007在行动：反间谍防之有道

http://www.sina.com.cn 2005年09月21日 11:28 赛迪网--中国计算机用户

　　作者:i博士　

　　【赛迪网讯】如往常一样，做完作业的欧欧跑到网上放松着紧张的神经。这次他是想买张皮尔斯·布鲁斯南主演的007反间谍系列之一—《纵横天下》DVD。

　　根据提示，他登陆了中国银行网站，准备交易。此时，欧主管走进屋，看他正输入银

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://204.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|tech|techPIP&db=sina"><IMG SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

行卡的卡号，便问：“这是中国银行的网站吗？”欧欧不以为然地说：“是呀，那还有错。”欧主管觉得不对劲儿，“你再仔细看看，是www.bank-off-china.com吗？”

　　欧欧仔细一对，脸都绿了，中国银行的网站是www.bank-of-china.com，刚才登陆的不是真正的中国银行网站。幸亏爸爸及时提醒，不然，压岁钱早不知划到谁的腰包里了。

　　这到底是怎么一回事儿呢？明明是自己选择“中国银行”选项进行电子支付的，为何又跳到了别的网站上？

　　欧主管也不是特别清楚。前两天钱经理告诫他，不要轻易通过网站输入个人账户和密码，如果必须输入，一定要核实网站的“真实身份”。因为忙，电话里没有细聊。如今，事到临头，真得把它搞搞清楚。

　　不说为朋友两肋插刀吧，怎么也得重视一下呀。第二天一下班，钱经理、i博士齐刷刷赶到欧主管办公楼下的川菜馆里。仨人一边吃一边聊了起来。

　　钱经理边吃边说。“欧主管，你遭遇‘间谍’了。”

　　“什么？！”欧主管不知何意。

　　偷鸡摸狗激民愤

　　反间谍软件就如同防病毒一样，都需要一种可靠的解决方案和专门的研究及响应机制，跟踪新的间谍软件风险，并及时提供随威胁变化而变化的升级版本。

　　由于防病毒厂商能够迅速探测到全球爆发的威胁，在第一时间内发布计算机防护和恢复的安全更新，并且能够集中管理已部署的解决方案，因此，防病毒厂商在提供全面解决方案方面有优势。

　　“间谍”自动上门

　　钱经理解释说，欧主管家的计算机受到间谍软件的监视和控制了，从表象上看，肯定中了“网银大盗”的埋伏了。“网银大盗”是一种间谍软件，它通过仿造电子银行网站，骗取用户的信任，偷取用户银行卡号和密码，并自动发送给病毒制作者。

　　欧主管很奇怪，“我的计算机怎么就有了间谍软件的呢？”

　　钱经理笑笑，说，“说来让人难以置信，间谍软件从来不用用户自己安装，只要上网浏览、下载免费软件、收发邮件，任何被用户认为正常的网络操作，都可能引起间谍软件的自动安装。”

　　钱经理强调，一旦安装了间谍软件，用户如同走入地雷区，稍有不慎，用户账号、密码、隐私信息等就会被别有用心者盗走。经济损失、精神损失难以想像。

　　“那么，间谍软件到底是一个什么东西呢？”钱经理自问自答。

　　两大下作行径

　　间谍软件是一种综合了病毒、特洛伊木马、网络蠕虫、垃圾邮件等多种恶意程序的技术特征，专门从事“偷窥”、“盗窃”等下作之事的新形态恶意程序。

　　它的一大特点是深度隐藏自己，在用户不知不觉中，盗取用户信息。

　　过去，DLL文件的植入通常通过修改注册表来实现，往往需要再次启动才能发挥作用，容易被防毒软件等发现；现在的一些间谍软件，使用挂钩(Hook)和远程线程函数(CreateRemoteThread)的方式，把DLL文件插入到正常程序进程的地址空间。

　　这种方式的可怕之处在于，“间谍”到达目的之后，可以从正常的进程之中完全“蒸发”，不留任何痕迹。实际上，它是将自己的信息在掩护之下提前抹去了，其原理就像把监控摄像机的一端接到已经录制好的录像机上，我们观察到的影像没有任何问题，但犯罪已经完成。

　　被安装了间谍软件的计算机表面上使用正常，背地里，早已捕获了用户的隐私数据和重要信息，并发送给网络另一端的操纵者手中，甚至让黑客得到操纵用户计算机的大权，使之成为黑客和病毒攻击的重要目标和潜在目标。

　　间谍软件还有一个特点，就是通过捕捉IE的主页和搜索页面的设置，改变目标系统的行为，将网页的指向设置成用户不想访问的广告站点，使得计算机上出现大量的弹出广告而造成系统混乱。

　　鉴于这些卑鄙行为，用户又称间谍软件为“流氓软件”。

　　利益驱动邪念

　　钱经理停了停，喝了口酒，接着说：“前不久，我看到一家国际调查公司公布的一组数字，大约67%的计算机都带有某种形式的间谍软件，而有91%接受调查者的计算机都藏有间谍软件。”

　　他还说，由中国互联网络信息中心8月22日发布的《第十六次中国互联网发展状况统计报告》也显示：随着网民数量的急剧增长和宽带网络的普及，网民在计算机设备上存储的账号、密码等机密信息也越来越多，以窃取用户机密文件和个人隐私为目的的间谍软件已超过传统意义上的病毒，成为网民的最大威胁。

　　“为什么间谍软件危害面那么广呀？”欧主管不解地问。

　　i博士对间谍软件也颇有研究，趁钱经理吃菜喝酒的当儿，慢条思理地开始了他的演讲。

　　“根本原因在于：它可以为制造者获取巨大的经济利益。根据有关调查，在目前所发现的恶意软件样本中，有70%是受利益驱动的。攻击一旦与利益拥抱，防范和根除的阻力自然就很大。”

　　反间谍，防之有道

　　“然而再大，也要防，总不能束手就擒，任人宰割吧！”欧主管很是不满。

　　i博士点头称是，他接着说。目前，还有一些防范手段的。无论个人还是企业，都是先清理再防护，同时兼顾管理。

　　防范第一步：清理

　　比起一般的病毒程序，间谍软件有更高的复杂度，而且遍步系统的各个角落，难以彻底删除。甚至有些间谍软件还会多次删除，多次复出，导致使用者不得不格式化硬盘，重新安装系统。

　　一个有效的解决办法是采用专业的安全厂商提供的自动化解决方案，检测间谍软件，彻底删除间谍软件。此外，也可以选用系统提供商提供的清理工具，如微软公司的Anti Spyware工具，多方夹击间谍软件。

　　防范第二步：实时防护

　　间谍软件的入侵常常很隐蔽，而且通过多个操作步骤完成，但从一步跳到另一步，变化并不明显。对此，需要实时监控，方可提高检测的准确性。

　　在这方面，防病毒厂商提供的解决方案具有先天的优势，利用病毒和间谍软件本身的相似性，通过快速更新病毒代码库，就可以实时扫描实时处理。

　　防范第三步：满足管理需求

　　对个人用户而言，网络连接可能不是全天候的，而敏感信息量也很少；但对于企业用户而言，其网络连接通常24×7，同时企业规模越大，存在的敏感信息也越多。

　　所以，企业防范间谍软件需要建立完善的管理体系，从特征库升级、全网查杀的调动到清除结果的汇总和分析，应该通过统一的管理控制中心来处理。

　　事实上，通过对安全日志的分析，很多管理员发现病毒和间谍软件之间存在某种关联性，有些时候甚至能够预测到本企业网络未来安全趋势的走向。

　　6智6勇斗“间谍”

　　间谍软件一旦进入计算机系统，就成为一条有毒的藤蔓，缠绕在系统和应用程序之上，并和系统中的某些功能或应用程序建立关联，难以理清头绪。当用户试图清除间谍软件时，非旦事与愿违，还可能引起系统或某些应用程序瘫痪。

　　最为卑鄙的是，一些新的间谍软件建立了自我保护机制，在部分文件被删除后，可以自动修复，另一些则会“死缠烂打”，一旦发现反间谍软件，则通过修改注册表关联等方式，让整个操作系统无法正常使用。

　　从这个角度讲，相对于反间谍软件而言，间谍软件似乎技高一筹，单纯依靠单一的反间谍技术，防范起来还是有一定难度。作为用户，一方面，需借助多种其他安全技术，建立多层次的防护体系和措施，另一方面，洁身自爱，提高安全意识，尽量避免威胁动作(比如到不知名的网站下载信息等)。

　　6项基本原则

　　“对，i博士说的没错。”这时，钱经理已经吃了个半饱儿，说话底气也足起来。

　　“防范间谍软件盗取用户信息最关键的一步是清除它。刚才i博士已经提到清除间谍软件的两种办法，利用微软Windows自带的清除工具自然省事儿，如果再结合第一种办法，效果会更好。而且，专业的安全厂商提供的解决方案针对性强，查杀间谍软件能力也强。”

　　形态上，国内市场上能见到的反间谍产品多为防毒产品的一个可选项，也有独立的反间谍产品。考虑到中国用户的使用习惯和心理，国外厂商很少在国内推广独立产品。

　　选购反间谍产品，没有企业级用户、个人级用户之分，原则是一样的。

　　首先，必须保证可靠性。一方面，要选用大公司的产品，毕竟大公司有较强的研发和维护能力，能够不断保持软件的快速更新，以应对最新出现的间谍软件；而一些小公司的产品，虽然可能在某些方面比大公司的产品要好，但是后期维护跟不上，更新速度也比较慢。

　　另一方面，考虑到间谍软件的主要目的之一是收集目标主机上的机密信息，是国际间谍常采用的一种情报收集手段，所以，反间谍软件本身的可靠性也是值得考虑的一个问题。

　　其次，保证反间谍软件的特征数量尽可能多。特征库信息量大的产品能够更全面、更彻底地查杀间谍软件。

　　再有，反间谍软件特征库的更新频率要高。间谍软件层出不穷，特征库的更新速度直接影响到反间谍软件对“新间谍”的查杀能力。因此，要求特征库更新频率快，还要能够提供实时防护和在线升级能力。

　　还有，反间谍软件应该使用方便。反间谍软件需具备界面清晰、操作简单的特点，以满足不同程度的用户使用。

　　同时，它应该能够提供迅捷明了的状态显示报告，让用户及时了解间谍软件给个人或企业造成多大的损害，为用户显示最大的风险和威胁在哪里。

　　对于企业用户，还应该注意考查集中式管理的能力，以在升级、调用、数据分析等方面满足网络管理的需要。

　　此外，也需特别注意反间谍软件的性能。比如，软件运行时占用的资源(包括CPU、内存等)应该较小，间谍软件查杀速度要快，能够有效检查包裹文件(如压缩文件等)，并且其自身性能消耗应保证不影响日常应用。

　　最后，反间谍软件应该有一定的网络防火墙功能。由于间谍软件肯定要将窃取的信息和数据传送出去，必然就要与外界进行通讯。如果反间谍软件不能发现并拦截这些通讯行为，那么在安全保护等级方面就低了一个层次。

　　“知道了，那现在有什么产品可供选择呢？”在钱经理结束了长篇大论之后，欧主管提出了新的疑问。

　[1]　[2]　[下一页]