測試的表現與3.9正式版以前的CIS一樣
都僅通過鍵盤側錄這一項測試而已




再來這個是一個現實世界中的樣本，並非測試程式
這樣本是一個鍵盤紀錄器，但會通過BFO取得root權限
並開始對系統進行竄改！CIS 3.9在這個樣本上的表現相當良好
就算你選擇略過也會一直提示！

(繼續閱讀...)

來談一下Windows不安全的設計

最近看到有新聞報導，關於Windows作業系統是何等的安全
仔細看過文章，說的好像真的有那麼一回事，而事實也確實是如此
但我覺得微軟之所以敢這麼說，主要是因為他知道別人不會聲張
也不把微軟當作自己的競爭對手，這裡我就來聊一下一般人一定知道
但是卻不會去發現到並注意原來這是一個帶有安全隱憂的缺陷設計



在windows電腦上的執行檔、媒體以及資料檔，大部分都設計帶有副檔名
副檔名可以幫助我們分辨該檔案的類型，例如.zip我們就知道它是壓縮檔
.exe我們就曉得它是一個可執行檔，但是在windows上卻是預設隱藏副檔名
這個設計好像從windwos 95還是2000開始就一直是這樣，連最新的win 7也不例外

預設隱藏副檔名的結果就是，如果你從網路上下載了一個來路不明的檔案
這個檔案表面上看起來是一個資料夾的圖形，但實際上它是可執行檔
只是圖示被弄成跟資料夾圖示一模一樣，這時候如果你隱藏副檔名
又在沒有安裝安全軟體的情況下，滑鼠雙擊進行開啟，那你已經中毒了

這種情況可以針對特定人士做些小改變，例如我可以把可執行檔的圖示
改成word檔或者mp3音樂的圖示，配合一段假造的說明讓你以為這一切都是真的
或者也可以將檔名改成雙副檔名的方式，例如apple-2009-10-15.jpg.com
改成這樣windows它會自動截斷檔名過長的部分，如果你沒有開顯示副檔名
那它會變成apple-2009-10-15.jpg這樣，最後面的.com消失了！
大部分人不管是否經過訓練，只有極少部分的人會起疑
如果你有開啟顯示副檔名，也會因為自動截斷長檔名的關係
大部分的人也很難發現這當中的蹊蹺！

目前現實中，存在著相當多這種愛玩cosplay的病毒樣本
模樣五花八門，防不慎防！如果你問我是否只要開啟顯示隱藏檔就可以了？
我會建議你直接找一套好的安全軟體來用還比較快
因為現在病毒很多種，現在的人光隨身碟病毒
這種在我眼裡不足為懼的東西都搞成這樣了
找出來的方法不外乎就是關閉自動執行而已

一種攻擊方式找一種防禦方法，看起來好像很簡單很省時或很省錢
很多專門寫所謂"專殺"的人它們的作品老是號稱比有品牌防毒還強千倍萬倍
但換了另一種型態的病毒，完全就不行了！從以前的灰鴿子、熊貓、 機器狗
到現在的隨身碟病毒，你只需要裝一套好的安全軟體就夠了！
不用灰鴿子專殺裝一套，熊貓專殺也裝一套

對於防毒正確的方法是預先做好防範，而非事後尋求亡羊補牢之方法
對windows用戶來說，所謂的安全只是相對比較之下的結果
這個結果可能是極端的，也可能是製造的，不代表用了它
你從此就與病毒絕緣了！ (繼續閱讀...)

NoScript 作者：人不為己天誅地滅

NoScript是個Firefox上的安全性擴充套件
它可以讓用戶在第一線避免很多惡意攻擊
例如網頁代碼中暗藏的媒體撥放連結
或者是Dlwnloader之類的東西
對一些不怕麻煩的人來說
NoScript確實是個好東西



很多人包括我都非常感謝他對於網路安全的奉獻
但是好景不常，既使是網路安全專家他也是要吃飯的
另一個Firefox擴充套件Adblock Plus的作者
日前在他的blog寫道有很多人寫信問他可否在Adblock Plus的官方網頁刊登廣告
他在文中報了一個料，他說NoScript的作者為了自己的利益
接受了在NoScript官網放置商業廣告，並且頻繁升級NoScript這個擴充套件
因為擴充套件升級，在瀏覽器重新啟動後會自動連結至官網，如此可以增加廣告曝光率
當然，單從這點來看NoScript作者似乎沒什麼不對，可以一邊賺錢一邊做自己有興趣的事情
何樂而不為呢？但是人都是很精明的，因為通常會使用NoScript的人
也幾乎都會使用Adblock Plus這個擋廣告的擴充套件
想當然NoScript官網廣告的曝光率當然不高
因為NoScript的廣告存在於EasyList黑名單中，全被擋掉了

針對這個棘手的問題
NoScript作者採首先取了一種干擾Adblock Plus的方法
讓使用者瀏覽NoScript官網時Adblock Plus會"暫時"失去作用
後來這個被人給罵翻了，不過NoScript作者也並非完全不可理喻
他接受了民怨，並同意修改，但是被改成會自動添加例外規則到Adblock Plus白名單內
這個規則的添加是透過Adblock Plus提供的API所實現的
一般透過這個API我們可以在網頁上直接點選你想要訂閱的規則
只是現在被NoScript作者拿來鑽漏洞，讓Adblock Plus不會阻擋自己官網的廣告
而且如果你手動刪除這些規則，下一次啟動它又會自己添加回去

當然網路上又把這樣的行為給罵翻了天．．
對此NoScript作者表示規則會自動添加完全是因為bug所引起的問題
老實說我不相信這是一個bug，我比較傾向去相信NoScript作者被錢衝昏了頭
因為NoScript作為一個安全性質的擴充套件，竟然暗地裡幹這些見不得人的事情
NoScript我已經不會再去用它了，對我來說NoScript作者在我心中已經黑掉了

就跟360安全衛士一樣！
很多人不知道，創造出360安全衛士的人跟幾年前網路上惡名昭彰
的流氓軟體3721的創造者是同一個人！
與NoScript的差別是一個金盆洗手開始當起網路安全專家了
另一個則是從網路安全專家墮落到開發流氓軟體
兩者都是非常巨大的轉變，不管最後結果如何這兩個軟體我是永遠都不會再用了！ (繼續閱讀...)

F-Secure：用戶應該放棄Adobe Reader改用更安全的PDF客戶端！

現在的網路實在是越來越不安全了
就算你有良好的上網習慣
你還是無法避免中毒的情形發生
在沒有任何安全軟體的協助的環境
茫茫網海中，單靠"使用習慣"是無法讓你全身而退的！



漏洞攻擊是網路上常見的攻擊方式
通過系統軟體(例如IE)或者是普騙使用的第三方軟體(本次主角Adobe Reader)
都是目前相當普遍的攻擊方式，雖然這類攻擊可以靠有AntiBO的軟體防禦
但是軟體AntiBO做的比較好，又容易取得的CIS所支援的BFO類型
還有待繼續增加，換句話說我們無法完全避免遇到這類型的攻擊

F-Secure的安全研究專家認為我們應該放棄Adobe Reader
改用其它替代的PDF客戶端軟體
因為目前專門攻擊Adobe Reader的PDF檔非常多
Adobe的修復又不夠及時，大部份修復速度都來的比微軟還要慢
而且Adobe Reader也實在稱不上安全，Adobe Reader經常被發現漏洞

所以基於安全的理由F-Secure安全研究人員建議
我們應該放棄Adobe Reader採用開源的PDF客戶端
由於PDF是個開放的格式，不會像MS Office一樣
存在著無解的相容性問題，所以在方面的選擇還算不少
可以參考PDFReaders.org列表中所提的軟體進行取代
或者使用一般人比較常用的Foxit
Foxit跟Okular一樣都是屬於比較優秀且支援Linux與WIndows的客戶端軟體

如果不想每次軟體更新都要追版本
其時真的可以認真考慮一下改用替代軟體
而且Foxit跟Okular在一搬使用上其實也夠用了

(繼續閱讀...)