第81章
「我們要做三件事。」陳時擦掉白板上的畫,寫下了三個關鍵詞。
1.驅動級文件保護(File System Filter Driver)
2.進程自我保護(Process Protection)
3.誘捕陷阱(Honeypot)
「老周,我要你改寫驅動。」陳時指著第一個詞。
「不要只盯著流氓軟體了。給系統里的所有.exe文件加一道鎖。任何程序想要修改.exe文件的頭部,必須經過悅客衛士的授權。不管它是熊貓還是老虎,只要敢動文件頭,直接攔截!」
「這工程量有點大,而且容易誤報……」周凱皺眉。
「比如正常的軟體更新也會改文件。」
「加白名單!」陳時斬釘截鐵。
「微軟簽名的、知名廠商簽名的放行。沒有簽名的,一律攔截詢問!寧可錯殺不可放過。」
「現在的局勢,安全第一體驗第二。」
「第二點,自我保護。」陳時看向王海文。
「海文,把我們的進程名、服務名、註冊表項,全部做隱藏或者隨機化處理。別讓病毒通過名字掃描到我們。還有,利用雙進程守護,主進程掛了,守護進程立刻拉起來,並且反向查殺攻擊源。」
「這個我會!」王海文興奮地舉手。
「我最擅長寫這種死皮賴臉的代碼了。」
「第三,誘捕。」
陳時眼神變得深邃。
「熊貓燒香最喜歡感染區域網共享和U盤的Autorun.inf。那我們就給它下個套。」
「我們在每個盤符的根目錄下,預先建立一個Autorun.inf文件夾,並且把它設為『系統+只讀+隱藏』屬性,而且用驅動鎖死,禁止刪除和寫入。」
「這樣一來,當病毒試圖寫入自己的啟動代碼時,就會發現位置被占了,寫不進去。」
「不僅如此,」周凱補充道。
「我們還可以在區域網里廣播假的共享陷阱。一旦病毒嘗試連接這個假共享,我們就反向追蹤它的IP,直接把那台中毒機器踢出區域網。」
「對!就是這個思路!」陳時一拍桌子。
「我們不僅要防,還要反擊!」
……
次日。
陳時看著自己即將在論壇發出的帖子,標題他已經改了三遍。
第一遍:《關於近期新型蠕蟲病毒的技術分析與防禦建議》。太干,沒人看。
第二遍:《震驚!電腦圖標變熊貓?專家稱這是毀滅的前兆!》。太像地攤文學,容易被刪。
陳時點了根煙,深吸了一口。
2006年的網民喜歡看什麼?
獵奇,驚悚,還有……陰謀論。
他把菸頭按滅在菸灰缸里,手指飛快地敲下了第三版標題:
《恐怖預警!連資深維修工都嚇傻了!如果你看到這個圖標,千萬別點!》
他沒堆砌技術名詞,而是描述了張偉的那台電腦是如何在眾目睽睽之下中毒的。
最後,他貼出了一張模糊的照片——那是他下午趁亂拍的,滿屏熊貓對著用戶燒香的畫面。
照片下面,只有一行紅字:
「這不是惡作劇。這是一場瘟疫的開始。如果你不想你的畢業論文、私房照片、魔獸帳號一夜歸零,去下載這個軟體。信我者,不中毒。」
點擊發送。
帖子很快沉了下去。
這個點,天涯上最火的是關於「易中天品三國」的討論,還有各種關於明星走光的八卦貼。
陳時也不急,在那不斷地刷新著頁面。
終於,五分鐘後,有了第一個回復。
回復內容:「樓主是賣假藥的吧?為了推銷軟體編故事?還悅客?聽都沒聽過,不會是病毒吧?」
緊接著是二樓。
回復內容:「呵呵,autorun病毒幾年前就有了,稍微懂點電腦的都知道把自動播放關了就行。瑞星卡卡助手早就能防,樓主少見多怪,散了吧散了吧。」
三樓。
回復內容:「LZSB,鑑定完畢。」
隨後,帖子直接被淹沒。
陳時嘆了口氣。
這幫人根本不知道他們面對的是什麼。
那不是一個簡單的腳本病毒。
「讓子彈飛一會兒。」陳時吐出一口煙圈。
……
下午三點,極速網吧。
自從趙四爺被迫招安後,這裡的機器全部裝上了悅客衛士。
雖然趙四爺心裡一百個不情願,但看著最近網吧的故障率直線下降,也不得不捏著鼻子認了。
陳時和周凱走進網吧大廳時,裡面已經坐了七八成的上座率。
鍵盤敲擊聲、叫罵聲、遊戲音效混成一片,這就是2006年網吧特有的煙火氣。
「喲,陳老闆來了?」
前台的收銀小妹現在對陳時比對趙四爺還客氣。
「趙老闆在嗎?」陳時問。
「在二樓VIP包廂呢,和新來的運維在弄什麼伺服器。」小妹指了指樓上。
陳時和周凱對視一眼,徑直上樓。
「趙老闆,生意興隆啊。」陳時打了聲招呼。
趙四爺抬頭,看見是陳時,臉色複雜地變了變,最後還是擠出了一絲笑容:「哎呀,陳老弟,哪陣風把你吹來了?正好,你要是不來,我都準備給你打電話了。」
「出什麼事了?」陳時明知故問。
「媽的,邪門了。」趙四爺把雪茄狠狠按在菸灰缸里。
「昨晚夜班網管跟我說,有幾台機器突然變得特別卡,重啟也沒用。今早一看,好傢夥,所有圖標都變成熊貓了!搞了一上午,重裝系統都弄不乾淨!」
他現在對陳時是又恨又怕。
「讓我看看。」
陳時走過去,輕輕拍了拍正在電腦前操作的年輕人:「哥們,讓個位?」
這年輕人是趙四爺重新請的,顯然手生得很。
陳時坐下,看了一眼屏幕。
果然,桌面上密密麻麻全是燒香的熊貓。點開任何一個程序,都會提示「文件已損壞」。
「老周,上工具。」
周凱從包里掏出那個特製的紅色U盤,插在伺服器上。
「這是典型的區域網蠕蟲。」周凱一邊操作一邊解釋,語氣冷淡。
「它利用了Windows的自動播放漏洞和弱口令共享。你們網吧的區域網共享密碼是不是全是『123456』或者空密碼?」
為了圖省事,網吧確實都是弱口令。
「悅客衛士沒攔截嗎?」陳時問。
「攔截了。」趙四爺插話道。
「昨晚網管說,那個綠盾牌一直在彈窗報警,響個不停。但是……」
趙四爺頓了頓,有些尷尬:「但是那幾個玩《傳奇》私服的顧客嫌煩,說彈窗影響操作,就把衛士給退出了。結果剛退出不到五分鐘,機器就廢了。」
這就是人性。在爽快和安全之間,大部分人總是抱有僥倖心理。
「退出了就沒辦法了,裸奔必死。」陳時搖了搖頭。
「不過還能救。」
他打開U盤裡的專殺工具。
1.驅動級文件保護(File System Filter Driver)
2.進程自我保護(Process Protection)
3.誘捕陷阱(Honeypot)
「老周,我要你改寫驅動。」陳時指著第一個詞。
「不要只盯著流氓軟體了。給系統里的所有.exe文件加一道鎖。任何程序想要修改.exe文件的頭部,必須經過悅客衛士的授權。不管它是熊貓還是老虎,只要敢動文件頭,直接攔截!」
「這工程量有點大,而且容易誤報……」周凱皺眉。
「比如正常的軟體更新也會改文件。」
「加白名單!」陳時斬釘截鐵。
「微軟簽名的、知名廠商簽名的放行。沒有簽名的,一律攔截詢問!寧可錯殺不可放過。」
「現在的局勢,安全第一體驗第二。」
「第二點,自我保護。」陳時看向王海文。
「海文,把我們的進程名、服務名、註冊表項,全部做隱藏或者隨機化處理。別讓病毒通過名字掃描到我們。還有,利用雙進程守護,主進程掛了,守護進程立刻拉起來,並且反向查殺攻擊源。」
「這個我會!」王海文興奮地舉手。
「我最擅長寫這種死皮賴臉的代碼了。」
「第三,誘捕。」
陳時眼神變得深邃。
「熊貓燒香最喜歡感染區域網共享和U盤的Autorun.inf。那我們就給它下個套。」
「我們在每個盤符的根目錄下,預先建立一個Autorun.inf文件夾,並且把它設為『系統+只讀+隱藏』屬性,而且用驅動鎖死,禁止刪除和寫入。」
「這樣一來,當病毒試圖寫入自己的啟動代碼時,就會發現位置被占了,寫不進去。」
「不僅如此,」周凱補充道。
「我們還可以在區域網里廣播假的共享陷阱。一旦病毒嘗試連接這個假共享,我們就反向追蹤它的IP,直接把那台中毒機器踢出區域網。」
「對!就是這個思路!」陳時一拍桌子。
「我們不僅要防,還要反擊!」
……
次日。
陳時看著自己即將在論壇發出的帖子,標題他已經改了三遍。
第一遍:《關於近期新型蠕蟲病毒的技術分析與防禦建議》。太干,沒人看。
第二遍:《震驚!電腦圖標變熊貓?專家稱這是毀滅的前兆!》。太像地攤文學,容易被刪。
陳時點了根煙,深吸了一口。
2006年的網民喜歡看什麼?
獵奇,驚悚,還有……陰謀論。
他把菸頭按滅在菸灰缸里,手指飛快地敲下了第三版標題:
《恐怖預警!連資深維修工都嚇傻了!如果你看到這個圖標,千萬別點!》
他沒堆砌技術名詞,而是描述了張偉的那台電腦是如何在眾目睽睽之下中毒的。
最後,他貼出了一張模糊的照片——那是他下午趁亂拍的,滿屏熊貓對著用戶燒香的畫面。
照片下面,只有一行紅字:
「這不是惡作劇。這是一場瘟疫的開始。如果你不想你的畢業論文、私房照片、魔獸帳號一夜歸零,去下載這個軟體。信我者,不中毒。」
點擊發送。
帖子很快沉了下去。
這個點,天涯上最火的是關於「易中天品三國」的討論,還有各種關於明星走光的八卦貼。
陳時也不急,在那不斷地刷新著頁面。
終於,五分鐘後,有了第一個回復。
回復內容:「樓主是賣假藥的吧?為了推銷軟體編故事?還悅客?聽都沒聽過,不會是病毒吧?」
緊接著是二樓。
回復內容:「呵呵,autorun病毒幾年前就有了,稍微懂點電腦的都知道把自動播放關了就行。瑞星卡卡助手早就能防,樓主少見多怪,散了吧散了吧。」
三樓。
回復內容:「LZSB,鑑定完畢。」
隨後,帖子直接被淹沒。
陳時嘆了口氣。
這幫人根本不知道他們面對的是什麼。
那不是一個簡單的腳本病毒。
「讓子彈飛一會兒。」陳時吐出一口煙圈。
……
下午三點,極速網吧。
自從趙四爺被迫招安後,這裡的機器全部裝上了悅客衛士。
雖然趙四爺心裡一百個不情願,但看著最近網吧的故障率直線下降,也不得不捏著鼻子認了。
陳時和周凱走進網吧大廳時,裡面已經坐了七八成的上座率。
鍵盤敲擊聲、叫罵聲、遊戲音效混成一片,這就是2006年網吧特有的煙火氣。
「喲,陳老闆來了?」
前台的收銀小妹現在對陳時比對趙四爺還客氣。
「趙老闆在嗎?」陳時問。
「在二樓VIP包廂呢,和新來的運維在弄什麼伺服器。」小妹指了指樓上。
陳時和周凱對視一眼,徑直上樓。
「趙老闆,生意興隆啊。」陳時打了聲招呼。
趙四爺抬頭,看見是陳時,臉色複雜地變了變,最後還是擠出了一絲笑容:「哎呀,陳老弟,哪陣風把你吹來了?正好,你要是不來,我都準備給你打電話了。」
「出什麼事了?」陳時明知故問。
「媽的,邪門了。」趙四爺把雪茄狠狠按在菸灰缸里。
「昨晚夜班網管跟我說,有幾台機器突然變得特別卡,重啟也沒用。今早一看,好傢夥,所有圖標都變成熊貓了!搞了一上午,重裝系統都弄不乾淨!」
他現在對陳時是又恨又怕。
「讓我看看。」
陳時走過去,輕輕拍了拍正在電腦前操作的年輕人:「哥們,讓個位?」
這年輕人是趙四爺重新請的,顯然手生得很。
陳時坐下,看了一眼屏幕。
果然,桌面上密密麻麻全是燒香的熊貓。點開任何一個程序,都會提示「文件已損壞」。
「老周,上工具。」
周凱從包里掏出那個特製的紅色U盤,插在伺服器上。
「這是典型的區域網蠕蟲。」周凱一邊操作一邊解釋,語氣冷淡。
「它利用了Windows的自動播放漏洞和弱口令共享。你們網吧的區域網共享密碼是不是全是『123456』或者空密碼?」
為了圖省事,網吧確實都是弱口令。
「悅客衛士沒攔截嗎?」陳時問。
「攔截了。」趙四爺插話道。
「昨晚網管說,那個綠盾牌一直在彈窗報警,響個不停。但是……」
趙四爺頓了頓,有些尷尬:「但是那幾個玩《傳奇》私服的顧客嫌煩,說彈窗影響操作,就把衛士給退出了。結果剛退出不到五分鐘,機器就廢了。」
這就是人性。在爽快和安全之間,大部分人總是抱有僥倖心理。
「退出了就沒辦法了,裸奔必死。」陳時搖了搖頭。
「不過還能救。」
他打開U盤裡的專殺工具。