木马猖狂时代 杀毒软件英雄末路?

话题一:木马等恶意程序肆虐,传统的病毒概念被不断拓宽,杀毒软件厂商如何应对?
话题二:木马时代杀毒软件是否将走向末路﹖
话题三:网络环境不断变化,病毒类型不断演进,杀毒软件厂商怎样创新?
嘉宾:
趋势科技中国区总裁 叶伟伦/赛门铁克大中国区副总裁 吴锡源/江民科技总裁 陶新宇/
瑞星公司副总裁 毛一丁/金山软件副总裁 葛柯/清华大学网络与信息安全研究室主任 段海新


　　话题一:木马等恶意程序肆虐,传统的病毒概念被不断拓宽,杀毒软件厂商如何应对?

　　陶新宇:根据江民科技2007年上半年的计算机病毒疫情报告,上半年全国共有1400多万台计算机感染了病毒,其中感染木马病毒的达948多万台,占病毒感染总数的67.38%,这些木马病毒90%以上都是国产木马病毒.总体来看,未来的反病毒软件已经脱离单纯的杀毒概念,将演变成一个具有杀毒、反黑客、反木马、反流氓软件以及系统漏洞安全管理的综合性安全软件.

　　吴锡源:基于签名的反病毒软件已远远不能应对当前的网络威胁.网络安全产品必须不断创新,提供包括基于行为和签名的保护,易于操作的分层安全将更加重要.原来业内将反病毒、反间谍软件和防火墙捆绑在一起组合防毒,如今这一捆绑组合必须融入HIPS、设备控制(移动存储设备)、防止数据泄露、移动设备保护、网络端点接入控制等技术,才能发挥更高功效.

　　毛一丁:杀毒软件厂商应该提供更为全面、立体化的安全体系保护方案.用户也应该选择一套适合自己的全面的解决方案,不要只安装一个杀毒软件、防火墙或反木马软件,这样单独使用并不能保证网络安全.目前,瑞星杀毒软件已能够与操作系统紧密结合,干净彻底地清除已知恶意病毒、木马等程序.针对病毒的危险行为分析、监测和事前防范,在国际杀毒软件界属于新的领域,各厂商都投入了很大的精力.瑞星在这方面取得了不少成果,并将很快应用到自己的产品中.

　　叶伟伦:随着类似广告程序、木马等恶意程序的不断出现,传统的病毒概念被不断拓宽,未来的信息安全已不仅仅是查杀病毒,而是能防、能杀、能清除病毒的综合性防护体系.中国用户面临着来自国外及本土的双重威胁,我们认为杀毒软件厂商应同时具备国际病毒库的涵盖量,以及对本土病毒库的准确掌握和快速反应.只有同时掌握全球病毒码资源和本土病毒码资源,才能更好地为用户提供高效的安全方案.

　　葛柯:现在查杀病毒主要还是根据已知病毒的特征码来查杀,而未知病毒因为没有特征码,无法判断它是病毒还是合法程序,所以很难查杀.这是目前采用的技术所决定的.当然也有一些新技术如金山毒霸的形势判断技术等已逐渐应用,但从目前的技术成熟度来看还没有起到根本性的作用.所以,大部分的杀毒软件目前还是以验证特征码的形式来查杀病毒.

　　话题二:木马时代杀毒软件是否将走向末路﹖

　　叶伟伦:杀毒只是网络安全的一个方面,杀毒软件不会走向末路,未来应该有防毒、杀毒、清除恶意软件一体化的产品和服务出现.

　　段海新:我不认为杀毒软件将走向末路,因为杀毒软件所杀的是广义上的恶意代码,不只是传统的病毒.我认为如果微软把杀毒功能集成在操作系统中,倒可能给杀毒软件厂商带来很大威胁,杀毒软件厂商可能无用武之地.

　　毛一丁:走向末路的是传统杀毒软件,而查杀病毒、清除木马、保护用户安全的需求将长期存在,能够自我完善、增强功能应对环境变化的信息安全软件也将焕发出勃勃生机.

　　陶新宇:杀毒软件不会走向末路,它仍然会是人们保障网络安全的利器.面对变化日益繁多的病毒,充分发挥国内杀毒软件厂商在本土化方面的优势、坚持技术的不断自主创新才是杀毒软件厂商可持续发展的关键.虽然病毒技术在不断翻新变化,但在与计算机病毒的不断较量中,杀毒技术也有了质的飞跃.不断的技术创新、充分发挥本土化优势,是国内杀毒软件厂商制胜市场的关键法则.

　　话题三:网络环境不断变化,病毒类型不断演进,杀毒软件厂商怎样创新?

　　毛一丁:现在杀毒软件的主流还是基于特征码的检测,这对于检测加壳或变形的病毒非常困难.因此,防病毒程序应该更多地对病毒的行为加以检测,以适应病毒快速的变形和变种.企业之间进行合作也是抵御病毒的一种方式.在这方面,瑞星与微软有着良好的技术合作.同时,瑞星一直在技术方面投入很大精力,包括2007版碎甲技术、虚拟机脱壳技术,都可以很好地解决病毒制作者们使用的小伎俩.

　　叶伟伦:网络环境的变化和病毒类型的演进必然要求杀毒软件厂商不断创新,为用户提供有效的防护产品和服务.杀毒软件厂商必须改变过去被动的接受形式而将杀毒的需求与新技术紧密地结合在一起,形成面向Web病毒的主动防御系统.

　　陶新宇:我们提出了将基于病毒行为判断的未知病毒主动防御技术与病毒特征码技术相结合的反病毒策略,同时采用了先进的黑白名单技术,将用户常用的操作系统和应用程序列入白名单,有效解决了误报的问题.江民科技推出的未知病毒主动防御系统,对病毒能起到很好的防范作用.

　　段海新:软件只是一个工具,究竟是“恶意”还是“善意”,目前还没有统一的界定标准.所以,用户无法判断一个商业化的软件是否恶意.有关部门正着手制定针对恶意软件的界定标准及监管办法,这将对杀毒软件厂商下一步的产品研发及市场推广具有指导意义.

原载《中国高新技术产业导报》

黑客游戏潜规则

　“QQ木马求挂(无后门绝对免杀),按信封收费180元/W,进1W结算一次或每日0点至凌晨1点结算.结算方式:即时支付宝或工行转帐.联系QQ:XXXXX(请注明带挂QQ木马马)……收肉鸡了,收流量了,出售QQ号……”

　　看到这些信息你的表情也许可以用惊愕来形容,但对于另一些人来说,对这些信息已经习以为常了,因为这些信息经常会在一些技术群,网络安全站点上的论坛中出现.随着信息化社会的发展,各种各样的需求也在层出不穷的涌现.一些有技术的“黑客”们都在考虑如何让手中的那些代码转变成money,在他们眼中,也许能证明自己存在的价值早已蜕变成“这段代码到底能换多少张人民币”了,过去我们经常说“一切向前看”,如今都变成了一切向“钱”看了.

商业黑客潜规则：完美时空遭受DDOS攻击案始末

偷鸡摸狗的“黑客”与“黑客”中的英雄

　　潜规则一:马披龙袍装麒麟,不变的是本质 从灰鸽子说黑客技术演进

　　2003年初,互联网诞生了一个名为灰鸽子的工作室,开发出一套名为“远程控制系统”的软件,当时经过笔者的一些分析后,觉得还是把它定义为木马比较恰当.在后来,特别是今年,也验证了笔者当时的定论.“灰鸽子远程控制管理系统”只是木马的一个“马甲”而已.提到木马就不得不说一下著名的“冰河”(作者:黄鑫),它是早期的木马软件之一,操作简单方便,基于c/s(客户端/服务器端)模式开发.说到操作简单,你只需要在入侵后的主机上安装一个 server.exe,在操作的主机安装client.exe就可以了.正是因为它容易上手,所以被更多的“黑客”们利用.如今的灰鸽子也是基于这样的技术架构开发出来的,但是它确实也有很多的改进,有自己独特的东西在里面,现在的灰鸽子可以被简单定位为反弹型后门木马.

　　作者开发这个软件目的也许是想更加方便的管理远程主机,服务器等,又或许是想靠”远程控制软件“这个华丽的外表,赚取了更多的money.但无论出于什么样的目的,这款软件随着编写技术的提升,和产品的不断改进,逐渐出现了能逃避杀毒软件的版本.笔者曾经拿到这样的版本,在经过技术分析之后,得出以下结论:新版本的改进主要体现在加壳技术上,在原灰鸽子的基础上加层保护壳,使杀毒软件库中的病毒特征码无法与之匹配,从而达到躲避杀毒软件围剿的目的.目前,它的最新版本仍然可以轻松躲过瑞星、卡巴斯基、nod32等知名杀毒软件.

　　此规则点评:一场没有结局的猫鼠游戏,安全厂家不断的招募民间黑客提升自身产品实力,从而促使地下黑客技术不断完善,用于躲避追杀.说实话,谁都不容易.

　　潜规则二:我出力,你付钱 这是理所当然 利益驱使黑客变质

　　杀毒软件的原理主要是靠特征码比对技术,根据用户提交或者其他渠道捕获到的病毒样本制定出相应的病毒库,而病毒库中并没有真正的病毒源代码,只是病毒特征码.灰鸽子经过不屑的努力,终于飞进了千家万户,在非常多的主机和服务器上“落户”,给国家和个人的计算机系统造成了严重影响,一些“黑客”通过灰鸽子将个人用的生活照,夫妻照片等个人隐私泄露到网络中,而把政府机关和企业的一些机密信息拿来和business spy(商业间谍)做现金交易.总的来说这些都是利益驱使,更多的“黑客”会认为这是他的劳动所得,是靠双手和脑力劳动换取过来的,符合一分耕耘,一份收获的逻辑推理.

　　此规则点评:千古不变的至理名言——有钱能使鬼推磨.付出当然就要有实实在在的收获,谁说我做的不对,那准是在嫉妒,我是黑客我怕谁.

　　潜规则三:一山不容二虎 两个和尚没水喝

　　2004年圈子出了更火暴的事情,因为入侵某官方站点的游戏数据库而获的不菲的利润,后因在分钱问题上,意见不和,用经济术语来讲就是不能达到利益共同点,最后两人在京城大打出手,双方都有一些损失由此演出了一场真人pk.后来两个主角还觉得不够过瘾,最后直接在著名的圈中论坛安全焦点上进行了长达100多页以上的对骂.更多圈子里面的人发表的看法是狗咬狗一嘴毛!入侵数据库虽说是赚钱,但是这钱来是见不得光的.当然,你是辛苦了,努力了,但是这是通过非法手段入侵得到的,从法律上说这就是违法的事,说起这两个人也是圈子中的名人,由于身在圈中的关系,两位主角的名字就不方便透漏了.

　　此规则点评:黑客讲究协同作战,默契的配合永远都很重要,但在利益面前,团结的力量很容易疲软.这也是当今社会的普遍存在的潜规则.

　　潜规则四:黑客眼里没有拿不下的山头

　　越来越多的“黑客”都在靠“技术”吃饭,有些黑客拿下网络游戏数据库,通过提权后弄到整个服务器的控制权,刷装备,换金币来完成一些游戏装备交易;还有一些人甚至拿下境外的高利贷,赌博站点,在获得个人信息后,联系犯罪组织,狂刷受害人的信用卡,疯狂的购物;还有人利用技术制造出虚假银行站点,通过phishing(网络钓鱼)手段获取那些使用网上银行用户的真实信息,使用keybord loger (键盘记录器)或木马来捕获对方录入信息,从而拿到受害人个人信息,银行帐号的卡号及密码记录.

　　此规则点评:只要被黑客盯上,如果没有强大的反黑力量支持,那你可以直接准备后事了.就算是有反黑的实力,毕竟明枪易躲,暗箭难防.

　　综上所述:各行各业都有道,有规则,黑客界里也一样,有人说黑客更多的给人的感觉是网络上收费的保安,保镖,安全公司呢就是镖局.互联网就是个虚拟的江湖,但是黑客是真实存在的,他们在里面充当着黑与白的角色,有的是充当杀手(破坏者cracker),有的是充当保镖(hacker),这就是黑客圈中的潜规则.江湖中,黑色交易每天都在幕后进行着,潜规则也将继续存在…….

　　未来的网络安全是不容忽视的,笔者在这里提醒广大的计算机用户:在熟练使用电脑的同时,要先学会保护自己,提高自身的网络安全知识和认识,这样至少可以避免一些不幸的发生.最后奉劝那些只想着赚钱的黑客兄弟们一句话:常在江湖混,早晚要还的,还是多做一些善事吧!

文章来源:51CTO

美政府部门对中国雅虎协助破案很生气

美政府部门对中国雅虎协助破案很生气

来源: 网易科技报道

网易科技报道，8月6日，美国白宫国防部安上周表示，将对雅虎进行调查，原因是中国雅虎提供了信息给中国政府。

美国政府获取一份报告，报告显示雅虎曾提供2004年3月至2004年4月22日的电子邮件内容，IP地址，协助政府破案。国防部官员Tom Lantos表示：“一家富有的美国公司，帮助中国警察捉拿罪犯。作为信息时代的信息公司，它有太多的秘密需要回答。我们希望能看到真相，并使该公司提交报告。”

旧案重提，让雅虎难看

2006年，雅虎曾向中国政府提供信息，并导致一名记者被起诉，罪名是泄漏中国政府信息。当年4月，《当代商报》37岁的记者师涛被法庭判处十年有期徒刑，罪名是向国外网站发布“国家顶级政府信息”。

国际监管组织表示，雅虎香港控股公司曾向中国调查部门提供了师涛电子邮件中的信息，并且通过追踪IP地址的方式将政府机密信息的透露和Shi先生的电脑联系了起来。然而这一举动引起了大量机构和个人的强烈不满，包括微软以及Google等IT业界巨头纷纷谴责雅虎的这一行为，与此同时，记者无国界组织也对这一行为提出了置疑。

后来，师涛不服，已在美国对雅虎提出上诉。

业内人士认为，这是美国的爱国者法案中规定企业要履行的义务，以前就要求雅虎和GOOGLE这么作，GOOGLE拒绝配合，后来还是配合了。对于不合作者，似乎也没有强制的手段。

中国雅虎是遵守法律的子公司

英国《金融时报》曾报道，雅虎(Yahoo)呼吁互联网、媒体、通信公司和美国政府各方合作，对应中国对网络的审查。

雅虎总法律顾问迈克尔·加拉汉也曾公开表示：“每家企业的两难窘境：要么在某个国家经营并遵守那里缺乏透明度的法律，要么就撤离，没有单独的一个企业或行业能仅靠自身的力量解决这个问题，我们非常希望带着这个问题（去找华盛顿）。”对于国防部要求的调查，雅虎称，中国雅虎只是子公司，一直遵守中国法律。言下之意是不太认同美国防部的指责。(秦前）

最新进展：雅虎称自己很相信人权

雅虎于7日做出回应，称将积极配合政府部门的工作，对于提供的证据也供认不讳。雅虎还表示：“雅虎已经坦诚地面对公司在中国商业市场的挑战，包括美国的分公司，都会遵守本地的法律。我们十分相信人权，为此，无论在中国还是在其它地方，雅虎都因为言论自由都遭受了处罚！”

雅虎涉嫌向中国提供敏感信息遭美国会调查

雅虎(Yahoo)正面临一项新的美国国会调查，内容涉及它在向中国政府提供敏感信息过程中所扮演的角色——雅虎此举导致一名中国记者被判入狱10年。

美国国会外交委员会昨日表示，将对雅虎举行听证会，以查明在师涛被捕和监禁过程中，雅虎对其所起作用的说明是否失实。师涛是中国某报记者和编辑，以笔名在海外网站“民主论坛”(Democracy Forum)上发表了关于中国政府打击民主人士的文章。

在雅虎提供了师涛的电子邮件账号信息后，中国警方查出了师涛。信息中包括师涛的IP地址、登陆记录和电子邮件内容。

去年，雅虎副总裁兼总法律顾问迈克尔•加拉汉(Michael Callahan)向美国国会外交委员会表示，该公司向中国政府提供师涛的有关信息时，并不知道中国为什么需要这些信息。

但后来，位于加州的一个人权组织发表了证据，对雅虎的理由提出质疑。该组织称，中国政府告诉雅虎，师涛涉嫌向外国机构提供国家机密——这是中国对持不同政见者常加的罪名。

美国国会外交委员会主席汤姆•蓝托斯(Tom Lantos)昨日表示：“一家资金雄厚的美国公司愿意向中国警方提供工具，供（他们）抓获披露中国压制行为的人，这就够糟糕的了。”

“在美国国会寻求解释的时候，掩盖这种卑鄙行为，则属严重违法。作为一家信息行业的从业公司，雅虎肯定需要对许多秘密加以说明。”

“我们要求了解事实，并让该公司承担责任。”

雅虎在发给新闻通讯社的一份声明中称，该公司对众议员们的陈述是准确的，“事实将支持雅虎对国会的证词”。

流氓软件技术篇：技术角度解析流氓软件

【相关文章】

《流氓软件综述篇：安全史上“最牛钉子户”》

来源：赛迪网 作者：张晓兵/安天

早期，流氓软件在没有被正式定性为恶意程序时，流氓软件使用的技术比较简单，往往是修改主页，使用户只要一登陆浏览器，就自动跳转到流氓软件提供的广告网址，或者安装到系统中后，私下收集用户的信息发送出去。而后来，随着利益的驱动和流氓软件正式作为恶意程序被反病毒厂商绞杀，流氓软件采用的技术也越来越先进，如今已经形成了与杀毒软件对抗的态势，魔道之争真正进入白热化。

了解了它们使用的技术，会对它们有一个更加清晰的认识，以下便是流氓软件使用的经典技术。

秘密潜入－流氓软件的隐藏技术

隐藏是流氓软件的天性，也是病毒的一个特征，任何流氓软件都希望在用户的电脑中隐藏起来不被发现，由于隐藏的目的，衍生出隐藏的技术。

首先是隐藏窗口。我们知道，在Windows操作系统下，所有的程序执行时都是以窗口的形式出现的，每个窗口都有不同的属性，流氓软件的目的就是不想为人所知，因此它们在运行的过程会将自己的程序窗口的属性设为“不可见”，这样用户就看不到程序的窗口了。

但是，我们知道，每个程序运行时虽然用户看到的是窗口，但是对于系统来说，其实是执行了一个进程，对于稍微专业的用户来说，虽然窗口不能看见，但是程序产生的进程却是很容易通过系统的任务管理器看到，从而使流氓软件暴露。因此便出现了隐藏进程技术。

隐藏进程其实是调用了微软的一个未公开函数，将流氓软件本身注册为服务，这样系统的任务管理器就无法显示这类程序的进程了，从而达到了隐藏自己的目的。

对于一些细心的用户来说，电脑出现了新的文件会引起他们的怀疑，因此流氓软件作者又采用了隐藏文件技术。它们在安装时会将自身拷贝到系统目录，然后将文件的属性设置为隐藏，这样，用户如果采用的是默认系统设置，则就无法看到他们。

但是，这些都是初级的隐藏技术，对电脑熟悉的用户，只要利用系统提供的工具就可以找到这些流氓软件的蛛丝马迹，或者安装一个防火墙软件，只要有程序访问网络，立刻就会报警，从而能够暴露流氓软件的行踪。

我中有你－流氓软件的线程插入技术

为了更好地隐藏自己，流氓软件开始大量采用线程插入技术。

上面讲到，一个程序进入系统中，会首先产生文件，该文件运行时，会产生窗口，在内存中产生进程。进程说白了就是一个被激活了的程序文件。而进程又会产生许多线程。

线程是Windows系统为程序提供的并行处理机制，它允许一个程序在同一时间建立不同的线程，完成不同的操作。另外，由于Windows操作系统为了提高软件的复用性，减少重复开发的开销，采用了动态链接库机制，即将一些公用的程序放在DLL文件中，程序不用包括这些代码，只要在运行时对这些DLL文件直接进行调用就可以完成各种功能，因此每一个可执行程序除了自身的程序体外，还包括许多外部的模块。如果我们用一些内存查看工具的话，能看到每一个应用程序都包含了大量的DLL动态链接库文件。

而流氓软件正是利用了这一点。他们的可执行程序并不是EXE形式的，而是DLL形式，这类文件一般是存在于系统中，由可执行程序进行调用。

而流氓则是将DLL文件载入内存，然后通过“线程插入”的方式，插入到某个进程的地址空间。一般地，如果流氓软件想控制浏览器，则它们往往会将自己注入到浏览器（explorer.exe）的进程空间，只要浏览器运行，就会自动调用该流氓软件。

由于浏览器程序本身会调用大量的DLL文件，因此即使用户用第三方进程查看工具，也分辨不清哪个DLL是流氓软件。面且，采用线程注入技术的流氓软件由于已经并入了正常程序的内存空间，即使是防火墙程序也不会拦截，从而可以在用户电脑自由出入。

销声匿迹－流氓软件的RootKit技术

线程插入对于普通用户来说，或者对于用户的手工清除来说，是很难处理的， 但是这些招数对于杀毒软件来说，是非常简单的，为了能够躲避杀毒软件的追杀，流氓软件的研制者又引入了RootKit技术。

本来RootKit是LINUX的概念，指能够以透明的方式隐藏于系统，并获得LINUX系统最高权限的一组程序集。而后来被病毒制作者借鉴，病毒的RootKit技术指的是那些能够绕过操作系统的API调用，直接利用更底层的调用，然后接管系统的高级API调用，当有程序试图查找它们时，便返回假信息，从而得以隐藏自己的技术。由于目前的杀毒软件都是直接调用系统API来进行病毒扫描的，因此采用这种技术的病毒，都能够轻松躲避杀毒软件的追杀，因为如此，所以目前的流氓软件开始越来越多地采用这种方式来保护自己。

不过，杀毒软件也开始绕过API调用，通过更加底层的应用，来对抗这种技术。

借尸还魂－流氓软件的碎片技术

流氓软件之所以要流氓，那是因为巨大的利益，而为了巨大的利益，流氓就变得更流氓。目前流氓软件大多数还会采用一项流行的技术，那就是碎片技术。这种技术的思想其实很简单，就是在进入用户系统时，就产生多个或相同，或不同的碎片文件，这些文件除了分布在系统目录、一些盘符的根目录下，它们还会隐藏在其它软件的目录、临时文件夹、甚至回收站里。

这些文件之间互相保护，一旦一个文件被删除了，另一些碎片就会重新将这个文件恢复。只要系统中存在有这样的碎片文件，这些碎片文件只要有一个能够激活，在用户连接网络的时候，就能够连通网络进行升级，从而重新还原成一个完整的流氓软件体系，而且一旦升级，这些新升级的流氓软件还会将这些碎片文件删除，然后产生新的碎片文件，从而能够在一定程度上躲过了反病毒软件的查杀。

有的流氓软件多达数十个碎片文件，这对于手动清除的用户来说，几乎是不可能完成的任务，而即便是杀毒软件也未必能够将数十种碎片文件都一一识别，因此会产生杀不干净的问题，即使是只有一个碎片，流氓软件就有可能通过升级和下载借尸还魂，继续为恶。

以上便是目前流氓软件用得最多的技术，当然，随着同各种反病毒软件的对抗，它们会采用越来越多的底层技术，有些流氓已经开始采用写固件的方式，通过BIOS来进行传播了。而随着流氓软件的发展，手工清除越来越不可能，人们将会越来越依赖于专业的流氓软件清除工具。

链接：流氓软件的8大症状

1.强迫性安装：不经用户许可自动安装，或者是不给出明显提示，欺骗用户安装 。

2.无法卸载：不提供正常的卸载程序，或当用户选择卸载时，不真正卸载。

3.弹出广告窗：在用户上网时，频繁弹出广告窗口，干扰用户正常使用电脑

4.首页修改：浏览器的默认首页，在没有经过用户的同意擅自被修改。

5.修改浏览器：在菜单栏上添加不需要的按钮，在浏览器的地址栏中添非法内容，自动添加菜单。

6.资源占用：CPU资源被大量占用，系统变得越来越慢。

7.使浏览器崩溃：流氓软件由于太信赖于浏览器，因此，经常会出现使浏览器莫名崩溃的情况。

8.干扰软件：流氓软件为了达到它的常久生存的目的，总是干扰一些如杀毒软件的正常运行，使这些软件出现莫名其妙的错误。

深入黑客内心世界 像黑客一样思考问题

来源：赛迪网 作者：Lisa Waas/刘亚萌 译

Jeremy Poteet正在观看着他做安全工作的候选人网站上线。就在16分钟后，该网站遭到攻击。但是这个高度受关注的网站巧妙地规避了这些攻击，以及随之而来的其他攻击，因为Proteet已经预见到会发生此类攻击，并已经做出了对策。

他是怎么知道的呢？很简单，他是一个黑客，像黑客一样思考问题，并且知道黑客使用的工具——这是保护公司不被攻击的最有效方法。作为App防御的首席安全官，Poteet这一类黑客俗称为白帽子黑客或安全研究员——他们挖掘系统漏洞，指出哪里会有麻烦发生。黑帽子黑客是相反的一类——他们为了邪恶的目的企图获得进入系统和数据资料的权限。在过去，大多数黑客是为了好玩或是为了吹牛。

现在，黑帽子黑客在恶意软件业以数万美元的价格贩卖攻击代码，利用漏洞获取密码、银行网站信用及个人资料来进行身份窃取和金融诈骗。

学习像黑帽子黑客一样思考，知道他们寻找什么以及如何得到应该成为每个公司安全战略的基本部分。

根据“黑客暴光”一书的作者George Kurtz的说法，过去几年里黑客攻击的目标发生了戏剧性的变化。

“当我进入游戏…以前是这样，‘我们没有防火墙，我们有一个封包路由过滤器’，快速闪回到今天，你有非常互动的应用程序：Web2.0与后端数据库及周围所有潜在风险捆绑在一起”Foundstone的创始人Kurts说。Foundstone是美国信息安全顾问服务与教育训练领导厂商，现在是McAfee的一个分公司，Kurtz担任McAfee企业在加里福尼亚的公司Mission Viejo的高级副总裁。事实上，应用软件越来越引起黑客的注意。

根据Gartner和Symantec的研究，截至2006年6月接近90%的软件攻击是针对应用程序层。“只要开启了端口80，就可以不受限制的进入一个应用程序”Kurtz说。

应用级别的漏洞并不新鲜。2002年，Poteet赢得了第四界eWEEK's OpenHack竞赛，在这个竞赛中参赛者被邀请攻击电子商务试验网站。Poteet那时已经攻击了一个捆绑于Oracle数据库应用版本的网站。

基本上，Poteet攻击的这个漏洞是一个可以让用户编辑个人资料的界面。

用户名域估计是不可编辑的。但只要前端接受了输入，同时WEB服务器从一个浏览器接收了数据，那么用户名域是不是可编辑的就不重要了——到了这一步，所有东西都可编辑了。

Poteet把用户名域中的名字改成"A Smith"，然后他就象一只蜘蛛等待潜逃一样伺机行动。只要一个叫做"A Smith"的用户名登陆了，他便发起突袭，迅速进入并获取用户A Smith的所有数据。

问题是，在Openhack期间大部分应用开发商不重视Poteet的做法。Poteet说他已经与很多公司协商过，重要的不是看到漏洞无处不在，而是在所有域的所有界面和所有应用程序中都存在这种易于攻击的漏洞。

而且我们谈论的不是小夫妻店—Poteet的大部分客户是财富500强公司，其中很多是金融机构。但是，即使是在这些金融领域的大型机构中—它们都是以在安全问题方面专业精通和经验丰富而闻名—这些数字领域的专家仍然留出了大量有名的安全漏洞，吸引攻击者像苍蝇追着蜜糖一样蜂拥而至。

骗我一次…

谈到安全问题只有一件事可以确定，就是人们一遍又一遍地犯着同样的错误。黑客因此得以存在。

一般的漏洞包括错误信息数据，它们可以用来进入系统，SQL注入，XSS(跨站点脚本)和J2EE应用程序中的进入控制(Java2平台，企业版本)。

黑客特别喜爱SQL注入：一个好的SQL注入将从你数据库表中得到数据。

如果攻击者得到用户查询中的编辑能力，他们就可以改变数据库中的数据。

在开放网络应用安全计划概述中，这些问题名列全球十大应用安全问题最频繁失误。也包括在提供错误信息的实用信息名单中。

例如这个错误信息："微软提供的适用于MS SQL Server数据库系统的OLE DB数据库驱动程序错误'80040e14'号， select语句中的字段'newsTBL.NEWS_ID' 不合法，因为它没有包含在聚集函数中， 并且没有GROUP BY子句。

从以上信息中，一个潜在的攻击者会了解到该应用程序是使用OLE DB与数据库联系，它使用SQL服务器作为数据库，SQL指令会传送到数据库里叫做newsTBL的表。Rootkit技术的快速发展成为了为恶意代码机器增加利益的新趋势。

“我们在‘McAfee's’的Avert实验室看到一些的rootkit技术简直不可思议，”Kurtz说“‘我们看到’以前没有做过的事情，完全按新的方法‘做’的事情，暗中窃取信息，并把它用于金融欺诈。从一个‘犯罪的’心理来看，观念从‘让我来找个漏洞’变成了‘让我来找个能让我安装网络自动代理程序的应用程序漏洞，用自动代理程序使它自动化下载网页、感染用户。”

安全研究人员正在密切关注着两项rootkit新技术的实战应用，他们担心新技术有一天会为自动代理程序产业贡献金钱：虚拟的rootkit和邪恶的超级监视者。

“我们知道坏人为了在系统中停留更长时间，在悄悄地寻找更多途径”Joe Telafici说， Joe Telafici是俄勒冈州Beaverton的McAfee公司的Avert运营中心副总裁。”在一台机器上隐蔽地停留越长时间，就能将网络自动代理程序或其他的东西租售越长时间。”

目前只在概念证明型代码中看到的无论是邪恶hypervisor技术还是虚拟rootkits，都能让恶意代码作者在一台机器上隐蔽地停留很长的时间。

一直以来，研究员对黑帽子将新技术运用于攻击中严阵以待；他们相信这只是时间问题，而不是会不会发生的问题。(6月27日，一组研究人员提出外国新rootkit技术可能无法被察觉出来，不过委员会对这个问题仍然没有得出结论。)

让它流血

Thomas Ptacek，Matasano公司的首席研究员兼创始人说，评估那些用来保护资产的产品的安全性不仅是程序开发员和系统架构师的应尽的责任；他们还应深入程序内部看是否有漏洞存在——和黑客做一样的事。”Ptacek还说“为了做到尽职调查，他们得要剥开应用程序的外衣深入其中”比如，剥离开Microsoft's Windows Vista，我们会看到微软在这个最新的操作系统中做出了被认为是最重大的安全问题改善。Vista的64位版本使现在黑客用的有些工具不能用了。

对于那些以为攻击登入点总在同一个地方，而向有安全漏洞的功能发起攻击的黑客来说，Vista的64位版本使之变的更加困难了。Vista还消除了向Windows核心注入编码的功能，来观察哪些函数正在被其他正在运行的程序所调用。

还有Vista的UAC（用户帐户控制），它将一些文件和注册表的键改向“沙坑”传送。恶意软件可以做出一些改变，但是这些改变会在进程停止或至少是不再感染其他用户时消失作用。

尽管如此，放心，这些新的安全控制还不会让恶意代码编写者卷铺盖回家。而且，安全研究员已预见到Vista的新安全文件实际上会促进攻击者推陈出新。

McAfee预计大约需要6个月的时间，一个遭受挫折的野心勃勃的恶意代码作者就会把他或她的注意力转向用rootkitt攻击机器并利用虚拟技术功能平衡Inter和AMD公司的芯片。

这是一场猫捉老鼠的游戏：随着新的安全技术涌现出来，黑客刺探出其中的漏洞，恶意代码作者学习如何操纵它们来盈利。

黑客使用的扫描程序和其他工具都可以被任何一个联网用户使用，程序开发者和系统构架师当然也会使用它们。一分钟都不要认为这些工具不会被狡猾的攻击者攻击——它们是最容易与有效的加速测试方法。

与Ptacek的建议相呼应的最佳忠告是：像你把他们放在一起那样小心地，有条不紊地再把它们拆开。由自己来深入寻找系统漏洞总比某些人为你做好。

利用系统自带命令搞定:手动杀毒面面观

利用系统自带命令搞定:手动杀毒面面观

　　上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

　　一、自己动手前，切记有备无患——用TaskList备份系统进程

　　新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

　　在命令提示符下输入：

　　TaskList /fo:csv>g:zc.csv

　　上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.

　　二、自己动手时，必须火眼金睛——用FC比较进程列表文件

　　如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

　　进入命令提示符下，输入下列命令：

　　TaskList /fo:csv>g:yc.csv

　　生成一个当前进程的yc.csv文件列表，然后输入：

　　FC g:\zccsv g:\yc.csy

　　回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

　　三、进行判断时，切记证据确凿——用Netstat查看开放端口

　　对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

　　在命令提示符下输入：

　　Netstat -a-n-o

　　参数含义如下：

　　a:显示所有与该主机建立连接的端口信息

　　n:显示打开端口进程PID代码

　　o：以数字格式显示地址和端口信息

　　回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！

连接参数含义如下：

　　LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

　　ESTABLISHED的意思是建立连接。

　　表示两台机器正在通信。

　　TIME-WAIT意思是结束了这次连接。

　　说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

　　四：下手杀毒时，一定要心狠手辣——用NTSD终止进程

　　虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？

　　在命令提示符下输入下列命令：

　　ntsd –c q-p 1756

　　回车后可以顺利结束病毒进程。

　　提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID（进程标识符）即可。

　　NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

　　五、断定病毒后，定要斩草除根——搜出病毒原文件

　　对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。

　　不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。

　　如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。

　　六、清除病毒后一定要打扫战场

　　手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。

　　1、用reg export备份自启动。

　　由于自启动键值很多，发现病毒时手动查找很不方便。

　　这里用reg export+批处理命令来备份。

　　启动记事本输入下列命令：

　　reg export HKLM\software\Microsoft\Windows\

　　CurrentVersion\Run fo:\hklmrun.reg

　　reg export HKCU\Software\Microsoft\Windows\

　　CurrentVersion\Policies\Explorer\Run f:\hklcu.reg

　　reg export HKLM\SOFTWARE\Microsoft\Windows\

　　CurrentVersion\Policies\Explorer\Run hklml.reg

注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。

　　然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：

　　copy f:\*.reg ziqidong.txt

　　命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。

　　2、用reg delete删除新增自启动键值。

　　比如：通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\

　　Windows\CurrentVersion\Run],找到一个“Logon”自启动项，启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值：

　　reg delete HKLM\software\Microssoft\Windows\

　　CurrentVersion\Run /f

　　3、用reg import恢复注册表。

　　Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：reg import f:\hklmrun.reg

　　上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。

　　提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快！

　　七、捆绑木马克星——FIND

　　上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的“FIND”命令。

　　相信很很多网虫都遭遇过捆绑木刀，这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。

　　当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片（或是播放的FLASH），但可恶的木马却已经在后台悄悄地运行了。

　　比如近曰我就收到一张好友从QQ传来的超女壁纸，但是当我打开图片时却发现：图片已经用“图片和传真查看器”打开了，硬盘的指示灯却一直在狂闪。

　　显然在我打开图片的同时，有不明的程序在后台运行。

　　现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：

　　FIND /c /I〝This program〞g:\chaonv.jpe.exe其中:

　　g:\chaonv.jpe.exe表示需要检测的文件

　　FIND命令返回的提示是“___G:CHAONV.EXE: 2”,这表明“G：、CHAONV.EXE”确实捆绑了其它文件。

　　因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为“1”；如果是不可执行文件，正常情况下返回值应该为“0”，其它结果就要注意了。

　　提示：其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们，比如本例的“chaonv.jpe.exe”，由于这个文件采用了JPG文件的图标，才导致上当。

　　打开“我的电脑”，单击“工具→文件夹选项”，“单击”“查看”，去除“隐藏已知类型文件扩展名”前的小勾，即可看清“狼”的真面目。

　　八、总结

　　最后我们再来总结一下手动毒的流程：

　　用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。

　　这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。

流氓软件综述篇：安全史上“最牛钉子户”

流氓软件综述篇：安全史上“最牛钉子户”

来源：赛迪网 作者：张晓兵/安天

虽然流氓软件的产生，已经有些年头，但是流氓软件名称的出现，才不过两年时间。流氓软件产生之初，背着沉重的道义包袱，被人们口诛笔伐，然而如今，流氓软件早已成为一种新的商业模式，在利益的引导下，在杀除流氓的呼声中，逐渐壮大，流氓软件还会如何发展，这是摆在每个网民面前的疑问。

我不是流氓

流氓软件又是一个中国特色的产物，在外国没有对应的名词，不过，在流氓软件的名称正式出现之前，国外早已经出现了各种跟今天流氓软件相似的恶意程序，由于它与如今国内的流氓软件无论在功能上还是复杂程度上，都无法相比拟，因此姑且称它们为类流氓软件。

这些类流氓软件，又被细分为若干个类，它们是广告件(ADWare)、色情件(PornWare)、间谍件(SpyWare)、行为记录件（TrackWare）等。

广告件是那种未经用户允许，下载并安装在用户电脑上，或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。色情件是指那种能够自动登陆黄色网站，或者自动帮助用户拨号，给用户带来巨额话费的一类程序。间谍件是能够在用户不知情的情况下，在电脑上安装后门、收集用户信息的程序。行为记录件就是那些键盘记录器，它们往往记录用户电脑使用习惯、网络浏览习惯等个人行为，软件的编写者借此分析出用户的帐号密码等信息。

这类程序在国外一般统称为间谍件，或者统称为广告件，一般反间谍件的软件或者反广告件的软件都能对上述程序进行查杀。微软在2004年底收购的GIAT公司，就是一家这样的反间谍软件公司。

这类程序往往有一个共同的特点，就是会不经过用户同意悄悄地隐藏到用户操作系统中，在用户上网的过程中激活，然后再通过网络来达到软件的自的。然而在3721插件出现并成长之前，这些恶意程序并没有形成多大气候，它们只是病毒的一个小的子集，在数量和重要性方面，甚至还比不上脚本病毒。因为这时候，人们的视线都在被象冲击波、红色代码这样的网络蠕虫吸引着，另一方面这类程序本身又不具备自动传播的功能，因此并没有引起用户和反病毒厂商的重视。

谁也没有想到，这种一没有传播，二没有明确破坏目的的不起眼的软件，会成长为一个巨无霸式的体系，更没有想到，这类程序会即会成长为社会公害，又成为一个巨大的利益来源。

别人说我是流氓

3721插件是互联网第一的流氓软件，这是不争的事实，也正是3721插件令人反感的一些做法，引发了一场声势浩大的反流氓软件运动，直到现在。而3721之于流氓软件的作用，更是不能不说。

3721插件最初只是一款提供中文实名上网的一个小工具，出发点是"让中国人能用自己的母语上网"，它的安装和卸载都不困难，人们也乐于使用这样的小工具，许多企业都在积极申请中文实名，一些企业还把中文实名印制在名片上，甚至连学校都把中文上网作为一项必修的知识教给学生。

然而不知道是资本的压力还是利益的驱动，使得3721在推出上网助手之后开始作恶，那大概是在2002年前后，它开始不顾一切地掠夺着互联网上的节点资源，通过网页漏洞、软件捆绑、网站联盟等方式迅速占领用户电脑。在技术上以驱动的形式注入系统，多个进程和文件互相守护，以防止一些专业用户手工删除，同时也阻止了一些反病毒软件的清除。3721的清除在当时已经成为一个大的技术问题，许多论坛都贴出了手工清除3721的教程，其步骤有数十个之多，3721对系统的控制程度，由此可见一斑。这种做法的直接后果是，3721控制了当时互联网90%的电脑用户。

虽然网络实名给用户带来了方便，但是上网助手的不友好的作法，使得声讨3721的呼声越来越高。不过，由于当时还没有规范这类程序的标准，反病毒公司都不为所动。在2004年，卡巴斯基第一个将3721列为病毒，虽然那一刻，网民们都大呼过瘾，但是不到一周的时间，在新的病毒库升级后，又将3721的特征码去掉了，可见那时对象3721这样的程序是否定性为病毒，反病毒厂商们还没有达成共识。

也许是作恶太多，3721急于想漂白自己，于是在2004年的时候正式推出了木马助手，木马助手虽然采用一些原始的手段来识别网络恶意程序，却逐渐赢得了口碑。然而就在此时，流氓软件的新高潮也已经到来。

先是DUDU下载加速器风波，猫扑陈一舟属下的两家网站，采取“恶劣的手段，用软件捆绑的方式，给用户安装弹出广告软件，可能涉及高达3000万互联网用户”。用户表面是安装了一个用于下载加速的DUDU加速器，实际上在用户卸载了DUDU加速器后，依然会在电脑中留下一个名叫DMCast的壳，这个壳会在需要时继续弹出广告，陈一舟为了这个壳还专门成立了桌面传媒网。

接下来，以桌面搜索门户为卖点的中搜开始在网络猪里集成流氓软件；搜狐、百度推出了相应的插件；电子商务元老8848也开始在网页里集成霸道的流氓插件，并因此还染上了官司。

这一系列的动作将流氓软件推上了一个新的高峰，却迎来了一场反流氓软件的暴风雨。2005年5月，国内反病毒厂商瑞星突然开始发力，联合软件行业协会，挑起了一场声势浩大的反流氓软件运动，并联合十几家互联网企业共同签署了行业自律条约，流氓软件的名称便从这时正式出现。紧接着发起了“将用户的权力交还给用户”的活动，正式推出反流氓软件卡卡助手。这些活动一经出台，便得到了网民们的热烈追捧，最后演变成一场反流氓软件的全民运动。

至此，十大流氓软件评出，3721高居榜首，至此，杀毒厂商开始明正言顺地对这些流氓软件进行绞杀。

我说自己是流氓

反病毒软件正式对流氓软件进行宣战，这不但没有使流氓软件有所收敛，反而使流氓软件更加繁荣，正式形成一个地下产业，而3721终于隐于雅虎的光芒之中，随着奇虎的出现，更加难以让人再想起它。

3721缔造的财富神话使得中国互联网出现了新的一轮淘金热，这是在其它国家互联网难得一见的盛况，无数个小的流氓软件团体如雨后春笋般冒了出来，而且采用的技术也越来越先进，有许多流氓软件已经运用了RootKit技术来躲避反病毒软件的追杀，还有一些流氓软件，已经开始利用碎片技术保护自己，只要有一个碎片没有被杀掉，就能通过该碎片借尸还魂，继续作恶。甚至有些流氓软件已经采用了写固件的方式，通过藏身于主板而达到再生的目的。

而流氓软件的作者也不再象流氓产生之初，大喊自己是正常程序，当被杀毒软件查杀时，四处哭诉自己是清白的，是被冤枉的。现在，他们介绍自己的时候，很直接就会表明自己是做流氓软件的，而且当被杀毒软件查杀时，他们只是在新版本的升级中采用更高级的手段来躲避查杀。

因为与其此地无银三百两地无病呻吟，不如真正从技术上来延长自己的生命。而如今流氓软件产业已经精细化到了可以按照每个用户的个人喜好来定制弹出广告的地步了。可能对于某些人来说，他电脑上的广告窗永远也不会弹出，而对于另外一些人来说，可能在搜索某种疾病时，自动为他们弹出相关药品的广告。而流氓软件的生命周期，也已经被精确地计算到了七天，也就是说，一个流氓软件在一个用户电脑上最多存活七天，在七天之内，流氓软件不但要解决如何按照用户的需求弹广告，还要解决如何在七天之后还能继续生存下去。

这就是流氓软件的现状，它们与杀毒软件的抗衡，还将继续下去，因为流氓软件的财富神话，还吸引着每个流氓软件的作者，也确实使他们获得了巨大的经济利益。

链接1：流氓软件的定义

中国互联网协会对流氓软件的定义：

是指在未明确提示用户或未经用户许可的情况下, 在用户计算机或其他终端上安装运行, 侵犯用户合法权益的软件, 但已被我国现有法律法规规定的计算机病毒除外。

ITwiki对流氓软件的定义

流氓软件是中国大陆对网络上散播的符合如下条件（主要是第一条）的软件的一种称呼：

1、采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；

2、强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项； 强行弹出广告，或者其他干扰用户占用系统资源行为；

3、有侵害用户信息和财产安全的潜在因素或者隐患；

4、未经用户许可，或者利用用户疏忽,或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

中国反流氓软件联盟的定义

凡是具有以下流氓行径：

1、强行侵入用户电脑，无法卸载；

2、强行弹出广告，借以获取商业利益；

3、有侵害用户的虚拟财产安全潜在因素；

4、偷偷收集用户在网上消费时的行为习惯、账号密码。则均属于流氓软件。

别让木马烦你：六招关闭自动播放防止病毒

每次把移动硬盘插到USB口就会自动播放，尤其是移动硬盘分了N个区的时候，要手动一个一个的关掉，真是十分的麻烦！怎么样能解决这个问题呢？下面介绍几种关闭移动硬盘或者U盘自动播放的方法供大家参考：

　　1、SHIFT按键法

　　这个方法早在Windows98就用过了吧？好像是哦，反正我最早在关闭自动播放CD的时候就使用的这种方法。插入移动硬盘的时候按住SHIFT键，移动硬盘就不会自动播放啦。

　　2、组策略关闭法

　　在前段时间熊猫烧香流行的时候，网上就流传着使用组策略关闭移动硬盘或者U盘自动关闭功能的方法。具体如：单击“开始-运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口。在左窗格的“本地计算机策略”下，展开“计算机配置-管理模板-系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”。单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭组策略窗口。

　　3、关闭服务法

　　在“我的电脑”点击鼠标右键，选择“管理”，在打开的“计算机管理”中找到“服务和应用程序-服务”，然后在右窗格找到“Shell Hardware Detection”服务，这个服务的功能就是为自动播放硬件事件提供通知，双击它，在“状态”中点击“停止”按钮，然后将“启动类型”修改为“已禁用”或者“手动”就可以了。

　　4、磁盘操作法

　　这个方法对Windows XP有效，也比较好用。打开“我的电脑”，在“硬盘”里面或者在“有可移动的存储设备”下面会看到你的盘符，一般移动硬盘的盘符会在“硬盘”中，U盘或者数码相机什么的在“有可移动的存储设备”中。鼠标右键点击需要关闭自动播放功能的盘符，选择“属性”，在弹出的窗体中选择“自动播放”选项卡，在这里用户可以针对“音乐文件”、“图片”、“视频文件”、“混合内容”和“音乐CD”五类内容设置不同的操作方式，都选用“不执行操作”即可禁用自动运行功能，“确定”后设置立即生效。这种方法同样使用于针对DVD/CD驱动器。

　　5、注册表法

　　注册表是个麻烦的东西，一般icech不建议使用注册表来修改。但是为了凑条目还是写上吧，呵呵。

　　打开注册表编辑器，展开到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下，在右窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

　　NoDriveTypeAutoRun这个键决定了是否执行Autorun功能。其中每一位代表一个设备，不同设备用以下数值表示：

　　设备名称 第几位 数值 设备用如下数值表示 设备名称含义

　　DRIVE_UNKNOWN 0 1 01H 不能识别的类型设备

　　DRIVE_NO_ROOT_DIR 1 0 02H 没有根目录的驱动器

　　DRIVE_REMOVABLE 2 1 04H 可移动驱动器

　　DRIVE_FIXED 3 0 08H 固定的驱动器

　　DRIVE_REMOTE 4 1 10H 网络驱动器

　　DRIVE_CDROM 5 0 20H 光驱

　　DRIVE_RAMDISK 6 0 40H RAM磁盘

　　以上值“0”表示设备运行，“1”表示设备不运行。

　　6、软件法

　　Tweak UI是Microsoft出品的软件，可以针对任何操作系统。使用Tweak UI软件，可以控制任意盘符是否可以自动播放。