做自己的救世主——系統安全保衛戰

[psac]

做自己的救世主——系統安全保衛戰(作者：小金)

一. 誰是救世主
相信看過《黑客帝國》系列的朋友都不會對主人公尼奧感到陌生，這位闖入虛擬世界的程序員一次又一次演繹了「救世主」的角色，保護了城市居民，其形象早已深入人心。而離開電影後，我們廣大的電腦用戶要面對的又是另一種亦真亦假的數位虛擬世界——網路，這裡同樣潛伏著許多危險，同樣存在「黑客帝國」，但這裡卻沒有尼奧這個人的存在，我們能看到的，只有形形色色的安全廠商和他們所提供的安全工具，除此之外，似乎已經沒有別的選項。
於是乎，許多用戶把各種安全工具看成了這個世界中的「救世主」，我們看到許多關於安全工具的廣告，我們購買市面上流行的防病毒軟體，我們在聽聞每週一次的「新病毒預警」時趕緊昇級病毒特徵庫，我們每週都對電腦進行一次漫長的病毒掃瞄……許多人都這樣做，許多人不得不這樣做，因為我們把一切都交給殺毒工具了，我們什麼都不需要做了，我們只管肆無忌彈的上網聊天看電影下軟體，因為我們有殺毒工具，這些工具都具備一個「既時監測」的功能，它每時每刻都會檢查我們剛下載的文件，我們感到自己很安全，我們以為這就是網路中的防禦。
然而，事實真的如此美好嗎？依稀記得有一句話好像是這麼說的，「無論你做什麼事情，你都不可避免要付出一定的代價」，在我們安然自得的享受由殺毒工具帶來的安全防禦的同時，我們也在付出相應的代價。為什麼呢？因為殺毒工具是一套在系統啟動的時候就開始執行直到關機或者用戶結束它的時候才會停止執行的程序，它們的檢測和防禦機制的效率是不能和尼奧相比的。舉個簡單例子，學過編程的人大概都知道，象棋程序是最難寫得完美的，因為象棋的走法從來都沒有一個固定的模式，我們能創造出許多花樣，但是程序不能，它只能按照有限的判斷機制去決定每一步棋怎麼走，這就是為什麼如今的許多象棋程序看起來像個傻瓜的原因。有人也許會說，做一個強大的象棋程序把盡可能遇到的走法都寫進去就可以了，這個象棋程序必然無敵。這樣是可行的，但是由此帶來的代價就是每個和它下棋的人可能都要花一輩子的時間了，因為程序在每走一步棋之前都要把所有盡可能遇到的情況都「思考」一遍，這樣是要付出時間作為代價的，如果要縮短時間，就要讓程序在同一時刻思考多種走法，但著時候，代價就變成龐大的系統資源消耗了——你能忍受麼？
同樣的缺陷正在殺毒軟體身上發生，我們知道，大部分殺毒軟體是採用「特徵碼」技術去搜尋病毒的，就是說，殺毒軟體引擎讀取一個程序或文件內容，並與自身資料庫裡儲存的已被驗證為病毒程序體內某段特定程式碼進行匹配，一旦兩者相同，殺毒軟體就「驗證」此文件為病毒。隨著病毒家族的龐大，這個資料庫體積的增長也到了不可忽視的地步，載入的速度也就慢了。而且資料庫每增加一個病毒特徵碼，殺毒引擎的判斷分支就要增多一條，相應的時間也會延長，為了避免出現掃瞄一個文件需要半小時的尷尬情況，殺毒軟體會採用各種提高匹配速度的方案，但這些方案無一例外都要瘋狂剝削用戶的系統資源，如果一台電腦的組態並不是很高，那麼在用戶查毒的時候，他基本上已經不能正常做其他工作了，找個電視台慢慢看連續劇吧，這就是尼奧的代價。
那麼，誰才是我們的救世主？答案就是——你自己。能信任的人永遠只有自己，只要肯努力，每個人都可以做尼奧，不過這也是有代價的，因為它把系統資源的消耗轉變為腦子的消耗，把判斷分支和經驗寫入腦子裡，在處理分支的效率上，人永遠比程序要靈活，而且這樣一來就不會出現依賴的惡性循環了，離開了殺毒軟體，我們要學會靠自己來保護自己不被這個虛擬世界傷害到。現在，就讓我們來做自己的救世主吧。


二. 做自己的救世主
小時候曾經看過一個故事《另一種侵略》，被人類打敗的宇宙侵略者送給人類一種水晶，只要人類拿起它想一種物品，這個物品就會出現在自己面前，於是每個人都開始沉浸於無盡的享受中，再也沒人去鑽研科技國防了，幾十年後，人類開始出現退化現象。這時候，宇宙侵略者又來訪問地球了，這次它們只用了一條條鞭子就征服了地球，在最後一個人類被驅逐進囚籠之前，他回頭含糊不清的說了句什麼話——連他的舌頭都退化得差不多了，也許他是說：「地球完了。」
以上的故事或許只是虛無的幻想，但類似的行為卻正在當代發生，如果一個用戶懷疑自己的電腦感染了後門，他的第一個反應大概會是開啟殺毒工具。故事裡的人類太依賴水晶的魔力，現實中的我們太依賴殺毒軟體的方便快捷！也許有人會反對，既然能使用工具方便快捷的保護電腦安全，我又何必自尋煩惱學習安全防禦？會這樣想的用戶沒有想到網路的複雜，能闖進電腦的「客人」並非就是在各大安全工具廠商通緝名單上的成員，因為網路中還流傳著一部分小規模使用而且沒有被公開的「私人後門」（例如大部分DDoS後門工具其實都是自己寫自己用的），有能力的人都可以自己寫「私人後門」，然後通過多種途徑放到別人的電腦上執行。這時候，「病毒庫特徵碼」技術的局限性就開始顯露了，被感染了「私人後門」的用戶偶爾會察覺到電腦異常，然後他會開始查毒，結果因為滲透進系統的後門程序並沒有在病毒特徵庫裡「登記」過，殺毒軟體就認不出它了，用戶只能在浪費大量時間後看著殺毒軟體報告的「沒有發現病毒」消息繼續「享受」被入侵的感覺。這個事實可笑嗎？我們只能在自己信任的尼奧面前被敵人殺死——甚至這個尼奧也不復存在了，如果後門能把它踢出記憶體並移除掉的話。
還是那句話，能信任的人只有自己，更何況這是網路。所以，我們不能再戰戰兢兢的躲在掩體裡等待救世主消滅所有敵人了，我們要做自己的救世主！

三. 捕獲不請自來的「客人」
「600型機器人包裹的是橡膠外皮，很容易被認出來，但現在的101型機器人是生化技術製造的，有真實皮膚，會呼吸、流血、甚至口臭，一切都和人類一樣，直到它開始攻擊，你才能知道它不是人類。」
「那你們怎麼辦？」
「我們用狗識別終結者。」
——《終結者》

在《終結者》裡，狗是唯一可以區分敵我的工具，因為它判斷對方的方式並不僅僅靠眼睛——眼睛是可以被欺騙的，但是氣息不能，一個機器人無論偽裝得再怎麼逼真，都不能具備生命體的氣息，但是它能欺騙人類的視覺和聽覺，這就足夠了。
後門技術從誕生到現在，已經發展了好幾代，對自身的偽裝技術也越來越成熟了，從最初的啟動項結合隱藏行程方式，到最新的Ring0驅動方式，我們越來越難發現這些「客人」的痕跡，當它開始破壞的時候，已經來不及做補救措施了，所以，我們需要一種可以嗅出後門氣息的「狗」。

1.準備工作
在進行一切工作之前，用戶需要對系統有點瞭解，例如註冊表、啟動項、服務、一般的程序和行程名等，這是學習手動式查毒最基本的要求，在初期可以多參考一些介紹系統概念的文章如到處都流傳的「系統行程詳解」、「WinXP系統服務簡介及最佳化措施」等，並做一點筆記，力求日積月累儘快記住一些最一般的系統程序和相關工具的使用方法，如果過不了這個門檻，後面的工作也就無從談起。
首先，我們必須瞭解Windows系統的三大知識點：註冊表（Registry）、行程（Process）和權限（Privilege）。
「註冊表」是出現在Windows 95及以後版本的一種資料庫。在這之前，用戶要對軟硬體工作環境進行組態，就要修改一種被稱為「組態設定」（INI）的文件來完成，但是由於每種設備或應用程式都得有自己的INI文件，無形中增加了管理難度，為了解決這個問題，微軟開始統一標準並將各種訊息資源集中起來儲存於，最終形成了將應用程式和電腦系統配置資訊容納在一起的「註冊表」，用來管理應用程式和文件的關聯、硬體設備說明、狀態內容以及各種狀態訊息和資料等，註冊表維持著整個系統的正常運作。
註冊表採用一種類似文件目錄的結構樹來描述配置資訊，最頂端的5個項目稱為「根鍵」（ROOT_KEY），系統能識別的所有的資料都是從它們這裡展開的，這5個根鍵分別是：
•HKEY_CLASSES_ROOT（負責各種元件註冊類別和文件並聯訊息）
•HKEY_CURRENT_USER（當前登入用戶的環境訊息）
•HKEY_LOCAL_MACHINE（整個系統的公共環境訊息）
•HKEY_USERS（所有用戶的環境配置資訊）
•HKEY_CURRENT_CONFIG（現用的配置資訊）
其中，我們主要關注的是前面三個根鍵裡的資料，它們是後門最愛篡改的地方，分別是三個啟動項目「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」和「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices」，一般的後門都要通過修改這裡加入自己的配置資訊以達到跟隨系統啟動的目的；除此之外就是文件並聯訊息「HKEY_CLASSES_ROOT」，並聯型後門最愛更改這裡的.exe、.bat、.scr、.com等可執行文件的註冊訊息，讓自己搶先一步執行。更多涉及到的註冊表內容以後會提到，現在讓我們來看看行程是什麼。
「行程」，是指一個可執行文件在執行期間請求系統在記憶體裡開闢給它的資料訊息塊，系統通過控制這個資料塊為執行中的程序提供資料交換和決定程序生存期限，任何程序都必須擁有至少一個行程，否則它不被系統承認。行程從某一方面而言就是可執行文件把自身從儲存於介質複製在記憶體中的映像，它通常和某個在磁牒上的文件保持著對應關係，一個完整的行程訊息包括很多方面的資料，我們使用行程檢視工具看到的「應用程式」選擇項包含的是行程的標題，而「行程」選擇項包含的是行程檔案名、行程標幟符、佔用記憶體等，其中「行程檔案名」和「行程標幟符」是必須掌握的關鍵，「行程標幟符」是系統分配給行程記憶體空間時指定的唯一數位，行程從載入記憶體到結束執行的期間裡這個數位都是保持不變的，而「行程檔案名」則是對應著的介質儲存於檔案名稱，根據「行程檔案名」我們就可以找到最初的可執行文件位置。
最後是「權限」，這裡涉及的權限是指80386模式的Ring權限。操作系統是由內核（Kernel）和外殼（Shell）兩部分組成的，內核負責一切實際的工作，包括CPU工作調度、記憶體分配管理、設備管理、文件操作等，外殼是關於內核提供的交互功能而存在的界面，它負責指令傳送和解釋。由於內核和外殼負責的工作不同，它們的處理環境也不同，因此處理器提供了多個不同的處理環境，把它們稱為執行等級（Ring），Ring讓程序指令能訪問的電腦資源依次逐級遞減，目的在於保護電腦遭受意外損害——內核執行於Ring 0等級，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3等級，這個等級能操作的功能極少，幾乎所有指令都需要傳送給內核來決定能否執行，一旦發現有可能對系統造成破壞的指令傳送（例如超越指定範圍的記憶體讀寫），內核便返回一個「非法越權」標誌，傳送這個指令的程序就有可能被終止執行，這就是大部分一般的「非法操作」的由來，這樣做的目的是為了保護電腦免遭破壞，如果外殼和內核的執行等級一樣，用戶一個不經意的點擊都有可能破壞整個系統。但是現在，Ring已經屢屢被後門木馬利用成為一個令人頭痛的凶器。

2.行程偽裝型後門的殲滅
最初的後門靠註冊「系統服務」的方法在Win9x系統裡隱藏自己的執行訊息，到了NT架構裡，這個方法失效了——NT家族原有的的工作管理器（Task Manager,TaskMgr.exe）把所有普通行程都一視同仁的顯示出來，連初級用戶都能輕易發現後門執行的痕跡，於是後門製造者開始攻克心理學和障眼法，讓後門行程在工作管理器裡把自己標榜為「系統關鍵行程」，達到欺騙用戶的目的。
我們都知道，工作管理器列出的眾多行程裡包含著一部分「關鍵行程」，它們是無法通過工作管理器中止的，而且許多文章也會提到相關行程名，久而久之，我們又養成一個習慣：檢視行程訊息時，只要看到熟悉甚至類似的行程名就忽略不計了，僅僅去尋找不熟悉的行程名，於是後門製造者就直接利用這個心理暗角配合路徑遍曆法則，讓後門行程顯示為「smss.exe」、「svchost.exe」、「lsass.exe」、「csrss.exe」、「winlogon.exe」等關鍵行程名就欺騙了用戶和工作管理器。
在這種情況下，系統自己的工作管理器已經不能信任了，因為它遺漏了最重要的路徑訊息，後門就利用了這一點——它可以把自己偽裝成svchost.exe放到Windows目錄下，然後在註冊表啟動項裡加上不帶路徑訊息的「svchost.exe」訊息，系統在根據目錄遍曆法則一層層深入尋找svchost.exe時會在Windows目錄裡發現並執行它，而真正的關鍵行程svchost.exe是在SYSTEM32里的，而且它也必須通過「服務管理器」（Service Control Manager,SCM）載入，於是工作管理器會顯示多個svchost.exe行程，但是由於缺乏路徑指示，我們根本不知道系統已經多了一個假的svchost.exe。即使我們發現了它是假的，也無法用工作管理器終止它的執行，因為工作管理器只是簡單的判斷了檔案名就認為它是「關鍵行程」了，自然不會讓你終止。類似的後門偽裝檔案名還有「SYSTEM\rundll32.exe」、「SYSTEM32\rundll.exe」（NT架構裡根本沒有rundll.exe這個程序）、「SYSTEM\services.exe」等，要發現並殲滅這些後門，除了要求我們對一般的系統關鍵行程有所瞭解以外，還需要第三方提供的增強工作管理器協助，例如Windows最佳化大師攜帶的行程檢視器，用它便可迅速發現路徑不對的「假兄弟」。
其實最迅速的尋找方法是執行「系統組態實用程序」（MSCONFIG.EXE），切換到「啟動項」，如果在這裡發現了「系統關鍵程序」的訊息，那它一定是假的。

3.服務欺騙型後門的戰役
Windows的工作管理器不可終止兩種程序的執行：一種是關鍵行程，另一種是通過服務管理器SCM啟動的系統服務程序（NT-Service），所以一部分後門製造者設法把後門做成服務形式，讓SCM直接說明 啟動服務行程，不再借用註冊表啟動項載入，這樣即使是對註冊表啟動項有一定瞭解的用戶也難以發現異常，而且就算他想終止工作管理器裡顯示的奇怪行程，也會被拒絕，如果用戶對服務管理器的瞭解不深，那他將會在眼花繚亂的服務面前變得束手無策。
這時候，我們又需要請「系統組態實用程序」出山了，切換到「服務」選擇項，把「隱藏所有Microsoft服務」，這裡就只顯示非微軟開發的普通服務程序列表了，包括服務欺騙型後門的服務項，一般它會包含欺騙性質的字元或者偽裝成某廠商的服務名，如「Rising Virus Monitor」（瑞星監控）、「Macromedia License」等，記住這裡顯示的列表名稱，接著執行「服務管理器」（Services.msc）找到對應的項目，看看內容裡的文件和路徑是不是真的，如果你並沒有安裝KAV、MCAFEE這些殺毒軟體而SCM裡卻找到對應項目的話，它就是狡猾的後門沒錯了。一些間諜軟體還會自作主張的把自己命名為「Windows Print Controller」，簡直就是無視系統自身的「Print Spooler」服務。
找到這類後門後，不要急著終止它的執行，既然後門作者知道SCM能直接停止它們，就必然會做一些復活措施，所以我們必須先把後門服務的「啟動檔案類型」設定為「禁止」，然後重啟一次確保後門程序無法跟隨系統啟動，這時候才能開始清理後門。其中文件的路徑訊息SCM已經提供給我們了，直接在磁牒上找到移除即可，但是服務項目不能直接用SCM移除，要移除這個殘留的服務項，首先要對系統服務有個最初的概念。
官方對系統服務的定義如下：
在NT架構系統中，服務是指執行指定系統功能的程序、例程或行程，以便支持其他程序，尤其是底層(接近硬體)程序。通過網路提供服務時，服務可以在Active Directory中發怖，從而促進了以服務為中心的管理和使用。服務是一種應用程式檔案類型，它在後台執行。服務應用程式通常可以在本機和通過網路為用戶提供一些功能，例如客戶端/伺服器應用程式、Web伺服器、資料庫伺服器以及其他關於伺服器的應用程式。 既然服務自身也是獨立出來的程序，它就必須有一個載入的入口，我們可以把這個入口理解為第二個啟動項，這個入口是由SCM負責的，無論是什麼身份的用戶進入系統，SCM啟動服務的位置都固定在註冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支裡，所以只要找這個分支就可以發現所有服務——也許你會說，這裡顯示的名字似乎都毫無意義，我怎麼知道哪個是我正在找的？其實很簡單，我們回到SCM，檢視一個服務的內容，例如「DNS Client」服務，它的內容裡寫著「顯示名稱：DNS Client 服務名稱：Dnscache」，現在回到註冊表分支，尋找「Dnscache」，就會看到它是CurrentControlSet \Services\Dnscache，這就是我們在SCM裡看到的「DNS Client」服務，如果你移除掉「Dnscache」項目，那麼整個「DNS Client」服務也就消失了。以此類推，很快就可以清理掉服務欺騙型後門。

4.最艱難的尋找：Ring 0後門
隨著安全技術的發展和電腦用戶群的技術提高，一般的木馬後門越來越難生存，於是一部分有能力的後門作者把眼光投向了系統底層——Ring 0。位於Ring 0層的是系統核心模組和各種驅動程式模組，所以位於這一層的木馬也是以驅動的形式生存的，而不是一般的EXE。後門作者把後門寫成符合WDM規範（Windows Driver Model）的驅動程式模組，把自身增加進註冊表的驅動程式載入入口，便實現了「無啟動項」執行。一般的行程檢視器都只能枚舉可執行文件EXE的訊息，所以通過驅動模組和執行文件結合的後門程序便得以生存下來，由於它執行在Ring 0等級，擁有與系統核心同等級的權限，因此它可以更輕易的把自己隱藏起來，無論是行程訊息還是文件體，甚至通訊的連接阜和流量也能被隱藏起來，在如此強大的隱藏技術面前，無論是工作管理器還是系統組態實用程序，甚至系統原有的的註冊表工具都失去了效果，我們不得不借助於更強大的第三方工具。幸好，一部分持有編寫Ring 0程序能力的人並沒有加入Ring 0木馬的陣營，而是把技術用到了安全檢查方面，於是我們有了IceSword、RootkitRevealer、knlsc等優秀的檢測工具。
一般的行程工具是執行在Ring 3層次的，它們讀取的依據來自Ring 0層，這些資料是可以被執行於Ring 0層次的木馬修改的，所以它們根本無法得知木馬程序訊息，而IceSword等檢測工具不同，它們和Ring 0木馬一樣，也是通過驅動的模式進入Ring 0層工作的，不再需要從Ring 0層獲取訊息，所以它們能得到未被木馬篡改的原始鏈表資料，例如最原始的行程訊息，它是不能被更改的，如果木馬把它自身從原始行程訊息裡移除，就意味著它要自我終結了。所以一旦有行程工具從 Ring 0層直接讀取了原始資料，再把這個資料和Ring 3層獲取到的行程列表比較一下，就能迅速發現哪個是拚命隱藏自身的木馬程序了。很巧合的是，驅動程式和系統服務共享同一個載入入口，即HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，只要尋找相應的Ring 0木馬檔案名，就會發現它，移除掉註冊表的載入資料後重新啟動電腦，再移除掉木馬文件就可以解決了。

5.清理不受歡迎的附屬產品
「21世紀什麼最貴？人才！」
——《天下無賊》

黎叔說的這句話固然無可厚非，只是他大概不知道，在21世紀的網路上，線人最恨的就是一部分利用歪點子製造「廣告軟體」（Adware）和「流氓/間諜軟體」（Spyware）的「人才」。如今的網路已經被這些不受歡迎的軟體使用元件服務戰術給佔領了，隨便下載個共享工具，有點良心的會在安裝界面裡預設打上「安裝附屬產品」的勾，更多的則是一口氣給你把所有附屬工具都裝上了，許多用戶在安裝了一些共享軟體後，突然發現瀏覽器多了一堆這個條那個霸的，想要卸載時卻發現所謂的卸載程序只是個把用戶當小孩來哄的界面！可以說，這些惡意軟體才是當今網路最令人厭惡的東西，「流氓軟體猛於後門也」！
與各種後門木馬的意圖不同，惡意元件服務軟體的立場是自家公司的利益，它們一般不會攜帶破壞性質的程式碼（但不代表沒有），通常還會擁有一些號稱「服務大眾」的功能，這些功能或許可以讓它得到一些用戶的擁戴，但是這種光環並不能掩蓋其「服務大眾」背後的暴利黑幕。首先，惡意元件服務軟體可以輕易收集到用戶訊息，任何一台被安裝了「X手X霸X豬X搜」的電腦都不再與「個人隱私」這個詞語有緣。其次，惡意元件服務軟體可以借用廣大電腦作為它無償彈出公司廣告的殖民地，如果每條廣告都能給該軟體背後的公司帶來一點利潤，那麼一年下來這個公司就已經從廣大用戶群的身上搜刮到一大筆可觀的錢財了。天下並沒有免費的午餐，在你使用這些元件服務軟體提供的「快捷服務」時，你就已經付出了代價。
最初，元件服務軟體都比較單純，僅僅使用BHO技術（Browser Helper Objects，瀏覽器輔助模組）把自己安家在瀏覽器上而已，但是現在，也許因為被用戶清理得多了，一些公司惱羞成怒把ring 0層次的木馬技術套用在了自家產品上，配合一種令人厭惡的強制安裝技術，再利用金錢開路，讓一些網站載入自己的產品，只要用戶瀏覽某個頁面，就會不知不覺被安裝上一堆BHO，這已經不是一般的強盜行為了，而由於商業關係，一般的殺毒程序是不能去查殺它們的，即使它們與木馬後門的特徵無異，這時候，用戶就要靠自己來了。
首先，瀏覽器的BHO載入項目是固定在系統目錄的「Downloaded Program Files」資料夾裡的，對於在瀏覽器上出現的欄目，只要簡單的在這個資料夾裡選移除即可，但是其餘殘留文件就只能自行尋找了，由於製作惡意元件服務BHO的公司太多，文件存放位置也不同，這裡無法指出很全面的移除方法，所以只能推薦兩個工具：Upiea和RogueCleaner，使用它們即可快速卸載掉惹人討厭的附屬產品。


四. 生存法則
在森林裡，鹿媽媽會警告小鹿不要去到太偏僻或者太遠的地方玩耍，因為那裡可能隱藏著惡狼。在網路上有更多的惡狼存在，但是卻沒有人能收到有效的警告。要成為自己的救世主，必須把那一份多餘的好奇心收起來，直到已經掌握了清理「不速之客」的技術以後，方可放開好奇心到處看看，否則一不小心被自己的好奇心弄得系統出毛病了，又沒法判斷清理，最終恐怕還是會回到依賴殺毒軟體的用戶群去。最後還有一句恆古不變的真理：網路充滿風險，勤打系統修正檔。