Board logo

标题: TW2的安全浏览功能有效性的探讨 [打印本页]
作者: playgon    时间: 2007-6-23 16:54     标题: TW2的安全浏览功能有效性的探讨

  TW2的安全浏览功能能防止浏览器执行外部程序从而防止网页木马。我在使用过程中,感觉并不全部有效,也可能当时版本较旧,有时用TW2浏览网页时,瑞星报警有程序要写注册表自动运行,而此时,TW2没有反应。(我的安全设置基本上都选了,是选的最安全的方式了,如图)
  另外有个软件叫IE卫士(IEKavass),可以有效的防止木马病毒,但只支持IE和MT,它有个自带的测试浏览器是否安全的程序,我上传上来,让大家研究一下。这个软件的官方主页是:http://www.iekavass.cn
  我希望能得到TW2高手的答复,目前版本是否能真正有效的防止网页木马,请理解我让网页木马吓怕的心情。
  附件1是我的TW2安全设置的截图,附件2是支持IE和MT1的IE卫士,附件3是支持MT2的IE卫士,附件4是测试浏览器是否能防网页木马的程序,在执行附件4测试时,进程中会出现以iekavass+数字名称的进程,实际上是模拟木马,点击弹出的提示后,该进程自动消失。
作者: playgon    时间: 2007-6-23 17:00

自己顶一下,没沉了底,与高手探讨。
作者: evilcat    时间: 2007-6-23 17:14

  1. 2007-06-23 17:04:46        修改其它进程内存
  2. 操作:允许
  3. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
  4. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
  5. 2007-06-23 17:04:48        修改其它进程内存
  6. 操作:允许
  7. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
  8. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
  9. 2007-06-23 17:04:49        修改其它进程内存
  10. 操作:允许
  11. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
  12. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
  13. 2007-06-23 17:04:50        创建远程线程
  14. 操作:允许
  15. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
  16. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
  17. 2007-06-23 17:04:51        运行应用程序
  18. 操作:允许
  19. 进程路径:D:\Program Files\TheWorld\TheWorld.exe
  20. 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IEKavass32583.exe
复制代码


TW的安全设计是为了对安全做点有益的补充,功能并不算强大,你不能完全指望TW的保护哈。
上面是EQ记录的(哪位有其他的HIPS更详细的AD记录就发上来哈),似乎穿透了TW的保护,不过我总觉得哪里怪怪的,一时还想不出来

[ 本帖最后由 evilcat 于 2007-6-23 17:20 编辑 ]
作者: Aycox    时间: 2007-6-23 18:18

不是高手也非专业出生,只说说个人所知所解:
TW的安全浏览着重浏览安全,作为一种保障系统安全的辅助而非替代品,我想很多人误解的地方在于,安全浏览不可能去检查下载回的东东带不带毒(否则就需病毒库变杀软了),也不会去做HIPS软件所做的事,但假如所浏览的网页要执行程序那么安全浏览将发生作用。

因此,象楼主所说的瑞星报写注册表自动运行而安全浏览未报显然更应该是监控软件的范畴,那个网页具体原理如何不懂,但脚本也可写注册表不一定是恶意程序运行之后写的,至于脚本写注册表专业软件也只是针对写的目标作出监控判断而非写这个动作(除非屏蔽)。

至于那个测试程序,如果它是一个网页可能更有说服力,具体实现原理不知道,有高人可以执教一下,不过本人认为这个并非是通过网页来实现的,我想它与浏览器劫持应该差不多,如上面所说也就不在安全浏览的作用区。
作者: 零号    时间: 2007-6-23 18:39

开了主动防御的卡巴能够防住哦~~~
作者: cyberarmy    时间: 2007-6-23 18:45

瑞星IE保护,而TW2的作用就和瑞星保护的作用差不多,禁止直接网页里执行EXE (MS 07-017鼠标漏洞时的防护效果十分明显)。但是瑞星的IE保护很早就被破了。分别下载EXE和脚本到本地,然后再通过脚本执行EXE,这样就绕过了瑞星IE保护,相信TW2的也同样被绕过。
作者: playgon    时间: 2007-6-23 21:16

我提到的TW2并不能完全防护指的就是网页执行程序,也就是现在TW2称为安全浏览的部分,并不是指的像Aycox超版说的,连下载的软件都保护了。
Aycox超版有时间可以下载IE卫士看一下。
现在情况是,使用TW2浏览含病毒的网页,也可能中毒。
正如Evilcat兄所记录的。其实并不是让TW2拥有HIPS功能,这是不现实的,毕竟TW2的任务是浏览网页。
但是如果能真正有效的防止病毒网页种植木马我想应该更好。
现在使用网银和网络炒股的人越来越多,浏览安全日益重要,毕竟,下载软件到知名软件站点,一般不会有病毒,但浏览就复杂一些了,不能只去搜狐、网易之类的。
作者: michael185    时间: 2007-6-23 21:26

好的上网习惯是最重要的,我裸机,我没事,我先TW不是选安全,当然我不是说做的不好,我只是说那只能是个辅助作用,个人的使用才是最大的问题
作者: playgon    时间: 2007-6-23 21:38

2007-06-23 21:44:24        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:44:16        运行应用程序
操作:允许
进程路径D:\TheWorld 2.0\TheWorld.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
2007-06-23 21:43:57        创建远程线程
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:56        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:54        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:47        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:33        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:42:46        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:42:15        运行应用程序
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
2007-06-23 21:41:41        安装全局钩子
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:41:10        运行应用程序
操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\Program Files\WinRAR\WinRAR.exe
2007-06-23 21:40:00        文件保护已经开启.

2007-06-23 21:40:00        注册表保护已经开启.

2007-06-23 21:40:00        应用程序保护已经开启.

这是我直接打开压缩文件中的IE卫士测试工具显示信息。用EQ监控的,高手可以分析一下。

[ 本帖最后由 playgon 于 2007-6-23 21:41 编辑 ]
作者: playgon    时间: 2007-6-23 21:44

原帖由 michael185 于 2007-6-23 21:26 发表 http://bbs.ioage.com/images/common/back.gif
好的上网习惯是最重要的,我裸机,我没事,我先TW不是选安全,当然我不是说做的不好,我只是说那只能是个辅助作用,个人的使用才是最大的问题


你上网的面很窄吧,如果要你搜一些资料,上网的面再多一些,嘿嘿,不好说。
作者: playgon    时间: 2007-6-23 22:38

不过我已经向IE卫士的作者反应情况了,希望后续版本也能支持TW2,毕竟现在通过网上银行和网上炒股还有玩网络游戏的人多了,谁都不希望被木马盗去资料,其中浏览网页中毒又是中毒可能最大的。
作者: evilcat    时间: 2007-6-23 22:50

不知道你有没有试过别的浏览器,FX,opera都过不了
我突发奇想测试的记事本,他也说中标了。
自己现在只有EQ,不能准确的知道这测试到底做了什么,不过觉得这测有点问题。
别拿这当真,我个人觉得这测试有点广告的嫌疑。

[ 本帖最后由 evilcat 于 2007-6-23 22:58 编辑 ]
作者: hynos    时间: 2007-6-24 08:55

个人认为这个功能也就是能防止EXE运行,对别的木马、病毒没啥作用。比如上网时经常遇到的jpg病毒。
作者: Messiah    时间: 2007-6-25 12:07

简单的说,TheWorld2的安全浏览,目前仅仅能防止两种操作:
一个是未经过用户准许而启动的进程
另外一个是防止用户的输入被截取

但病毒木马的入侵是多种多样的,TW不会也不可能完全将其拦截掉,现在的这些基本功能只能是有限的保护用户
为了安全,还是要经常的更新系统漏洞补丁,防病毒和查杀木马的软件也是不可少的
作者: playgon    时间: 2007-6-25 13:25

谢谢管理员的解答,安全浏览现在已经很实用了。
作者: mmnm    时间: 2007-6-25 19:16

杨修说:食之无肉,弃之有味。
作者: phoenix    时间: 2007-8-1 15:46

今天才有空来看这个帖子

刚才简单研究了一下楼主提供的“测试浏览器是否能防网页木马的程序”,发现它是在浏览器线程外执行的程序,所以绕过了TheWorld的安全浏览

但我这里要强调的是,利用缓冲区漏洞,理论上可以做任何事
  - 就像有人问的那样,为什么要直接执行进程,特征那么明显呢?直接修改注册表安装驱动,安装随系统启动的程序不行么?答案是当然行。

利用缓冲区溢出漏洞的代码,编写起来相对复杂,在里面加入很多功能是比较困难的,最简单的方法就是只用这代码执行一个另外的程序,那个程序就是正常编写的了,可以方便的做任何逻辑。
  - 这也是所以世界之窗浏览器安全浏览功能加入了对执行进程的干预的原因,看似功能单一,但实际对绝大多数情况有效,尤其国内被挂马的网站,几乎清一色是执行进程。

这个测试程序并没有在浏览器线程中执行程序,它另启了一个新的线程在其中执行程序。实际上它执行程序的动作被世界之窗安全浏览侦测到了,但是直接放行了 - 因为我们目前知道的页面挂马程序,都是在浏览器线程(就是页面窗口线程)中执行的程序。

结论:
1. 这个测试不一定适用于实际情况
2. 如果有人知道哪个利用页面缓冲区漏洞执行的木马是在新的线程中执行起来,而不是在页面线程,请告诉我们

工作室不是安全专家,对于这类问题不能做更深入的探讨,如果我们有什么地方的认识是错误的或者片面的,请您不吝赐教
作者: fl1314    时间: 2007-8-1 16:27

高手如云啊
作者: ilysm    时间: 2007-8-1 16:31

有好过没
作者: fairy013579    时间: 2007-8-1 18:18

卡巴的Web反病毒保护一般都能杀那些木马
作者: 擱淺Δē√瑷    时间: 2007-8-1 18:20

咱是传说中的菜机。
上网不开防火墙,杀软~!!
作者: 零号    时间: 2007-8-1 18:21

有效啊,我用马桶开某些网站卡巴就叫,用TW就第一次加入安全浏览黑名单后卡巴就不会叫了。
作者: xgdj82    时间: 2007-10-15 14:30

谢谢
作者: zhuangv    时间: 2007-10-15 16:52

原帖由 phoenix 于 2007-8-1 15:46 发表 http://bbs.ioage.com/cn/images/common/back.gif
今天才有空来看这个帖子

刚才简单研究了一下楼主提供的“测试浏览器是否能防网页木马的程序”,发现它是在浏览器线程外执行的程序,所以绕过了TheWorld的安全浏览

但我这里要强调的是,利用缓冲区漏洞,理 ...



丽华快餐在线订餐:
http://www.lihua.com

每次下订单都会调用msn,
TW没反应,
不知道是怎么实现的
作者: playgon    时间: 2008-1-7 21:57

其实TW的安全功能已经很不错了,记得我同事用MT1打开Baidu搜索到的一个网页,直接中标,我在另一台电脑上用TW2打开,报警。
不过现在的MT2直追,在这方面做得更好了,直接连我提到这个都管用。
其实要感谢TW2,是它第一个提出安全浏览的。
作者: newthink    时间: 2008-1-29 20:51

我比较赞成Aycox的说法,这是定位问题,既然是浏览安全,它只负责网页内容的安全问题;我没什么技术,个人觉得Theworld只是在网页有程序要执行,一般是网页木马或者插件之类有提示。网页木马,相信有些应该知道,是通过VBScript来实现的,这都是IE的问题,它有一个FSO,如果你禁用了“活动脚本”,那就没有了问题,木马就无法执行了!!!但很多网页必须要这个,那你把该网站加入“白名单”就可以了!
作者: wwwcccyyy    时间: 2008-1-29 23:16

不错,世界之窗,,,
俺打开了宽带就用它
作者: vanioage    时间: 2008-1-30 00:29

安全浏览只是个小功能,至少我对它的实际效果没抱过多大期望
老老实实装杀软防火墙吧,实在勤快的话用HIPS
和火狐所谓“不会中毒的浏览器”相比,TW的“安全浏览”还是可以接受的
作者: AY    时间: 2008-1-30 20:15

原帖由 newthink 于 2008-1-29 20:51 发表 http://bbs.ioage.com/cn/images/common/back.gif
...网页木马,相信有些应该知道,是通过VBScript来实现的,这都是IE的问题,它有一个FSO,如果你禁用了“活动脚本”,那就没有了问题,木马就无法执行了!!!但很多网页必须要这个,那你把该网站加入“白名单”就可以了!

FSO 在 IE 默认安全设置下是不能执行的,亦没有多少网页需要用 FSO。



欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) Powered by Discuz! 7.2