幫瀏覽器裝上Dr.Web的網頁連結安全掃描功能
當你在逛一個網站時,看到一個感興趣的連結網址,是不是就毫不遲疑的點下去?當你在網頁上看到有人提供了檔案下載,你是不是也會毫不遲疑的點進去下載?網網相連確實是一件很有趣的事,當滑鼠遊標變換成那個伸出食指的掌型符號時,我就會油然產生一種點擊的衝動,這種衝動就好像拿著電視遙控器就會不自覺得想要轉台一樣,偏偏電視轉台無害,而亂點連結卻可能讓電腦安全遭受威脅,因為這些連結可能會在你電腦中植入惡意程式,這些下載的檔案有可能是帶有病毒、木馬的軟體。今天要介紹的「Dr.Web anti-virus link checker」是一個支援IE、Firefox瀏覽器的安全套件,將其安裝到你的瀏覽器上,就會在滑鼠右鍵選單中增加一個【Scan With Dr.Web】的功能,可以利用Dr.Web的線上安全掃描服務,針對目標連結進行掃描,幫你檢查想看的網頁、想下載的檔案是否安全。
- Dr.Web anti-virus link checker for IE:
- http://www.freedrweb.com/browser/internet+explorer/
- Dr.Web anti-virus link checker for Firefox:
- https://addons.mozilla.org/en-US/firefox/addon/938
Dr.Web anti-virus link checker(以下簡稱Dr.Web)的安裝過程非常簡單,Firefox的朋友當然就依照一般擴充套件的安裝進行即可;使用IE的朋友則點擊下載網頁中「How do I enable online link checker?」段落裡的「English」,就可以下載一個「drweb-online-en.reg」登錄檔,直接用滑鼠左鍵雙擊即可安裝。Dr.Web利用的是線上版的掃毒服務,所以不會安裝防毒軟體到你的電腦中,只會在瀏覽器的右鍵功能表中增加一個【Scan With Dr.Web】命令。
Dr.Web可以掃描檔案與網頁內容,官方網站上「號稱」可以掃描病毒、木馬、間諜程式與惡意程序。假設我今天要點擊一段連結到電腦玩物某篇文章的網址,可是我不確定對象網頁是不是安全的,我就可以在「連結」上按滑鼠右鍵打開功能選單,點選【Scan With Dr.Web】,Dr.Web就會開啟一個彈出視窗,並啟動在線掃瞄服務針對該網頁的內容進行掃描,掃描完畢後會將結果顯示在視窗中,確認該網頁是「Clean」後,就可以按下﹝Close Window﹞關閉視窗。
從掃描視窗中我們可以看到Dr.Web可以針對目標網頁內的Script進行掃描,這是我覺得很不錯的一個功能。因為目前的惡意網站常常都是利用某些自動執行的Script,在使用者一進入網站時就自動植入惡意程序,所以利用Dr.Web的「事前手動掃描」,在尚未進入網站前確認連結內容的安全,這確實是多一層保障。而下載檔案前,利用手動掃描確認檔案安全也是一個更謹慎的作法。即使你有安裝即時防毒軟體,但是Dr.Web提供了「事前」的防護,所以仍然值得你一試,只不過不知道Dr.Web的掃描能力有多強就是了。
我的另外一個疑慮是,要我點擊每一個連結前都使用Dr.Web來進行手動掃描,坦白說我還真的辦不到,即使Dr.Web的掃描速度還算快,可是網路中那麼多連結,要我一個一個掃描到什麼時候?所以折衷的辦法,還是在進入一些你不熟悉的網站、可疑的網站時,如果真的要下載檔案或點擊連結,那麼最好事先用Dr.Web進行掃描。而當你進入一些平常信任的網站,但是看到留言中有奇怪的連結,或網頁內多出奇怪的廣告、圖示、連結時,千萬不要手癢亂點,真的想點的話,也請先點Dr.Web的【Scan With Dr.Web】來掃描看看對象網頁是否安全。
Dr. WEB跟Mcafee的site advisor兩個FF extension我都用過。site advisor比較糟的一點是,除非你用GOOGLE看搜尋結果,不然進網頁之後才能看到警告。
回覆刪除這時候早中鏢了……
Dr. WEB的設計概念好很多,他是把網頁回傳用官方伺服器上的Dr. WEB防毒程式掃描。但是在論壇拿被舉報的惡意網頁實測,它對JS下載程式碼的偵測率很差,大陸的惡意網頁,或是台灣被駭客入侵種木馬的公司、公家機關網頁,幾乎都MISS。而iframe很難偵測這點XDITE大有提過,非戰之罪。寫這種下載碼難度不高,獲利豐富,不少人預測將是之後病毒主流之一。這是論壇轉載的2007 AV-Comparatives測試結果(跟Agrippa提供的是同一個),大家可以看看第三種「script virus/malware」的偵測率(Dr. WEB以59.64%的成績在該項墊底……)。
喔,KAV7沒看HIPS,所以偵測不到不代表防不了。NORTON偵測超強,但那是歐美區域,人家比較疏忽亞洲區,有點可惜。AVG是付費版,跟一般人常用的免費版有落差。
防毒軟體的HTTP SCAN就是用來防惡意網頁的,因為這些程式碼在瀏覽器中一解譯就會執行,針對存在硬碟內程式的一般即時監控無法有效防範。所以靠HTTP SCAN事先掃描要傳給瀏覽器的封包,先偵測,通過才交給FF或IE。
防毒的即時偵測其實也有一定的防禦能力。因為瀏覽器通常會把網頁存在暫存資料夾,這時形成的暫存檔就會受到防毒軟體即時偵測的掃描(如果有即時偵測的話),一旦跳警告的檔案是在這種資料夾就表示現在劉覽的網頁有問題,趕快把他關掉,手動掃描電腦。運氣好的話,JS執行會被干擾中斷,或是掃描能偵測到被下載的惡意程式。
ThreatFire這類HIPS好像可以偵測這種隱藏的自動下載動作,但是我不確定……原則上可以用自訂規則阻止任何執行檔(*.exe)從暫存資料夾執行,這樣就算惡意程式被JS downloader下載進網頁暫存資料夾,啟動時也會被擋下來。
我抄人家的規則(防JS在暫存資料夾執行,不是exe):
Prevent execution of scripts from the Temp folder
When cscript.exe or wscript.exe
tries to execute a file
named *.vbs
in **\*temp*\**\
cscript.exe和wscript.exe在\system32\裡有兩個,都選;共四個。
目前還有在用ThreatFire,
回覆刪除改天來試試看這個規則,
謝謝你的提供啦^^
我其實有寫Cyberhawk的自訂規則範本:
回覆刪除Cyberhawk_custom_rules
TH也完全一樣,但是細節的斟酌修改我後來沒更新。
作者已經移除這則留言。
回覆刪除喔,行者站長如果有要換上ANTIVIR Premium換換口味的話(應該可以直接灌,跟spyware terminator不衝突就好),可以參考這裡的設定:
回覆刪除http://avpclub.ddns.info/discuz/thread-1-1-1.html
因為那是半年多前的,我會建議把監控的啟發式偵測設中等,掃描設最高。一旦偵測到「HEUR/***」這樣的惡意程式,或是懷疑是誤報,可以用這個網址:
http://analysis.avira.com/samples/index.php
把檔案回傳給AVIRA分析,通常3、4個小時內會有結果。
HIPS功能測試程式(感謝網友阿席達卡分享),刺激一下你的腎上腺分泌(冷……):
回覆刪除滲透性HIPS測試
SPYCAR測試網頁(測試若被過系統會被修改,請用最底下的還原程式恢復)
共8+17項測試。這是測試HIPS對常見的間諜、廣告、流氓程式、木馬(前三者為主……吧)程式的攻擊方式有無辨識力。由於它們都會有類似惡意程式的行為,多數防毒軟體會將它們視為病毒,測試時要關閉防毒即時監控。兩者皆為具公信力之機構發出的測試軟體,理論上安全無虞(但是第二項真的會改系統,被過了一定得用官方程式還原)。TH 3 BETA有一個不能防,但是COMODO 2.4會抓到該動作。
請有意嘗試的網友不要用防毒軟體掃它然後很高興的認為你的防毒程式擋的下它,這是兩碼子事……
行者站長,看您的「24小時內熱門文章」讓我只能苦笑,因為HIPS對一般ADSL用戶的幫助遠大於FIREWALL,但是看COMODO那篇的人絡繹不絕,TH3門可羅雀……COMODO應該要發個獎牌給您,GOOGLE搜尋名次比他們公司網頁還高,不知道幫他們增進了多少知名度……只可惜台灣多數網路族對SSL加密傳輸的重要性不甚清楚,不然他們的生意大概能做到台灣。
HIPS概念雖然推出滿久了,畢竟普及度還不夠高,更不用說是純粹的HIPS軟體,對於一般用戶來說門檻可能過高。倒是TH3就是其中少數很適合一般人用的。期待它的正式版早日推出囉!到時後看看有沒有什麼可以寫的,再來給它介紹一次^^
回覆刪除作者已經移除這則留言。
回覆刪除