1. 程序ASLR/标签进程降权运行

ASLR是Chromium最初就添加的功能，不过说实话这个功能对Firefox也是有的，但是Firefox有一个缺点是某些文件并未完全使用ASLR功能编译。而且ASLR功能还是需要Vista+系统支持才可以运行的。标签降权应该是Chromium最初用的吧，如果没记错的话。

2. 插件自动更新功能（Chrome）

插件是经常容易被攻击的方面，比如常见的Flash/PDF挂马。不过Google为了防止用户不能及时升级，于是将插件包含在浏览器中，于是乎，在升级浏览器时就会自动升级了插件。不过某些原因，Chomium并不包含某些非开源商业软件（比如Flash/PDF等等），而Chrome中使用的Flash是官方最新版，PDF则是Foxit Reader SDK编译的。

3. XSS攻击过滤功能

XSS是跨站攻击的简称，XSS对一般用户的攻击的后果，可能是挂马、自动执行某些私密功能，甚至密码外泄。该功能在最新版中并没有默认开启，可以在地址栏中输入："about:flags"，进入实验室中找到“XSS Auditor”选择启用即可。

4. Flash插件Sandbox运行

Google 已经实现了利用下一代浏览器插件 API 成功的将 Flash 插件放入了沙箱中，从 Chromium Build 66022 开始，Windows 平台的 Flash 插件将默认运行于沙箱中（需要 Flash 10.1.103.19 或更新版本，现在这个版本的Flash还没发布）。这样就再也不用担心挂马问题了。

5. Click To Play

这个功能其实不怎么算新功能，以前就已经出现在了Chromium的代码中，不过需要使用命令行开启。现在出现在了实验室中，可以默认开启。Click To Play的功能是从另外一个方面禁止某些使用插件的恶意行为，比如挂马。在开启该功能后，在“高级选项”中的“内容设置”里的插件标签里可以选择。

这样，在网页中加载时并不会启用插件，即使有攻击该插件的恶意代码，也不能够执行。

其实，Google对待安全的态度确实是值得称赞的，相比很多大厂商都要好上很多。这样的企业，且不问是不是什么品质如何的公司，起码可算是一个专业的公司了。

主要内容是在content-min中： <

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

KISSY.ready(function (c)
{
    var i = "textarea", b = "\u7981\u6b62copy!", g = c.Event, f = document, d = f.body, h = c.DOM, e = c.Node, 
    a = new e(d.appendChild(h.create("<" + i + ' style="position:absolute;left:-9999px;">' + b + "</" + i + ">")));
    g.on(document, "contextmenu", function (j)
    {
        j.halt()
    });
    g.on(document, "keydown", function (l)
    {
        var m = l.keyCode;
        if (m === 67 && (l.ctrlKey || l.metaKey))
        {
            var j = new c.Selection(f), k = j.getRanges()[0];
            a[0].focus();
            a[0].select();
            setTimeout(function ()
            {
                k.select()
            }, 0)
        }
    });
    d.appendChild(document.createTextNode("\u6211\u662f\u5185\u5bb9\uff0c\u4f60\u53ef\u4ee5copy\u6211\u770b\u770b\uff01"))
});

适用于所有浏览器，google Docs也是使用的这种技术。
例子可以在http://lite-ext.googlecode.com/svn/trunk/lite-ext/playground/no-copy/no-copy.html找到

好个周鸿祎！一出手就是雷霆万钧，使金山措手不及，一石三鸟，可谓占尽先机。

周鸿祎缘何这个时候发力，打压金山呢？这个问题还是我们慢慢说起吧。

市场份额之争

360选择在这个时机打击金山，最主要的问题无疑是保证自己的知名度，然后保证市场份额。

当前段时间360发力，打击瑞星的时候，瑞星也是茫然无措，仓皇应对。这场争斗的结果是，瑞星杀毒软件的市场份额大减，而360自制的360杀毒的市场份额则产生了大幅的市场份额提升。虽然这一次和上一次瑞星和360之争不太一样，但是回过头来看看，360却是受到了别人的威胁，这个威胁来自于金山。

金山推出的一款金山网盾本来就是360网盾的直接竞争对手（其实之前360也没有网盾这东西，算是集成在360的网页防护里），今年金山有在不遗余力的推动金山卫士的发展，这个可是深深的撼动了360的根本。360最大的装机量无疑是360安全卫士，这个软件的装机量应该仅次于QQ，如果360丢失了360安全卫士强大的装机量，那么就像一个大厦没有了基石，倒不倒根本不用回答，只要看什么时候倒就可以了。

360与可牛之争

可牛是什么？可牛在此之前仅仅只是一个非主流修图软件。但是说道360和可牛的关系，那可真的不一般。可牛的创立者傅盛就是前奇虎公司个人软件事业部总经理，负责360安全卫士及相关产品的开发和产品。2008年8月19日正式从奇虎离职之后，傅盛就创立了可牛网络技术（北京）有限公司。

当时傅盛离职时，给360带来了重创。因为傅盛的离职，带走了一批360的骨干技术人员，也成就了新可牛的骨干。当时对360的影响之大，估计外人一时很难了解，不过在那一段时间中，360的招聘条件却能反映出这个企业因为傅盛离职带来的元气大伤。虽然后来我曾私下问起这件事情，不过表面上回答的轻松：一切正常，没有问题，但实际上暗中的动作还是难掩实力的下降。

不过经过年半的修养生息，360已经比以前更加强大了，而傅盛限于一个不得进入同行业竞争的协议，迟迟未再入安全行业。不过事实上傅盛带走的不单单是一些普通的程序员，而是一队专业的安全人员，因此再入安全行业，只不过是迟早的事情罢了。

前段时间就有新闻提到可牛实际是卡巴斯基+金山云引擎，联想到傅盛与周鸿祎的恩恩怨怨，难免会有一些联想罢了。

360的市场拓展

这个事情估计外人也不见得了解了，我想除了周鸿祎，很难有人猜的透他究竟在做什么。没错，360安全卫士永久免费，360杀毒永久免费，可是这些都免费了，钱从哪里来呢？从风投？

当时马云一句话：“淘宝免费”，于是当淘宝要收费的消息出来之后导致大量卖家的强烈反对，最终还是免费的网站。周鸿祎有了一个前车之鉴，难免不得揣测一下自己的前途。产品都免费了，钱从哪里来？360也许需要变革了吧。

国外的安全厂商，有一些也是免费个人用户杀毒，那么他们怎么赚钱的呢？对，企业用户。于是周鸿祎盯上了企业这块大蛋糕。实际上在此之前，国内主要的企业级安全厂商主要把持在赛门铁克、瑞星、金山这些大家比较熟悉的玩家手中，如何从他们手中获得市场，也是周鸿祎值得考虑的问题。

周鸿祎不笨，所以就把用过的手段重新用一遍就可以了。而且，周鸿祎从离开yahoo时就开始玩，而且一直都没失手过。

后记

本来写这篇文章的冲动还是满强烈的，不过想了想，最后一直也还是没怎么开始动手。停了几停，删掉一些比较敏感和倾向性的话，所以文章就变成了这个样子。

我很敬佩周鸿祎，曾经方正的天才程序员，现在也是一个伟大的商人。商场如战场，也是我所信奉的信条。可惜一直没有见到过周鸿祎的真颜，卻感遗憾。第一年老周宴请，我不知道而未到席，第二年去的时候，齐向东已经走马上任，于是还是没有见到。如果有机会，还是希望可以和周鸿祎先生一起坐下来，倒一杯茶，慢慢聊聊这个神奇的世界，也不错。

下面是推荐下载地址：

http://dl.dropbox.com/u/3158427/Down/idapro55.zip
http://dl.dropbox.com/u/3158427/Down/IDA Pro Advanced 5.5 去除局域网检测补丁.rar
http://dl.dropbox.com/u/3158427/Down/IDA Pro Advanced v5.5_Simplified Chinese language file.rar
http://dl.dropbox.com/u/3158427/Down/PythonForWin2.5.rar(组件python，可选组件)

各种分流下载：

http://hotfile.com/dl/20983476/df1b86d/idapro55.zip.html
http://rapidshare.com/files/322331794/idapro55.zip.html
http://narod.ru/disk/16084747000/idapro55.zip.html 
http://www.multiupload.com/GICLN1AOE3

值得提醒的是目前的ida.CHS不支持Hex-Rays1.1，如果使用这个功能建议使用E文原版，或者使用下面的补丁实现：

http://d.namipan.com/d/10aa4396b2ff8dda750ea71a1aa817cd44ef6f3385490100

另外据说ida新版支持了python，如果有兴趣的可以参考下ida安装目录下的例程，不过我还没看到这个pyida怎么用…和之前是独立插件的那种方式不一样好像…再安装几个常用插件，比如SMB分析工具，SWF分析工具，图形化对比软件等等，请根据个人需求安装。本人就不提供下载啦

DNS地址：156.154.70.22
156.154.71.22

– 发送自我的 iPhone

Email邮件安全在那里？在过去很长一段时间里，人们仅仅把目光放在了邮件附件的文件安全上，认为如果邮件附件的内容安全的话，自己的邮箱就可以安然无忧，不受任何安全威胁了。真的如此吗？我们不妨看一下来自hotmail server的样例：

好像这么看来，我们已经处于重重安全防护之下，对大型厂商MS来说，附件使用了杀毒软件扫描，Email本身的安全设置更是阻隔了很多的潜在危险，比如邮件中本身存在的图片，链接等等，当然，默认也是屏蔽掉附件的。

看起来，哇，我们都选用Hotmail好了，不过非常遗憾的说，在众多主流Email客户端测试结果中，结果表明，Hotmail的安全性仅仅只比国内主流邮箱安全性稍高一些而已…

残酷的现实无疑再次击垮了我们的心理防线。没错，你的电子邮件已经不值得信任了！

我们常常会质疑安全厂商的炒作，认为某些问题本来就不像想象中的那么严重。没错，从某些情况上来看，安全厂商为了推广自己的产品，难免会有一些夸大其词，但是作为个人用户来说，做好足够的安全防护措施也是必要的。从上面一个简单的示例来说，我不得不提醒大家的Email服务器脆弱的安全性。好吧，我觉得安全性是可以这样排序的：

安全性（由大到小）：

Gmail>yahoo>hotmail>国内Email（QQ，163等等）

这个消息可能真的不是那么让人舒服，但是事实如此。好吧，说了那么多，我也该适时给出我的安全建议了：

1.使用Gmail邮箱，如果原邮箱有重要联系客户，或者更换代价较大，建议使用Gmail代收。因为据我所知，目前尚无非常有效攻击Gmail的方法。

2.附件尽量使用较为安全的文件格式，诸如TXT。word和pdf是不安全的文件格式，当然如果你属于小众，可以放心打开。不要随意点开缩短网址服务的网址，这也是相当危险的行为。

3.定期更换Email密码。好像就算别人无法获知你的密码就无法登陆一样，但是事实上不是如此。某人曾经对我吹嘘QQmail他可以完整获取对方的QQ密码，QQ好友，QQ空间相册等等，所有的这些仅仅需要一封电子邮件就可以做的到。不过，很明显，在你更换密码之后，这种方法就是失效了，当然，你能保证在此之前它没有把信息回传给攻击者。即使你被攻击了，修改密码之后，也可以断绝黑手对你的继续利用。

哦，我暂时能够想到的安全措施如上所述了。其他的安全措施也希望你能够补充，毕竟我也不是什么安全专家，比起他们来着，我的差距还是蛮大的。本文到此就告一段落了，如果你有什么问题，可以致信到我的live邮箱。什么？我还敢用live mail？你说为什么呢？

看Nguyen Anh Quynh先生的大致意思是这样的：一般的时候我们在检测病毒的时候，一般是在VM里面，这个VM包括了AntiVirus程序检测的简易VM。而Nguyen Anh Quynh的设计独立于vm之外，通过扫描vm的物理内存，进行检测。据Nguyen Anh Quynh介绍，他的这种检测方法可以解决大部分的kernel rootkit和ring3 rootkit。

我个人认为，这种方法看似巧妙，但是实际上还是有很大的缺陷在里面。假如我作为Vxer的时候，一定会采用防止VM run的方法。这是一个高级病毒maker一定会做的事情。而且，在自己的病毒或者rootkit中使用polymorphism和metamorphism。当然，说起来，在病毒和ring3级别的rootkit中使用这些技术较为简单，但是在ring0级别的rootkit中，这种技术倒是个硬伤。

那好吧，我们抛开ring0 rootkit不谈，假如我检测自己在VM底下，我选择不decode我的代码和执行，反而去解密一些较为正常的代码，变成一个在VM下无害的病毒呢？相信这些技术，作为一个熟练的Vxer应该是都已经掌握了的技巧了吧。

今年的xcon我不一定可以抽出时间来过去，真是遗憾不能再次听到Nguyen Anh Quynh的精彩演讲了。非常遗憾，希望以后有机会再联系吧。

lclee 说:
i just finish the ollyscript
automated unpack the conficker worm
tested these sample with MD5
MD5:83c52b56b1ecbe23183bae5e05474e3e
MD5:6ee741c4e0d36d0dc9162a6e71943379
if want to get the sample, search the md5 from here
http://www.offensivecomputing.net/
hmm..still not perfect yet the script
it just can automated unpack the conficker variant B
C still cannot

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

var goaddr1
var goaddr2
var goaddr3
var goaddr4
var goaddr5
var goaddr6
var goaddr7
var szmemory
 
start:
  find eip, #807C240801#
  cmp $RESULT, 0
  jne uncompress1
 
error1:
  msg "Failed to uncompress 1st layer packer of conficker worm variant B"
  ret
 
uncompress1:
  sti
  msg "Start to uncompress 1st layer packer"
  mov goaddr1, $RESULT
  findop goaddr1, #83EC??#
  cmp $RESULT, 0
  bphws $RESULT, "x"
  run
  bphwc $RESULT
  sti
  sto
  msg "1st Layer packer success uncompress, Now start uncompress 2nd layer packer"
 
SearchAPI:
  gpa "VirtualProtect", "kernel32.dll"
  mov goaddr2, $RESULT
  bphws goaddr2, "x"
  run
  bphwc goaddr2
  msg "Landed at address of VirtualProtect, check the segment address of memory allocate for dll"
  mov goaddr3, esp
  add goaddr3, 4
  mov goaddr4, [goaddr3]
  findop goaddr4, #807C240801#
  cmp $RESULT, 0
  jne uncompress2
 
error2:
  msg "Failed to uncompress 2nd layer packer of conficker worm variant B"
  ret
 
uncompress2:
  mov goaddr5, $RESULT
  go goaddr5
  msg "start uncompress 2nd layer packer"
  find eip, #83EC??#
  mov goaddr6, $RESULT
  bphws goaddr6, "x"
  run
  bphwc goaddr6
  sti
  sto
 
  //mov goaddr7, eip
  //gmemi goaddr7, MEMORYSIZE
  //mov szmemory, $RESULT
 
  //msgyn "Dump the file from the memory?"
  //cmp $RESULT, 0
  //jne dumpfile
  //jmp end
 
//error3:
  //msg "Failed to dump the file from the memory"
  //ret
 
//dumpfile:
  //dma goaddr7, szmemory, "conficker.mem"
  //msg "stop"
 
end:
  cmt eip, "This is Original Entry Point of the conficker worm variant B"
  msg "This is OEP of the binary file. Right click and select "backup" and "save data to file" and dump the binary from the memory. Binary decrypted."
  msg "Script by lclee_vx/F-13 Labs"
  ret

很久没有沾手病毒这一块了，相对之下，lclee最近的成果可真是多呀 :)。 马上考完最后一场编译原理之后，我全部的精力就要集中在考研这种事情上了。加油！这个是给lclee的，也是给自己的。:)

目标还没有选好，北京理工其实也不错，不是吗？

1
2
3
4
5

((_waccess(strVirName,0)) != -1)
{
	//ShowMessage(TEXT("There is a virus in here!"),TEXT("IsExist"));
	return true;
}

这样是一定会在改写成_waccess_s时出现问题的。最初我以为是_waccess_s的定义问题，查了下msdn，是下面这个样子：

1
2
3
4
5
6
7
8

int _waccess(
   const wchar_t *path,
   int mode
);
errno_t _waccess_s(
   const wchar_t *path,
   int mode
);

这两个函数在参数上没什么差别，貌似问题并不出在这里。看编译器并不在这里提示错误，但是最后逻辑一定会有错误。不过仔细看下类型，一个是int，一个是errno_t，这个不太一样。但是实际上你看下errno_t的定义就知道，其实这个是tpyedef int errno_t来的。好像程序分析到这里陷入到了僵局。不过注意到_waccess定义中有一句话：

Each function returns 0 if the file has the given mode. The function returns –1 if the named file does not exist or does not have the given mode; in this case, errno is set as shown in the following table.

从这句话看，我这原来的程序在这里没有任何问题，修改后应该也不会出现什么问题，但是实际上却不然。在_waccess_t的返回值中是这么提到的：

Each function returns 0 if the file has the given mode. The function returns an error code if the named file does not exist or is not accessible in the given mode. In this case, the function returns an error code from the set as follows and also sets errno to the same value.

这就说明，实际上在_wacess_s中-1并不能在这里判定文件不存在，因为在_waccess_s中不会出现这个返回值，仅会出现EACCES、ENOENT、EINVAL三者之中的一个。因此实际上将最初语句中的-1替换为ENOENT就可以解决这个问题了。

实际上，这个问题也是很有提示作用的，这说明在写程序的时候，还是需要用些定义的了东西，不仅在移植的时候方便，而且更新的时候不需要具体的调整参数了，避免一些莫名其妙的错误。