用雅虎天盾保护电脑的安全

用雅虎天盾保护电脑的安全

出处：PConline

作者：阎皓的皓

雅虎最新推出雅虎天盾，安全领域又添新兵，一起来看看吧

现在的网上病毒和木马非常的猖獗，如果电脑中不安装任何防火墙的话，很容易就会感染病毒和木马。现在虽然有很多防火墙和杀毒软件，但是不是功能单一就是收费，整体上来说都不是很让人满意。而雅虎公司最近推出了雅虎天盾防火墙，它是一款完全免费的软件，而且包含安全防护、修复类软件，集系统防护、间谍软件查杀、在线杀毒、系统及IE修复、系统漏洞扫描、插件拦截等多项强劲功能于一体。除了上面的功能之外，还具有痕迹清理、启动项管理、XP优化等系统优化等功能。下面就来跟随笔者看看，如何用雅虎天盾保护电脑安全。

点击下载雅虎天盾

首先要对雅虎天盾进行安装，过程很简单，只需一路next下去即可完成安装（图1）。安装完毕后雅虎天盾就会自动运行，在主界面上就能够看到雅虎天盾所有的功能（图2）。



图1 安装界面



图2 主界面

一键搞定：

如果对电脑不是很熟悉的话，可以使用雅虎天盾的一键搞定功能，就算对电脑没有任何基础知识也可以清除电脑中的恶意程序。点击“一键搞定”后，天盾会弹出提示，询问您是否进行恶意程序及使用痕迹的清理操作，选择“确定”继续扫描并清理（图3）。稍等片刻，就会对恶意程序进行查杀及清理电脑使用痕迹（图4）。



图3 提示清理



图4 清理过程

提示：一键搞定可以清理的内容包括：

1、广告软件、间谍软件、恶意程序、恶意cookies；

2、对IE的篡改及非法限制、恶意启动项、对系统的非法限制；

3、IE使用痕迹、操作系统使用痕迹、垃圾文件、应用程序使用痕迹。

反间谍：

雅虎天盾提供强大的反间谍功能，可以对电脑中的木马及恶意程序进行查杀，实时都在更新病毒库，对恶意程序、广告软件、间谍软件等恶意软件有效的彻底清除。

雅虎天盾的主界面中点击“反间谍”按钮，选择需要扫描的盘符，然后点击“扫描”即可对系统进行全面扫描（图5）。



图5 反间谍扫描

扫描结束之后，会将电脑中所感染的木马及恶意程序显示出来，点击“清除”按钮即可清除（图6）。



图6 发现木马

提示：有的木马及恶意程序在正常启动模式下无法直接进行清除，这就需要在安全模式下运行雅虎天盾来清除这类恶意程序。

启动管理项：

我们在运行Windows的时候要启动很多程序，其中有一部分是不需要启动的。虽然在Windows自带的系统配置实用程序中可以设置哪些程序启动，而那些程序禁止启动。不过对电脑不是很熟悉的朋友来将，很容易将一些正常的程序也同样禁用，Windows运行就不会正常。而在雅虎天盾的启动管理项中，对每一个启动程序都有说明，就很容易知道什么程序应该启动，什么程序该禁用。

雅虎天盾的主界面中点击“启动管理项”按钮，会将Windows自启动的程序全部列出，并且在程序的右边加以说明（图7），将不想启动的程序前面的对号去掉，最后点击“应用”按钮完成设置。那么下次启动Windows的时候，这些禁用的程序就不会启动。



图7 启动项管理

扫描报告：

如果电脑中的问题连雅虎天盾都无法解决的话，也不用担心。在雅虎天盾中提供一个扫描报告的功能，可以通过扫描报告将系统进行全面扫描，然后生成一个报告文件，将报告文件发送给朋友，让高手看看到底问题出在那里。

雅虎天盾的主界面中点击“扫描报告”按钮，就会对系统进行扫描，稍等片刻后就会出现扫描结果。可以将结果复制到剪切版中，也可以导出成文件（图8），可以让朋友知道电脑的问题出在什么地方，好帮你尽快解决。



图8 扫描报告

系统防火墙：

雅虎天盾还提供了防火墙功能，可以实时保护自己的电脑不受到侵犯。雅虎天盾防护墙利用最新拦截技术，实现了强大的系统防护功能，在同类软件中防护功能最强、拦截率最高。

点击雅虎天盾首页上方的“开启”按钮，即可开启防护墙。为了保障自己Windows安全，笔者建议开启系统防护墙。

不过笔者在使用雅虎天盾的时候，偶尔会出现程序假死的现象，这在扫描电脑的时候出现的频率比较高。但总体上来说，雅虎天盾是一款非常不错的防火墙软件，针对不同用户提供特色化功能。用最简单的方式及最专业的方案，帮普通用户恢复系统健康；注册表清理、进程诊断、还原防火墙规则等为熟练用户提供个性化的深入服务。提供对上万种间谍软件、恶意程序、广告软件等的查杀与隔离，全面保护系统远离侵害。并且用户使用中遇到各种安全疑难问题，均可提交扫描报告，让其他人帮忙解决问题。

【Web威胁】被诅咒的油画 图片病毒技术的内幕

一、被诅咒的油画

在网络上流传着一幅诡异的油画，据说很多人看后会产生幻觉，有人解释为油画的构图色彩导致的视觉刺激，也有人认为是心理作用，众说纷纭，却没有令人信服的答案。在网络公司上班的秘书小王也从一个网友那里得知了这幅画，她马上迫不及待的点击了网友给的图片连接。

图片出来了，小王终于见识到了传说中诡异的油画，面对着屏幕上那两个看似正常的孩子，她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源，小王入神的听着，丝毫没有注意到IE浏览器左下角的状态栏打开页面的进度条一直没停止过。

如果说小王刚才只是背后发冷的话，那么现在她已经是全身发冷了：电脑光驱自动弹了出来，刚按回去又弹了出来，她着急的请教那个网友，那边很平静的说：“哦，也许是光驱坏了吧，我有事先下了，你找人修一下。”然后头像暗了。

小王已经无法回复他的话了：鼠标正在不听使唤的乱跑，键盘也没了反应，过了一会儿，电脑自己重启了，而且永远停留在了“NTLDRismissing...”的出错信息上。

显而易见，这又是一个典型的木马破坏事件，但是小王打开的是图片，难道图片也会传播病毒了？答案很简单也很出人意料：小王打开的根本不是图片。

IE浏览器的功能很强大，它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名，因为IE对文件内容的判断并不是基于后缀名的，而是基于文件头部和MIME。当用户打开一个文件时，IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格式描述，例如打开一个MIDI文件，IE先读取文件前面一段数据，根据MIDI文件的标准定义，它必须包含以“RIFF”开头的描述信息，根据这段标记，IE在注册表定位找到了“x-audio/midi”的MIME格式，然后IE确认它自己不具备打开这段数据的能力，所以它根据注册表里的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件，然后提交给此程序执行，我们就看到了最终结果。

正是因为这个原理，所以IE很容易受伤。入侵者通过伪造一个MIME标记描述信息而使网页得以藏虫，在这里也是相同的道理，小王打开的实际上是一个后缀名改为图片格式的HTML页面，它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记，所以在小王看来，这只是一个图片文件，然而，图片的背后却是恶毒的木马。木马程序体积都比较大，下载需要一定时间，这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开页面的时间可以使整个木马文件下载完毕，就采用了社会工程学，让受害者不会在很短的时间内关闭页面，当木马下载执行后，“图片”的诅咒就应验了。

二、位图特性的悲哀

他是一家公司的网络管理员，在服务器维护和安全设置方面有足够多的经验，因此他无需惧怕那些利用浏览器漏洞实现的病毒。这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子，并给出一个测试页面连接，根据官方描述，如果你用的CPU存在瑕庇，那么你会看到页面上的测试图片显示得破损错乱。他心里一惊：自己用的CPU正是这个型号。他马上点击了页面连接。

看着页面上乱七八糟的一幅图片，他心里凉了一截：这台机器的CPU居然有问题，而他还要用这台机器处理公司的重要数据的！他马上去管理部找负责人协商，把显示着一幅胡里花哨图片的机器晾在一边。

管理部答应尽快给他更换一台机器，让他把硬盘转移过去，因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威，他厌恶的关闭了页面，照例打开存放资料的文件夹，他的脑袋一下子空白了：资料不见了！谁删除了？他慌乱的查找硬盘每个角落，可那些文件却像蒸发了一样。许久，他终于反应过来了：机器被入侵了！他取下硬盘直奔数据恢复公司而去。

事后他仔细分析了原因，因为机器已经通过了严格的安全测试而且打了所有补丁，通过网页漏洞和溢出攻击是不可能的了，唯一值得怀疑的只有那个所谓的瑕庇测试网页了，他迅速下载分析了整个页面代码，看着页面源代码里后缀名为“.BMP”的IMG标记和一堆复杂的脚本代码，他知道自己是栽在了BMP木马的手上。

那幅“测试瑕庇”的图片，无论到什么机器上都是一样有“瑕庇”，因为它根本不是图片文件，而是一个以BMP格式文件头部开始的木马程序。

为什么看似温顺的图片文件也变成了害人的凶器？这要从位图（Bitmap）格式说起，许多朋友应该都知道流传了很久的被称为“图片藏字”的“密文”传播方式，即在位图文件尾部追加一定量的数据而不会对原位图文件造成太大破坏，这是位图格式的限制宽松而造成的。系统判断一个位图文件的方法并不是严格盘查，而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别，宽松的盘查机制使得BMP木马得以诞生。

不过先要澄清一点概念，BMP木马并不是在BMP位图文件屁股后追加的EXE文件，而是一个独立的EXE可执行文件，但是它的文件PE头部已经用位图文件头部替换了，由于系统的盘查机制，这个EXE文件就被浏览器认成位图文件了。既然是位图，在浏览器的程序逻辑里，这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件，但是因为这个文件本来就不是位图，它被强制显示出来以后自然会变成一堆无意义的垃圾数据，在用户眼里，它就成了一幅乱七八糟的图像。但这不是引起木马危机的原因，要留意的是这些文字：“需要下载到Internet高速缓存文件夹”！这说明浏览器已经请狼入室了——木马已经在硬盘上安家了，但是目前它还在沉睡中，因为它的文件头部被改为位图格式，导致它自身已经不能运行，既然不能运行，理所当然就不能对系统构成危害，那么这只狼在硬盘呆多久也是废物一个，入侵者当然不能任由它浪费，因此他们在做个页面给浏览器下载木马的同时，也会设置页面代码让浏览器帮忙脱去这只狼的外衣——把位图格式头部换成可执行文件的PE头部，然后运行它。经过这些步骤，一只恶狼进驻了系统。

这个无法修补的漏洞十分可怕，用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据，因为即使他们打好了所有补丁也无济于事，木马是被IE“合法”下载的，不属于代码漏洞，而且单靠程序本身也很难判断这个图像是不是木马程序，机器靠二进制完成处理工作，而不是视网膜成象交给大脑判断。但是，由于这也是需要下载文件的入侵方式，它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了，在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择，除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防，就是因为攻击者偷用了人们的“心理盲区”，因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感，所以入侵者发个专业暇庇案例就欺骗了一大堆人，这次是拿真实的事件：AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵，下一次又该拿什么了呢？

三、魔鬼的诅咒

对于某娱乐论坛的大部分用户来说，今天是个黑色的日子，因为他们在看过一个《被诅咒的眼睛》油画帖子后，系统遭到了不明原因的破坏。

论坛管理层的技术人员立即对这个帖子进行了多次分析，可是整个页面就只有一个JPEG图片的连接，其他恶意代码和程序根本不存在。入侵者靠什么破坏了看帖用户的机器？难道竟是这个JPEG图片？

答案恐怕让人难以接受，的确就是这幅JPEG图片让用户感染了病毒。尽管病毒研究一直未曾停止，可是发展到这个地步，实在让人不能承受：再下去是不是打开一个文本文件都会被感染病毒？

图片带毒来袭，实在让所有人都擦了一把汗，然而我们都知道，JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件，这不符合逻辑。回忆一下2004年9月14日的事，微软发布了MS04-028安全公告：JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错，就是这个漏洞，它的术语叫GDI+，对应的动态链接库为GdiPlus.dll，这是一种图形设备接口，能够为应用程序和程序员提供二维媒介图形、映像和版式，大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在，正是这个“公众人物”成了众矢之的。

说到这里，有基础的读者应该明白了吧：并不是图片自己能传播病毒，而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块，而是使用自己的处理模块，那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块，所以大部分程序在“JPEG病毒”面前纷纷落马。

这个溢出是怎么产生的呢？这要从系统如何读取JPEG格式图形的原理说起，系统处理一个JPEG图片时，需要在内存里加载JPEG处理模块，然后JPEG处理模块再把图片数据读入它所占据的内存空间里，也就是所说的缓冲区，最后我们就看到了图片的显示，然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小，却没有严格检查实际容纳的数据量，这个带缺陷的边界检查模式导致了噩梦：入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令，那么这个图片在系统载入内存时候会发生什么情况呢？图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域，而这部分内存区域是用于执行指令的，即核心区，于是恶意指令被程序误执行了，入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑，入侵者都是神算子吗，他们为什么能准确的知道会是哪些数据可以溢出执行？答案很简单，因为Windows在分配JPEG处理模块的空间时，给它指定的内存起始地址是固定的，入侵者只要计算好这个空间大小，就能知道会有哪些数据被执行了，所以JPEG病毒迅速传播起来。

所谓JPEG病毒，并不是JPEG图片能放出病毒，而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒，所以我们大可不必人心惶惶，只要补上了GDIPLUS.DLL的漏洞，那么即使你机器上的所有JPEG图片都带有病毒数据，它们也无法流窜出来搞破坏，正如美国马萨诸塞州立大学助理教授奥斯汀所言：“病毒不仅仅是可自我复制的代码，他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码，他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码，为此不会运行这些病毒代码。”

四、防范

对于虚假图片文件的欺骗手法，只要用户补上了MIME和IFRAME漏洞，那么入侵者让你停留多久也无济于事；至于BMP木马，它的防范是几乎不可避免，但是它有个最大的弱点，大部分情况下只能在Win9x环境正常执行，用Win2000以上的用户不必草木皆兵了；而对于JPEG病毒来说更好办了，微软已经提供JPEG模块的更新了，你倒是去补一下啊！即使真的一点也不会，买个防病毒软件在后台监视也OK了，但是为什么国内用户却偏偏喜欢徒劳的恐慌？

纵观这一系列图片病毒的原理和手法，我们可以发现“社会工程学”这个身影的扩大化趋势。如何避免被骗，这只能看你自己了。