云淡风轻[1183526030] 发表于:2011-05-03 14:52:13
浏览回贴 [
好友们因为无法登录的问题,和无法正常游戏的问题,已经开始骂人了,这可以理解,
而且也是必须
理解的,谁会没事闲的骂人?如果不是吃饱了撑的,或者是痰迷,那就一
定是被逼无奈了!
所以,骂人的原因,是因为腾讯自身存在问题,而且问题始终没有得到有效的解决!
版主说,希望大家把问题写清楚,以便及时解决,还说,骂人是不能解决问题的。
版主说的没错,骂人不能解决问题,我们同意这一点,但是,问题是如何解决的呢?
服务器容量的问题,网络带宽不够的问题,游戏设置存在的缺陷,以及各大区服务器的
维护,和
保障游戏顺畅,这些都是腾讯自己应该解决的,也是腾讯在上游戏之前,应该
做好充分准备的事情,
没必要因为就此类问题,给出了解决或者补救措施,而忽悠网友
说,问题已经解决了,因为问题的
本质,还没有被触及到,所以,网友们提出的问题,
根本就没有被解决!
那么,网友提到的这些问题,其本质与核心内容,到底是什么呢?
是装备的使用期限!
我想,除了腾讯提供的最原始装备以外,很多,或者说几乎所有的网友,都额外购置了装
多是用rmb购买的,这些装备,都是有使用期限的,这才是问题的本质与核心!
由于腾讯自身存在的问题,导致网友的装备使用期限缩短,这个问题,该如何解决?
腾讯在自以为解决了很多网友提出的问题的时候,却从未涉及如何对装备的使用期限,给予
合理的补
偿的内容,由此推论,问题绝没有被真正的解决!
那么,就此类问题,腾讯应该也必须有个明确的表态!
我们不想也不会就此类问题提出过分的要求,仅提供建议如下:
1,在腾讯对网友的装备使用期限,作出有效的补偿措施之前,所有网友的装备的使用时间,
应延长,延长的时间,以无法正常游戏的时间为准;
2,装备的使用时间,应以网友在线游戏的时间为准,或者以使用该装备的时间为准,而不应
从购买或者获得装备开始,无论网友登录与否,都要计算时间;
3,gp点和cf点购买的装备,应该拉大属性的差异,网友们满怀期待的用现金充值购买了装备,
和gp点的没什么太大的区别,这似乎无论如何都无法理解!
4,由于腾讯自身的问题,导致无法登录游戏的时候,应给网友以适当的补偿,无论多少,都是
态度和心意,网友们不仅不会计较,更可能的是会心存暖意而更加喜爱腾讯。
5,对各大区的配置和服务器的维护,腾讯做的应该更加到位,不要让网友觉得,腾讯只知道出些
人民币买的装备来忽攸大家花钱,却不想着改进服务器!
能想到的,也就这些吧,说了这么多,无非是因为喜爱腾讯,而提出一些自己的看法,虽然在此之
腾讯有过很多耐人寻味的举动,但是网友们一如既往的支持着腾讯,喜爱着腾讯,那么,腾讯
也应该为网友们做点什么,为网友们设身处地的多思考一下?不要寒了网友们的心,不要失
去人气,
不要让网友们说出腾讯就知道赚钱而不顾及网友切身感受的话来!
请与我有同感的网友们签名,我们一起维护我们在游戏中的自身的权益,那些曾经骂人的,和那些
提过建议的,无非是为了使腾讯建设的更好,那么在大家共同追捧腾讯的同时,也不要忘了维
护自身应
得的利益!只有懂得维护自身利益的人,才能赢得更多的尊重!不论腾讯是否尊重大家的
感受,大家该
做的事情,还是要做的,我们既然付出了,就要有所收获!我们付出的,是在游戏里
的时间,是对腾讯
的追捧,还有很多人付出了现金,那么我们要收获的是什么呢?是赢得尊重:腾
讯必须尊重大家的感受!
这家伙很懒,什么都没留下
|xGv00|ede32771513e6793e68dd23d33d57 3
|xGv00|1c37e60e8726caf8c8959658b28e156c
|xGv00|98ef5b1bef71c6ffc0bc1c2841eae113
|xGv00|fe538911b739275b18b69af1e2759830
﹏c.Fゝ2点[263833346] 发表于:2011-05-03 14:53:40
耐心等待解决
Solve the difficulties will a ear before a miracle 笑话三人组∝诺诺,巴拉,2点 3楼:
Frustrate[346018088] 发表于:2011-05-03 14:55:04
顶!!!!!!!!!
这家伙很懒,什么都没留下
风过无痕[1287122730] 发表于:2011-05-03 14:56:05
引用 ﹏c.Fゝ2点(263833346) 在 2011年05月03日 14:53:40的发表:
耐心等待解决
就会说耐心等待解决,说点儿有用的行吗,咋总忽悠人呢!
这家伙很懒,什么都没留下
快速回复:
您可输入
验证码:
[可按Ctrl+Enter发布]
Copyright 1998 - 2010 Tencent. All Rights Reserved.
腾讯公司 版权所有
|xGv00|894c130ff39c4c6a2ae78077eed1c243|xGv00|5f9dd4dabcf9e93b5a35a1b9fc927da5
腾讯微博蒲公英
登录微博
加入微博,记录点滴,分享感动,握手明星
进入微博
|xGv00|021f91a86ec4935d820222f82a25a846
|xGv00|cc78d5872cd60557465745c11cbfd3ab
|xGv00|018db133f4f5a68515f8253c5e642f8f
欢迎体验iPad腾讯网,请左右滑动图标欣赏更多频道
免费下载iPad杂志
|xGv00|80cbdca8f0e7d5a33d0fed2408372f0e
|xGv00|05409 5150d5b69c4bd1635dee7aac0 |xGv00|c9665be4ba49b7c7129de29d2b39788d
|xGv00|3b32999937dc 8bfb37c73c6a03d7ad
|xGv00|c42eb16b2581a43fcd63641183fea0a8
|xGv00|6b205076521322b3fb5854a641086d88
|xGv00|8d8cbf9f0a4705456ed42760b40edb46
|xGv00|af9ed35691a8f8b216171875de2d33ae
|xGv00|fb521e5d5fc288dcacc7e54a37f9fdac
近日测试网游
突击风暴
绝地反击
第九大陆
独孤九剑
凡人修仙传
泡泡战士
国外大作
上古世纪
巫师之怒
帝国时代OL
神秘世界
新游戏库点击排行榜
|xGv00|5960cc3bfd7cb1b3a0ebf 679284b16
|xGv00|1d3ef2b8d9ce410 2193a8e31cb7476
|xGv00|a98dd2d3c9f419a8318dc17ff92929e8
|xGv00|13eb0a59dd6a9466e89f0f9eb0ee9487
|xGv00|d3e4bee3bf6a7406098f391963867d8e
|xGv00|3ee7d3973b6e1412d48705696ba64c8c
|xGv00|921ab230d9fbf43dbc572409a0522fbc
|xGv00|0686e91f34594ec3196019d61e67d4a6
|xGv00|44c3022f864453b5a18b2a4e8aaa26e5
|xGv00|6d1f666716b5556c8b1eb6e7daf24a3b
|xGv00|37273e864f34b895dcdbc7424451f199
|xGv00|1cdfb48b9e57c92674a3666db3aaedd7
|xGv00|9aee54959ced203346750d7c89345786
公司调薪方案已敲定,对大家是奖励也是鼓励。百游下半年坚持以网游为核心,同时拓展单机、手游、webgame等领域
疯狂松鼠正式进入变形版本维护!预计四点结束!我预先来透露下新的图片吧!想拥有吗?如果想的话还等啥呢
剑侠情缘网络版叁最近听说很多玩家间传说8月战阶会重置,这个纯属虚构,这里重申战阶不会在8月重置。
|xGv00|c78bcb7db43036c2b21884a138a82cf2
|xGv00|744c7e73c7c2792ded5a7bf1cc0992bf
|xGv00|f848f9a820265accbf60db3003af2325
新网游动态
|xGv00|75139181780902d0d425d2ee1d8c5ac3
|xGv00|721168e814acc114382e50ef5442f8cb
|xGv00|9b6bff0cf8d224286057d6f0e781df24
|xGv00|f37e403ddda6c2fe67286dc29c313edb
|xGv00|1eed8930bdd3a341f0be66fd92cde625
|xGv00|8c88605ac65f2670b7c9be924553930c
|xGv00|9cb6b90f0d9457f1b8804d6c4135ae95
|xGv00|e458971d896340ea9ed390dee48035cf
热门网游
|xGv00|5bf83959bc2b467ceab0cd5507666285
游戏是非
|xGv00|d827f6008edd5ae3e23d46c49381dece
天下游谈
|xGv00|e5b492129424542d 2d28345e8451ba
|xGv00|c03348b3ff0f73c82b08a2b146ddcf5f
热门专题
有奖活动
|xGv00|cf1bd753ad23e65fc825c253824cd76c
|xGv00|59d7bff0 fd9ba3eae08c272d270117
|xGv00|ec7bd0087942412d21c4892ad704caab
(共6032人参与)
(共4029人参与)
(共3093人参与)
(共1198人参与)
(共884人参与)
(共868人参与)
(共839人参与)
|xGv00|8c5f91ba97eb393a5c6b353d357bed1f
|xGv00|003360ff1b67d0127fc2f8a24f010b72
|xGv00|006e6bff908703b55e0bd15f38b13f9b
|xGv00|3bff29070c2b23d d7665b78a88f170
|xGv00|f52b3d69a15be9450ed6e9bad1a42840
|xGv00|5f0899306fad56e834f83666df4402b8
|xGv00|a3c01e3b1b6bff8d6ce961682cac0888
|xGv00|1c82a1f7dfe64671351f9005688b668e
|xGv00|5f202b837b8091f1743d6d8431cc815a
|xGv00|08236b8229e8616169de22efb43 5ed
|xGv00|a2e7a3ac9fbad6e655c39c2c328991eb
|xGv00|b7c3276d77048342cc9db608a3fe556f
|xGv00|11b852e037053eabc009d2ad8c 2bed
新网游评测
建议体验
建议体验
建议体验
强烈推荐
|xGv00|61684cb0f7e79bcf8af04468f8cab9a8
专区推荐
不死经典,热血标杆!《圣斗士星矢》期盼坚守25周年,圣斗士与您相约在《圣斗士星矢Online》。
webzen公司第九大陆开发团队首次面对中国玩家,立志为中国玩家打造最快感的3D动作游戏...
|xGv00|36cf1f9163fb4b41215e20943e116336
游戏库日点击榜
游戏名称
|xGv00|c2747b2a28afa31c2b5e63672a3fc54b
|xGv00|ef2f51235aa935f3a31ee43666d56758
|xGv00|3793946cc29c06b6a7b1c2927452e526
|xGv00|610bffd5d07fa9d0dd05fcaca8b45fbd
|xGv00|f0b1178cd34b0f641eba24004864abc5
|xGv00|5c0365ed062911bc2840c5cf339444fb
|xGv00|ec783ed55c330b171cd722c5b3d7b787
|xGv00|2a4cc71bce22262b1b0c051d74a924f2
|xGv00|c3789af75fa795411329e73ad22b1c13
|xGv00|4c5b9d99bdaa6c15d21769739b967f83
|xGv00|53179ae0d612b240f30d1d048967454d
|xGv00|697baae7d9b0ef6c3636c4547bdd54ec
|xGv00|7142f8de10445479771ece2e849b6e1d
国内新网游
游戏名称
汉武大帝
汉武大帝
地下城守护者
地下城守护者
葫芦兄弟
葫芦兄弟
|xGv00|9ff028708494caac59ec34ae4514090b
|xGv00|1498306fe423a08df6740fc20e5a7218
|xGv00|1c8c833fe7baf79b2bd53dbfa1d0b555
|xGv00|06d9a060c30083fb15b4cb8d1ef2a197
|xGv00|5148bd1fc331c5545cc1877fd3eb5c69
|xGv00|f574c678c383d2bef03673658398c3b1
图片新闻
|xGv00|f80c6360a1bcf3ec91170c82f12f43c5
|xGv00|b7b072ad5f9265397805575a4c019640
|xGv00|465f409e7cf97d06048b04871d623fef
|xGv00|dfaf0d3d617bcd34ff786becbc6edfa4
|xGv00|c5cb92d5d3cfe4eb7e52f9c20d0b10e5
官博听众排行
胡莱三国
摩天大楼
小白大作战
恐龙时代
|xGv00|3e6c0dbdd407ba2373df39f24dd3e525
|xGv00|b82c66702e31f30b5a88f5f91e214517
高清组图
|xGv00|77f8b542763e503001ca5a57eb3f336b
|xGv00|980a5f8d30dc8edd078fc53a0d53171e
游戏美眉
|xGv00|dacd9ffd626903b5421a1bf688cf4fe2
|xGv00|cf48ef853083695297edfb38d3bf87e4
|xGv00|50d59e4d9e3253159528541a719426a3
|xGv00|f25d4fd387d5b54802a04bd92e432918
|xGv00|8f54fb8444fc0b6085209a5406c69189
图片视频
|xGv00|0ae5ee4801ec27882e6a143e9932ac8c
|xGv00|641aff6a966b335f72a93a1a0037b7be
|xGv00|789975a687946c3cf2cb95f7c49c8993
|xGv00|c7aba8a705e89028f6c1776ae143c0f9
|xGv00|4c232b2a5248e456d19b555504a8dd64
永远的毁灭公爵
日期:2011.06.22
类型:第一人称射击
|xGv00|a6f5713cd30caa2c265d41e1d023619d
|xGv00|3c9d1d8a71eac89e8106811f281334db
|xGv00|ee204c78178ac357abdb612eacffba91
|xGv00|d9dbad25c10d5a27f414da 837660eb
|xGv00|e9c2c87de7f65055089c8dca68b7c0e7
图片视频
|xGv00|58804d594e9a1e76af44b48c57e79a6f
|xGv00|1370816524d9e16ee8a61f7b1c121775
曾在PC平台登陆的两款校园恋爱冒险游戏《命运动脉 赤之约束》和《命运动脉 伊织的野望》...
|xGv00|f12c2d32c880995c700c5874b5d44d26
|xGv00|8 47ae2d22f63ac9c5d19aeadb25efd
|xGv00|7d0c76e80847e3555d7e855be146ed89
|xGv00|878fab10074781746f157204955921fc
|xGv00|079c3afb7bf4a80f644344fb264c0aaf
图片视频
|xGv00|155b809df92d0ed27e17deed4dd7b29d
|xGv00|7761ca5d0b3067130b3a7dfd2b6ed2b1
|xGv00|9300e4c101dcb166694b269f319ab259
|xGv00|d23edb813e1cc7beff188e0c06a7d939
|xGv00|ef2b4e63899f196f327b804cf97ed0ba
|xGv00|bf88aa1852b195f6c50c3a8f7ad12d81
|xGv00|c65786d2c676b3eede5c164c9e7a6141
|xGv00|98f43e5c89605c5ca5062483d0bd079f
|xGv00|19c3c0214a6283c61e722ec312b8a563
|xGv00|62672796e e6c0a92b16b943982e52c
|xGv00|dbdaccce8dff4980db2106fed7605a9c
|xGv00|92b7d0413fc7cd2616ae348ee47f6556
奇闻异事
|xGv00|671ef2e9061315359c0054c68905903e
|xGv00|e43955d07a38799e0122fec9ca43d07f
恶搞视频
|xGv00|4af0f8c8f0be3d78a30fe95f1a31b657
|xGv00|1b6920facc5e764a45b778f2646e3056
|xGv00|3524f10168d0cd77e846005288375e22
|xGv00|5a1826a51d4ab5e46ddf287978492e95
|xGv00|b0acbe3129d921436748e8d98c2e3832
Copyright 1998 - 2011 Tencent. All Rights Reserved
腾讯公司
|xGv00|354e004bdeb31a2744278d5fae3bf2e6
|xGv00|968fab7614bd176ed6f28524f465fcd1
|xGv00|14824935a48dfeb9bf18e33 fd21237
|xGv00|a6dd5808fa903d9019469076e224d80a腾讯网络安全技术峰会专题_科技频道_腾讯网
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 跳转到
字体大小:
发表于 2008-3-18 18:39
腾讯网络安全技术峰会专题_科技频道_腾讯网
本文来自:
2008-3-18 18:39
[quote]网络安全专家呼吁互联网企业成立安全联盟
http://tech.qq.com/zt/2008/wlanfh/index.htm
2008年03月18日12:00
腾讯科技讯
3月18日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会在深圳
召开。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
互联网面临安全危机
据介绍,随着2007年底中国网络用户突破2.1亿,中国互联网的普及达到了新高,然而网络安全问题也层出不穷,据国家计算机网络应急技术处理协调中心统计显示,仅2007年上半年,中国大陆地区被植入木马的主机IP就比上一年增加了21倍,被篡改的网站数量也比上年同期增加4倍。据称,
“工业化”在2007年度就形成数亿元的产业链。去年“熊猫烧香”病毒案告破时,主犯牟利曾超过千万。
本次峰会的组织者
也告诉记者,腾讯作为中国互联网领域用户数最庞大、应用服务最广泛的企业,所面临的网络安全问题基本是中国网络环境安全现状的缩影,如用户安全意识薄弱;盗号产业链化;并且法律在盗号,盗取虚拟财产等方面没有明确的规定……这些都是当前中国互联网企业所集体面临的问题。日益猖獗的木马、蠕虫以及外挂等产业毒瘤严重影响到了中国新一轮互联网产业的升级以及健康发展。
专家呼吁互联网企业成立联盟
针对目前严峻的网络安全形势,本次安全峰会涉及主题包括了WEB 2.0 安全研究、网游木马防御以及反外挂研究、中国本土安全技术团队建设、软件缺陷以及还原系统防范等等当前国内互联网安全热门议题。
出席本次安全峰会上的专家和学者表示,面对病毒、盗号产业化的趋势,中国的互联网企业有必要联合起来组织网络安全联盟,在网络安全攻防的实战经验和安全技术研究方面实现行业内的共享,并集体促进国家立法的加快。在这次安全峰会上,很多互联网企业都向业界分享了自有知识创新的安全技术以及策略,促进大会在互联网安全技术上获得更多的共识以及突破。其中腾讯公司透露,未来在适当的时候将会推出用户参与的帐户安全查询系统,让QQ用户清楚明白的了解自己帐户的变化和异常行为。
同时,网络安全专家张翼也表示,中国的网络环境复杂,所面临的网络安全形势越来越严峻,各厂商的安全工作存在诸多困难,尤其是网民的安全意识薄弱成为了安全的瓶颈。因此根据我国的实际情况,首先要加强和提高对网络安全的认识和重视,其次是业界要深入研究黑客战争的艺术,要有足够的技术手段才能防范制止黑客犯罪。
[/quote]
大会议程
3月18日
3月19日
8:00-8:45
于旸 绿盟科技
《缓冲区溢出:历史、八卦和娱乐》
9:35-10:35
吴鲁加 内网数据安全专家
《企业数据安全》
11:15-12:20
方兴 微软安全服务提供专家
《WEB 2.0安全研究》
10:50-11:50
吴石 IM安全研究专家
《几种软件缺陷的可能利用方法》
14:30-15:30
张翼 游戏安全专家
《网游木马防御技术漫谈》
14:30-15:30
褚诚云 微软中国
《软件安全漏洞与软件安全开发》
15:45-16:45
郑歆炜 盛大科技
《运维,安全,技术随想》
15:30-16:30
郑文彬 奇虎 反木马专家
《还原系统保护攻防》
17:00-18:00
牛博威 游戏安全专家
《反外挂技术》
16:45-17:45
李旬保 腾讯
《WASL-Web应用安全的思考》 ', 'info', '收录查询')" href="javascript:;">
(WwW.XPi386.CoM)
当前离线
33480 帖子
717 主题
31 积分
397 坛币
797 UB 热心
1 UF 邀请
0 yQ Team 阅读权限
20 性别
男 来自
广东 在线时间
840 小时 注册时间
2007-11-17 最后登录
2011-4-11 UID
33480 帖子
717 主题
31 坛币
797 UB 热心
1 UF 在线时间
840 小时 注册时间
2007-11-17 最后登录
2011-4-11 发表于 2008-3-18 18:57
主讲人的来头都不小哦....
蚊香小栈 → 当前离线
40819 帖子
17 主题
13 坛币
103 UB 热心
0 UF 邀请
0 yQ Team 阅读权限
10 在线时间
5 小时 注册时间
2008-3-17 最后登录
2009-10-27 UID
40819 帖子
17 主题
103 UB 热心
0 UF 在线时间
5 小时 注册时间
2008-3-17 最后登录
2009-10-27 发表于 2008-3-19 00:42
有没有人收集到演讲者的PPT发上来Share一下,看看这次会说到那些技术点?
当前在线
37009 帖子
1140 主题
55 积分
357 坛币
1886 UB 热心
10 UF 邀请
0 yQ Team
[UpK] 阅读权限
20 性别
男 来自
江苏 在线时间
2304 小时 注册时间
2008-1-11 最后登录
2011-8-5 UID
37009 帖子
1140 主题
55 坛币
1886 UB 热心
10 UF 在线时间
2304 小时 注册时间
2008-1-11 最后登录
2011-8-5 发表于 2008-3-19 02:52
来头是都不小,谁去录象啊,回来大家看看。
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 发表于 2008-3-19 09:11
牛博威:成熟的反外挂系统一般企业未必能承受
游戏安全和反外挂专家牛博威(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,游戏安全和反外挂方面的专家牛博威表示,反外挂系统并非越成熟越好,成熟的反外挂系统会让一般公司很难承受,大大增加了运营成本。同时,越是成熟出名的反外挂系统越被人研究得多,反而增加了被攻破的几率。
牛博威说游戏本身就是一个堡垒,或许把这个门做得很好,用金装门或者用铁门,把锁加得特别重,把门做得再先进,却没有发现别人已经从窗户里跳进来了。所以越成熟的反外挂系统不一定最好,最重要的是要适合自己,要做到运营和成本的平衡。
以下为牛博威讲演实录:
牛博威:我今天主要讲的是反外挂技术,如果有时间的话我再讲一下游戏漏洞。我叫牛博威,主要是研究
、反病毒;木马,反木马。外挂,反外挂。
我们今天讲反外挂技术,我根据我自己的总结,把当前国内包括韩国、日本、美国、台湾和一些经常被使用的反外挂技术,包括其他方面的策略给大家稍微谈一点。
这是大体的提纲(图),外挂的种类。我们先知道外挂有什么种类、什么类型然后才能去反外挂,然后是策略的选择,有一些常见手段和方法的分类,当然这个分类是我大体的分类,因为方法之间往往是有重叠的,我只是大体分类。对于一些技术方面的误解决,最后我再做一个比较简单有效的反外挂系统,最后有时间的话把游戏漏洞方面说一下,怎么防范游戏漏洞稍微谈一下。
外挂的种类一般来说是分为内挂。首先它依附游戏,首先你开内挂的时候得开游戏,游戏开起来以后再把内挂开起来,是在同一个进程上的,或者是互相配合运行的。它的注入方式,有的是注入到游戏本身,有的不是同一个进程,但是也是有相互的牵连。还有一种它是模拟按键的,它跟游戏本身不是同一个进程,但它们也是互相配合的。
脱机,第一个特点是脱离游戏,像很多做得好的脱机可以在一台机器上跑很多,多的可以达到上百个。当然,它运行的时候根本与游戏无关。这是一个脱机的地图编辑(图),编码很复杂,相对内挂来说,开发时间要长一些。这是一个脱机的功能(图),它有自动补血等等。再就是开发时间长,它比较难做,开发的时间长,所以开发的时候需要考虑到这一点。对反外挂来说如果不知道外挂是怎么做的,这是比较飘渺的。最好对自己的反外挂对象,对这个外挂要了解,然后才能去反外挂。然后是策略的选择,我们今天主要讲的是反外挂技术,但是反外挂本身不仅仅是技术方面,还有法律方面,可以对外挂做分类,包括散播外挂和制作外挂对他们进行法律制裁,再就是人工识别,包括一些非技术方面的,比如GM、玩家去查,还有就是技术检测,我们虽然讲的是技术,但是不应该仅仅立足于技术,应该考虑到配合,要对他们提供震慑。不应该只立足于外挂产品本身,常见的反外挂手段很多,包括早期常用的,常见的反外挂手段,外挂窗口。还有就是查外挂进程的名称,比如内存特征码,还有外挂的模块大小。虽然开发很简单,但是对外挂来说基本也不算什么,查一下窗口,查一下乱码更新一下就可以了。还有就是采用安全产品,比如安博士,MP等一些比较成熟的系统,用它们来做也可以达到比较好的效果。
我们今天主要讲的是自主开发反外挂系统。自主研发反外挂系统,国内包括盛大、网易、完美世界,韩国的一些很出名的,他们也有自己的反外挂系统,像金山。每个公司都希望有他自己的系统,然后利用自己的系统进行反外挂、保护、杀毒。
反外挂方法的分类大概有这么几种,当然这不是很严格,但是对我们今天来讲,大体分了一下,包括暗桩,还有不定时检测、验证码检测、数据加密等等。
下说一下暗桩,是指隐蔽的检测方法,比如走路、攻击、捡物品、保护等相关封包数据被特殊处理,像这些封包被单独处理,这个单独处理有什么好处呢?对所有的封包都进行特殊处理的话,网络负担率比较大。例如我只对攻击进行相关的保护,网络负担就可以降低。另外我做得比较隐蔽,这个外挂看上去注意不到,他发出去以后,玩家一旦使用了攻击就会被查到。
另外一种是不定时改变暗桩,虽然它很隐蔽,但是如果总在那里使同一种暗桩肯定会被发现,一旦发现你这个暗桩就没用了,所以应该不定期的改变,改变之后会增加外挂的心理负担。因为外挂开发也是人脑,他们有自己各方面的压力。
暗桩的技术不一定复杂,比如可以在某一个封包对某一个字符进行加密,但是可以保障它很隐蔽,再就是不定期的改变。
不定时检测,跟上面的差不多,比如同一种检测手段我不连续使用,比如七种反外挂封包,但不同时出现,我一天只用一套,比如我今天用这一套,星期一用一套,星期二用一套,一共有七套,来回换,从外挂开发人员来讲,他就很难同时把这七套东西全搞出来,他的外挂产品一旦被用出来或者一旦发出去之后,他星期二、三没事,但到星期五、星期六可能就被查处来了,所以我们的检测手段最好轮换使用,最好不要采用同一种手段。比如网易,据说他有一套自己的协议生成器,用生成器把脚本改一下,整个游戏的协议全部变了,当然这只是传说,我没有看过,大体是这样的思想。还有就是检测周期长,比如我这个服务器查外挂的时间,一般来讲比如我半分钟查一次,查外挂的封包半分钟查一次的话很容易把问题看出来。但是我一天看一次,对外挂开发人员来说就很难做到。还有天晴数码他们搞反外挂检测周期特别长,每检测一次,检测完以后当场不采用什么反应,但是过一周以后,我对查出来的使用外挂的人进行封号也好,进行处理也好,我虽然进行处理了,但是我这个反外挂封包不发了,这样的话可能就找不到,就很难查到在一星期内到底采用了什么服务措施查到的,因为时间已经过去了。像网易也是采用此类方法。
还有是验证码现在比较流行,例如图形、数字验证,这里是一个汉字识别的,你得打这个鸟字,从里面挑出来(图)。还有是与游戏相关的,比如梦幻的(图),你要挑出来与你相同的角色,说实话我就没找出来,我都查不出来,外挂就很难处理了。目前图样识别技术非常完善,比如汉字包括一些英文字母就更不用说了,对图象进行一定程度的扭曲都可以转换过来。还有一种是影响游戏的正常操作,比如这个他要找出跟这个角色一样的,我就不找出来了,这是我最后一次不换人物。还有一种是如果处理不当会造成漏洞,比如以前有一个游戏,它会弹出码,弹出码的时候正在跟人家PK,这时候你一弹他就死了,所以一旦出现乱码就成无敌,就被外挂制造者利用了,就一直保持无敌状态。所以尽量不要做那种很容易被识别的,还要尽量保证你这个系统不要被人家恶意利用。验证码可以作为辅助检测手段,比如你发现游戏不正常以后再发,用其它手段发现不正常。我给整个游戏里面做一个外挂炸弹,我这个服务器不主动给外人发,但是你周围的人,他如果发现我就同时在什么地方,我发现你的动作很不连贯,或者我作为一个玩家我可以给另外一个玩家发送炸弹,这时候就会出现验证码之类的。
下面是敏感数据加密,这不是指协议上的加密,不是封包里面的加密,而是内部的数据加密系统。比如我加密的是游戏内部一些很敏感的东西,比如游戏帐号、密码、血量、金钱、坐标,我对这些东西进行加密有什么好处呢?比如就可以进行防盗号,我对密码进行加密之后,你用金山游侠之类的就查不出来。它的缺点是如果加密做得不好的话可能会被人家利用,比如游戏里面所有的敏感数据,像里面的关键数据都采用了同一套,因为不可能帐号采用一套,所有的这些敏感数据采用同一套数据,这样的话根据返回地就很容易找出各种敏感数据,包括HP、MP、密码。这些东西看起来虽然跟外挂关系不大,但是对游戏分析来说很重要。因为做外挂少不了对游戏分析,你如果要对这个游戏分析的话就需要分析各种数据的漏洞,如果把解密机制给瓦解的话,等于你需要被保护的数据全部正好被拿下来的,基本就把你里面的内部信息拿出来了。像这种内部加密系统主要是保护内码、防盗号码。
剩下的是服务器下发代码,反外挂的编码、代码是通过服务员动态下发的,跟服务器连接,这时候服务器才会把反外挂代码发下来。这是Server(图),这是客户端(图),Server发一些代码给客户端运行,它这个编码是用笼统的概念,首先它可以是可执行代码,服务端发下来一些可行的代码直接对接,或者是发送脚本代码,客户端有一个脚本引擎,拿这个脚本引擎服务器发的脚本必须解释,客户端必须把服务器发的脚本解释完以后进行必要的反馈。还有就是可执行文件,服务端发一个可执行文件让服务器执行。客户端一旦执行以后,就与客户端进行配合,如果执行不了的话,就无法进入游戏。这种东西可以说是比较流行或者说比较高级的技术。
我主要是讲一下服务器下发代码,它涉及到一些内容,包括很多技术,它下发的编码,你肯定要下发一些很重要的编码,我这个编码每次都处理过了,每次都是不一样的,客户端必须给我执行,不执行的话就不让进游戏。然后还有一些环境校验,一查内存代码不一样就反馈为错误信息,环境校验比较有用,可能查出类型也可以查出游戏的相关环境,有没有外挂,游戏本身是不是跑起来了。还有就是代码被放入动态内存,每次代码发下来以后不是放在固定的局部变量,而是动态内存,这是一个技巧,对分析人员来说很麻烦,因为每次分析这种编码就需要重新定位它的内存地址,当然也可以采用一些方法来避过,但也算是一种技巧,我这里讲的就是技巧。还有就是加入一些反调试、多线程、多进程等外壳技术,还有一些多线程,里面有两个线程代码,把这种代码发过来以后让客户端运行。尤其是脱机,这样的代码正确执行的话是很困难的。
下面是外挂的对应策略,这种东西听起来很高级,其实也很高级。一般来说,第一是使用虚拟机,你给我发来的编码,外挂里面自带虚拟机,把结果正确地计算,然后再反馈,这种虚拟机可以说是做得很高级的,首先它可以执行汇编语言,这也是虚拟机必备的功能。在编码里面如果加入对这个游戏的内存校验,脱机就不需要游戏内存,因为脱机是跟游戏无关的,在虚拟机里面必须得模拟出来游戏的环境,包括一些SAH,还有一些高端代码、高端内存全部模拟,像这个体系最出名的是盛大,像国内从技术来讲最强的是盛大。盛大的反外挂系统做得也是比较早,人也比较多。像他们开发的这种系统,加入了编码,不会是那种很简单的。包括一些APR统统可以模拟。这种东西有它的好处,但是开发比较复杂。
另外一种外挂应对策略是的直接调用。外挂可以以一些很特殊的方式让游戏去执行这种代码,然后他把反馈结果接收回来,我指的是脱机而不是内挂。外挂可以采用一些技巧,比如我发一个脚本,让游戏只是把这个脚本给我解释出来,其他的统统不要,解释出来以后把内容发给我,然后我脱机直接发给你。像这种反外挂系统的好处是反外挂的代码是动态下发的,比如今天我这个代码是这样的,明天我觉得不爽就改成另外一张,就不需要每次更新反外挂系统的时候还需要给其它系统,我需要先停一下服务器之类的,任何外挂出来以后我可以两小时之内搞定,主要一个特点,我搞定你之后服务器不需要重启,否认外挂每次一更新,反外挂一更新,就要重新换服务器。但是这种动态下发代码又不存在这种问题,因为它中间不需要关闭服务器。另外很重要一点,外挂就很难正确的执行。国内像盛大这种系统一发布就能跑起来的就有两家,现在应该还是有外挂的。像韩国的新游戏他们也是采用这样的系统,他们的下发代码的思路跟盛大是一样的,但是它的特点很容易被外挂执行,很容易被外挂给干掉。
这种系统的缺点是它的开发特别复杂,加大服务器、网络负担。像具体开发这种系统来说要考虑很多东西,它的代码是动态下发的,就需要保证一定的代码量,你的代码写得再精巧,再隐蔽、再高级,你只要是在五十或者一百以内,可能对一些简单的搞不定,但是对有些人来说五十台代码不算什么,五十台的代码到我这里差不多一个上午就完了,你必须得花大量的五百台、六百台。这也是反外挂的优点,外挂很难分析,但是有一点是加大了服务器的负担,每次一登录都要发五、六百台东西下来,对网络负担来说很严重。
这种技术目前来说盛大等都采用这种,它虽然没有完全杜绝但效果很好,至少可以打下来大部分外挂。你做外挂时间长了以后,或者你做病毒时间长了以后,做杀毒时间长了以后,比如你做反外挂时间长了以后肯定就知道我这套系统发出去以后有谁可以搞定,谁搞不定,然后你就很有针对性。
这个地方可以稍微说一下策略,像盛大采用的在国内来讲技术是比较先进的,但是国内另外一家网易,他的反外挂也做得很好,其实它主要是云峰网,云峰主要的能力是写代码,但是网易的产品,像梦幻西游、大话西游,做反外挂做得很不错,主要是策略而不是技术。同样是反外挂,如果策略做得好的话,虽然技术不好,但是我可以采用一些策略,让你的外挂没法放。举个例子,像云峰采用封号,它的封号也是有一定的行为的,它采用一些开发特别简单的技术,成本也很低,却达到了盛大这种开发很复杂,但效果也不一定见得非常好的效果。它打击外挂的策略成本很低,而达到了比较好的效果,虽然没有完全杜绝,但是从技术上来讲技术成本是很低的。
下面是一些非常规手段反外挂。可以把它理解为一些很猥琐的,也可以理解为策略。比如可以采用非常规的语言编程,举例来说,游戏里面的反关机,脱机的一个重点是登录,如果你做脱机连登录都进不去的话就很难跑起来。但是我登录这部分就可以采用一些非常规的编程语言,比如用Flash、java,搞这方面的人很少,韩国的游戏的登录是采用网页登录的,它从事实上进行了反外挂,网页登录脱机不会落。像java用的人比较少的,一般的人都是搞驱动,很少搞外挂的人是写java的,像Flash搞外挂的人也没有专门去搞Flash的。如果用这种非常规语言编程的话,对这种外挂开发人员来说他就无从下手,虽然技术本身很简单,但是他们没有碰到过,对他们来说是一种挑战。
另外一种是服务器检测数据库异常。这种检测手段在韩国用得比较多,它主要是直接查出漏洞,比如韩国很多游戏是直接查出用户里面哪个人,我发现你每天的收入,比如你正常情况下从一级可以升到四级,但是你使外挂的话我一看一天就从一级搞到三级去了你就不正常,我就直接停掉你,不管你是不是用外挂。另外一点,它的异常数据检测很多情况,比如可以检测经验,经验每天涨得过多,获得的游戏币过多,也可以认定你用外挂。然后在同一个数据库里面、同一个服务器或者同一个网吧、同一台电脑挂了一百个帐号,你这一百个帐号是同一个IP我认为你不正常,就可以把你IP停掉。这些是属于策略,这种策略虽然做起来很简单,但是很有效。
还有一种是策略限制,比如有些游戏的系统可以被外挂利用,比如有一些任务,做完之后给你奖励,这种任务很枯燥,比如送信任务,每天送信送十回,就很累,但是外挂的时候可以一天二十四小时送信,我为了防止你用外挂就直接把你送信次数减到十次,每天达到十次就不能送了。像这种情况在梦幻西游就体现得很敏感。在游戏里面一些策略、一些任务,包括一些经验来进行修正。这是属于策略性的。像QQ打击木马也是这样,除了在技术上进行打击之外,还采用一些其它的模型,效果还是比较好的。
下面是反外挂技术误解。加密算法越复杂越好?很多人认为加密做得越强就好,或者用一些比较隐蔽的算法,他认为算法用得越复杂越好,但其实不是这样。并不是说算法越复杂越好,自己开发一套是不现实的,凡是复杂的算法都是公开的。你用这种算法以后,虽然加密很复杂,但是去网上一搜就搞下来了。你用这种复杂的加密算法降低了游戏的可玩性。
还有一个问题是越是强保护性壳越好?我们做外挂,做游戏,游戏之后中木马病毒,对一个做木马的来说它是没有办法采用强保护性壳,这是受木马本身的特征所限制的,但是对游戏就不是这样,游戏可以采用一些比较高级的私家壳,越是强的壳研究的人越多,拿到脚本一跑就脱掉了。
另外,壳越强稳定性越差,比如加了驱动以后稳定性很差,对游戏本身的玩家是一种限制。但是壳用得好,像定做的并且用得比较稳定,壳的选择,一方面要选择一些很强的,这是肯定的。另外,要保证它的稳定。
另外,越是成熟的反外挂系统越好吗?其实它有它自己的好处,但是成熟的反外挂系统对公司来说,一般的公司承受不起,比如每年要给多少钱,运营都受它的控制,反外挂增加了你的运营成本,另外,越是成熟出名的反外挂系统越被人研究得多。例如NP,但是NP本身有很多漏洞。因为它里面有500道串口,包括一些别的漏洞,像外挂,我经常说游戏本身就是一个堡垒,不管是把这个门做得再好,用金装门或者用铁门,把锁加得特别重,但是你把门搞得再先进,却没有发现别人已经从窗户里跳进来了,比如像NP对游戏进行保护,比如内挂,完全可以做得让你查不出来,你这个NP可以对内存进行校验,对简单的外挂开发人员很难做到,但是在不修改程序的情况下做代码也是很正常的,你对游戏进行保护我就不破代码。然后你查我进程、查我的窗口,我也可以采用一些操作系统的漏洞让你没有权限。比如二围空间的虫子永远看不见上围空间的虫子在干什么。我虽然存在,但是你没那个权限查我,对你来说我是隐蔽的。所以这种情况下用NP,对这种外挂就没有办法。所以越成熟的反外挂系统不一定最好,比如你是一个项目经理要选择反外挂系统,让你去选IPO的、选NP的或者自己研发的,你不能说看到人家都选择NP你也上NP的,上了NP之后没过几天就被人家搞定了,那你就白投入了。
我这里讲一道很简单的反外挂系统,它的目标一是防止游戏明文被截获;因为做外挂的人截获不了的话就没办法做外挂。还有就是实现简单、占用资源少,不会产生任何负担。再就是系统独立,与游戏低耦合。另外一点是可以防脱机、查内挂。这套系统实现,我只是把思路说一下,首先实现服务端下发代码,每次玩家登录服务器,加密算法都是由服务器动态下发下来的。另外,加密算法每次更换,这个很简单。另外我这个服务器代码里面有内存校验,我要随机对内存进行抽查。另外,客户端无解密函数。这几点都很容易做到。
做这么几点就可以达到我上面说的目的,首先纺织游戏明文被截获。我说的加密代码只是针对加密算法而不是减密算法。比如我要对算法那部分进行Hook掉,我动态代码有一个内存验证,如果是hook的话我就查出来。另外一点,我这个系统代码是从下发来的,我每次更新,这个游戏不需要更新。另外一点,不存在减密算法,这样的好处是加密和减密算法不是同一个,一两句话我也解释不清,但如果是加密算法和减密算法采用不同的算法的话,在配合某些手段,它的效果会非常好,比如加密算法,他就没法利用减密函数进行减密。这只是一种思路,不是说拿出去以后没人搞得定,但是会很有效。
下面我说一下游戏漏洞。有几个比较常见的漏洞,比如QQ飞车为什么会产生穿墙呢,是因为服务端没有对角色所在的位置进行障碍判断。我对客户端直接发了一个穿墙的信息,服务器不进行判断而直接认可,那就穿墙了。像攻击加速这些都是很简单的。还有复制,主要是利用对物品处理的时间延迟,服务器对物品的操作有一个时间延迟,我说我是快速对某一种物品进行操作,如果网络不好的话就会造成延迟,而且这个延迟如果处理不好的话就会对物品产生一些复制或者其它的不可测的事情。刷墙漏洞有很多方式,外挂不停地给攻击发送任务,某个任务成功地封装就刷墙了。
漏洞的防御,比如我这里写了服务端代码(图),服务端接受玩家的请求。这个脚本存在什么问题呢?你可以先判断一下,给他宝珠以前判断一下这个任务是不是完成了,如果这个任务在进行中,你才给他宝珠,其他情况下你不要给他,这样他每次在发送接收宝珠的时候就不用去管它了。但它还存在一个什么问题?在检测任务的时候首先要接触这个任务,如果玩家的请求是接收任务,直接把任务就给他了。这种出现什么问题呢?它如果不断给服务端发请求,告诉服务端我要接收任务,客户端每次说我要接收任务,客户端就把任务给他,就会产生上面的接收宝珠的情况,你看看它是不是做过这个任务,如果没有做过才给他,如果做了就不要给他。这种逻辑除了任务的产生,首先是服务器产生的,其次像服务器很多这种逻辑,你要有一个处理不对就可能全盘被利用了。比如说游戏服务器一般不是一个人选,有很多人选,就不能保证每个人写代码都很优秀,只要一个人写代码不对,游戏BUG就会被利用。
现场问答:
问:请问你对ACG游戏和迷你游戏这种休闲类的小游戏有什么看法,如果长时间的话肯定是检测不到的,比如描杀怪物?
牛博威:是因为你把描杀怪物的任务权给他了。把好几套算法都加上,虽然你可以做,但就很难去做。你只要把这个怪物控制权给客户端,就等于给了外挂。
问:就是说对动态代码没有什么效果了?
牛博威:很难避免。
问:QQ游戏里面的小游戏,我模拟按键我截图,根据图样判断?
牛博威:一般来说做这种外挂的人要散发出去,不可以说做了这种东西自己应用,他既然要散发出去你可以把它的外挂拿出来,查它的进程、特征码。像这种外挂是很好对付的,我可以不客气地说做这种外挂的人他们水平很低。
问:就是因为他们水平低所以很难对付?
牛博威:他们做很多。比如对截屏进行一些处理,进行一些Hook,例如验证码之类的。
问:你好,刚才听到牛博士谈到天晴的反外挂,能不能介绍一下?天晴是如何做这一块的,刚才你说它做得比较成功。
牛博威:它的技术含量其实很低,但是它每次检测很隐蔽,比如星期一检测一次,检测以后发现谁用了外挂放到数据库里面先不动,一星期之后把游戏代码去掉,把谁使用了外挂全部封掉,这种情况下做外挂的人就发现不出才一个星期就被人家封了,做外挂的人不可能只用一个数据,他把策略靠后。
问:如果真想解决外挂,如果所有的东西都通过服务器来运行怎么解决?魔兽世界你有没有分析过?
牛博威:没有分析过。
问:我对它的了解,它的结构包括所有的运算是全部在服务器端?这种可以防止漏洞,真的有外挂也是那种案件经营形式的,因为没办法控制语言的东西。玩家是必须得登录到页面进行点击的。但外挂只能模拟成玩家的点击。虽然可以模拟出一个外挂的,但是你在服务器端的运行依然要符合规则,我相信外挂能快速做一些事情。
牛博威:不是,像韩国的游戏机市场特别火爆,他们的要求是外挂要跟人一样,我用你们的外挂就是跟人一样,你啥都跟人的一样,就是你游戏干什么我也做什么,打怪兽的时候你打一个怪,人工打的时候可以三分钟发一次,怪物少,那你的外挂也是三分钟发一次,全部跟游戏一样。
问:那等于是机械上面的控制了,对游戏公司来说没有大的损失?我们看来对游戏公司来说,点卡什么的都还是在消耗状态。因为我主要在想这个问题,因为你没有分析过魔兽世界,我想问问它在这方面的亮点,因为我看他他所有的运算都在服务器端,包括技能的释放都在服务器端进行运算。
牛博威:这可以防止漏洞但无法防止外挂,像魔兽它也是往客户端发。
问:我知道有外挂,但没有你说的那种很夸张的外挂。谢谢。
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 发表于 2008-3-19 09:12
独家对话反盗号专家:做高级的木马得有天赋
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,Windows底层和反木马方面专家张翼与腾讯科技展开独家对话,张翼表示,木马与反木马的斗争永远不会停止,除了企业要做好防木马工作外,用户个人也要加强防护意识。
张翼同时指出,随着信息在互联网上的公开,黑客已经不再像以前那么高深,大众化的木马制造已经非常简单,没有任何技术含量,人人都可以制作,但要做上层次的木马还是要有天赋。
以下为张冀对腾讯科技对话实录:
问:现在网游盗号情况有多严重?
张冀:很普遍,到处都有。
问:现在很多大公司都花很多力气投入防御为什么还是防不住?
张冀:从两个角度,一是用户,比如刚才盛大的朋友也讲到,原来在魔兽世界措施也是非常好的,但是发现动态Token卡,有些用户用手机把动态Token卡拍成照片放到电脑,因为一张卡不愿意随时带在身上,所以人家找到那个图片,就等于动态Token卡没有了。另外一个因素,世界上没有绝对的安全,安全系数在提升,但是没有到绝对的。比如所谓的黑客,他对这些东西比较了解,他就能针对这个东西专门研究。其实从理论上可以做到非常安全,比如通过交互式的。但是毕竟是做产品,而且安全是游戏厂商设计的,它并不是第三方的安全,他可能不太方便做成一个很全面的独立出来的安全产品,从而也限制了他的安全防御的利用。
问:如果他和第三方综合起来做呢?
张冀:从安全软件的角度,从目前的角度来看,99%肯定能找得到,因为加入系统运营的话,我这个恶意程序和安全软件属于同一个权益商,我就可以进行破坏,或者比你更底层。我刚才讲的换一个角度,找一个脱离性能的系统,去找一个第三方途径,例如手机。因为木马都是到电脑上的,所以密码到了电脑上,电脑就变成非口径基,再怎么样提高安全,只能提高它的系数。
问:要防止木马就要找出一个脱离电脑的系统?
张冀:对,找一个可信的机器,电脑本身就是不可信的,现在有涉及到其它的挂马,例如U盘感染,文件格式的溢出,涉及的面很广,这种攻击措施比较新,所以平常的用户可能并不了解,所以他的机器上就很容易中
,他的电脑就非可信。
问:将来的防治会到什么程度?有没有可能真正防住木马?
张冀:比如
非常大,公司大他重视安全,投入产出比就比较高。如果小公司很注重安全,他没有那么大的投入。比如原来盛大也很重视,推出盛大密宝,这个东西没有一个绝对的概念,还是有人破译它。所以我们实时关注,一旦发现问题,有新的东西我们就立马跟上,对于安全很重视,较大地投入,应该能做得比较好。
问:有没有木马与反木马之间的较量有意思的故事,在一个木马程序上制造方和反制造方的故事你经历过吗?比如在一个木马上双方经过好多的较量、对峙。
张冀:攻和防是时刻存在的。
问:要造木马是不是还要也点灵感?
张冀:如果大众化的、现有资料已经很充足的,这个层次上的木马谁都可以做。但是有创新性,做上层次的木马还是要有天赋。(文/王恩斌)
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 发表于 2008-3-19 09:13
郑歆炜:企业网络安全维护要减少人的因素
游戏领域安全专家郑歆炜(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,游戏领域安全专家郑歆炜指出,如果企业网络安全完全依赖人员个人的高素质,会有风险过大。企业不能依靠人,要建立起结构体系和规范制度。
以下为郑歆炜讲演实录:
郑歆炜:运维和安全可能是两个分开的话题,我想就这两个技术做一个随想,也是和大家探讨,探讨这几年我在运维当中我的想法和困惑。
我先讲一个故事,有一个服务***网通知到无法访问,系统管理员确认是由于拒绝服务攻击导致服务器无法提供服务。于是系统管理员联系了IDC负责人,通报了情况后,要求IDC负责人和电信进行协调,共同防御进攻。这个在大家看来是一个很正常的流程,应该没有任何问题。但我们再看下面的,系统管理员也没有闲着,他在等待的时候对数据包进行了分析,发现了是对域名发起的攻击,系统管理员把公司里面所有可以用的应用补丁
中的服务器选出来,大概选了三十台,然后把官方网站同步到这三十台服务器上,同时将只有两台服务器的域名解析到分布在全国各地的补丁服务器上。攻击虽然还在持续,但是网站已经可以访问。
这个系统管理员做了一件非常了不起的事情,他不但分析了攻击,而且做出了正确的响应。这件事情发生在我刚入公司的时候我的同事做的。我在想可能拿到现在,如果系统管理员能做到这样的响应情况是一个非常优秀的系统管理员。但那时候就已经做到了。现在看来这件事情做得非常漂亮,包括防御的过程和选择,还有应对措施都非常好。因为当时的系统是非常标准的,是完全一样的系统,优秀的个人素质,导致这件事情处置得非常迅速和果断。对于公司来说,这么快的响应解决,非常好,可以讲这个人是公司难得的人在。
我们再讲第二个故事,是另外一个管理员,这也是一个比较早期的故事,可能当时Windows管理员没有干什么事情,他每天也就是开关游戏,他只负责最简单的游戏服务开关,每天看服务状况,他从来不知道Windows服务器甚至还要打补丁或者干别的事情,但是过了几年之后他换了一件工作,同样是做Windows管理员但却发现了很多问题,Windows系统要打补丁了,他觉得很奇怪,为什么以前不需要打补丁而现在需要打补丁。因为原来公司是做整体安全保护的,他们所有的服务器都是通过一个整体来保护,就算没有补丁也可以保证服务器的安全,而且服务器是做内网管理,外网连接全部中断,所以他在管理的时候根本没有遇见过任何网络中断或者外网访问混乱的问题。
这个故事告诉我们什么呢?优秀的基础体系结果设计,配合整体安全策略,实现基础安全。让维护和安全更容易,更有效。
来看第三个故事,就像第一个人一样,他不仅擅长系统管理、擅长网络安全,而且它的部门里面同样都是拥有各自专长的擅长网络管理和网络安全,当然他们的领导也是技术专家,运营部门撑起了公司数千台服务器,大概四个人,效率高,而且没有出现过任何网络问题,因为三个人都是网络安全高手,系统管理员对网络的解决比网络部可能更有效,他们更快地解决问题。所以公司也没必要设立安全部门了,运维部门就解决了所有的问题。过了几年以后,他的领导走了又招了一位领导,但是其他三个会觉得环境变了也觉得没什么意思就走了,其中有个人就离职了,他们发现接手的人在各种方面都不如自己,也跟自己配合不如原来那么默契了,于是大家相继离职了,这时候公司反而出现一个问题,就是没有人能做以前工作的事情,整个部门全部重新设定,包括重新设计了系统管理部、网络安全部。当然,这个故事说明了什么问题呢?这个公司过度依赖人,把所有事情都集中于人,最后导致出现了致命的问题,带来一个非常致命的问题是人和整体之间没有处理好,最后人离开了没办法要解决剩下的问题只能重新招人,但重新招的人没办法满足需求,只好重建系统。
这三个故事,系统维护人员高素质对运维安全体系帮助非常大。一个优秀的系统管理员,大家看到开始的那位系统管理员他解决问题非常快,而且非常有效,这样的话在一个公司里面如果都是这样的精兵强将的话也许安全问题就解决了,不会也这么多黑客。
故事二就说明一个良好的基础结构体系设计,对整个公司安全风险和维护人员的工作难度都会带来很多好处,而且能让整个公司的运作更良好。
故事三说明一个过于依赖人员素质的运维体系是不可取的。
我们现在面临的三个问题。运维体系,因为我把运维和安全体系是分开的两个部分,这个部分运维体系面临的问题,一个是系统的多样化和应用的多样化,人员的更替频繁。像我们讲的Windows、Linux系统等更多系统,但这些多样的问题带来管理上更麻烦,应用上也是。第三个问题是人员更替,因为现在信息流通了,所有的人员想换工作很容易,公司要不停地招人,接替。我这几年发现我的同事换得很快,经常有人离职有人接手。我想应该是个普遍现象。
网络部分,我们看现在的系统网络,首先应用的多样化就带来网络部分的复杂,因为各种各样的应用,开各种各样的端口让管理更麻烦。还有就是各种协议的问题,早上说了Web方面,那可见其它部分的问题就更多了,现在网络部分如何开放这些协议都带来了很严重的问题。
现在我们看安全体系所面临的问题,一是太多的应用所带来的安全问题。因为公司越大,各种各样的运营东西也就越来越多,做得多错得多,不是说都错了,但是错的概率大了很多。很多公司过快发展,很多公司因为过多注重业务的发展,导致了安全出现断层,很多时候很多公司做了很大的业务,但是没有安全部门或者安全部门刚刚开始筹建,就带来了安全的断层。还有就是重实现忽视安全,在我的职业生涯中,很多时候遇见问题是安全提出的问题被业务部门所拒绝,因为业务部门要求我们的业务是给公司带来盈利的,你必须得保证业务先行,而忽视了安全。这样的话很多时候安全都退到后面一步。
人员安全意识不足。我对这几年的看法,我觉得现在计算机越来越容易用了,是人都可以用计算机,是一个必备的资源,但是这些人的安全意识并没有达到一定程度,反而不是去追求高度,而是一些最基础的安全,这反而是我们现在面临的最大问题。
攻击方式多样。现在只要翻几个网页就可以攻击,而且攻击多样化对防守的一方要求更高。各种各样的攻击,安全人员首先要熟悉这些攻击才可以防御这些攻击,但是这样的话对安全人员的要求就比以前提高很多,也许以前只要补补漏洞,现在还要熟悉各种各样的安全技能。
现在我提几个我对运维体系的看法。第一、标准化。有三个解释:***、系统配置、应用编译。标准化为什么好?为什么我把这个放在第一条呢?因为我认为标准化可以给公司带来很多好处。因为所有的系统让你管起来方便,而且可以保证配置的安全,这样也避免了误配置导致的安全问题。还有就是应用编译,我们都知道现在是受动编译的,各有各的爱好,很多系统管理员喜欢编译一套自己的东西,但是这样过多地个人发挥导致管理上的麻烦,这些如果能规范起来,保证系统和运营的迁移都有很多好处,我觉得是值得推广的事情。
网络划分,我在这里分为两块,一是网络横向划分,就是保证网络纵深的问题,我们在后台中间件的这些地方保证向后发起连接的内网,就是我们向服务器后面看,所要保证的安全,如果一个黑客攻击了前台的服务器,他需要时间渗透到后边的服务器,我们的纵深如果太浅的话,他直接获得了后台DB地址,可能留给我们响应的时间就很短,如果能很好地横向划分就会给我们带来很好的防守时间,在预警上我们可以有更多时间去检查入侵。
一是网络纵向划分,任何一台服务器肯定都有网段,肯定很多服务器在一个网段。根据应用划分这些网络,可能游戏服务器都在一个网段里面,Web服务器都在一个网段里,这样就会带来一个好处,一台服务器在防火墙做策略的时候可以做到统一化,必然的话很多应用稀奇古怪的防火墙开到最后跟没上是一个样。
我对此做的一点解释,标准化系统可以让快速部署,让我们所有的系统都更具有弹性,在第一个故事里我们就可以看到,如果没有标准化的部署,这个系统管理员不可能快速地利用这些服务器进行部署,这样让一个快速迁移和应用合并或后续管理员的接手都有好处,如果实现了标准化就可以实现这些好处。
还有就是网络划分,我对内外网分离这件事情很难说,虽然我在这里写了,但每个公司都有每个公司的应用,不可能把内外网完全分离,但我觉得这是一个好的方式,如果有可能的话这样做可以让系统使用方面有更多的灵活性,而且根据应用划分网络,让网络有了层次,可以直接提高安全系数,可以讲我们不做任何事情,但是安全已经能上一个很高的水平。
安全体系方面我列了两点,要讲安全这里都是专家,我就不班门弄斧,说了两点。包括我对一些公司的检查和情况的发现,包括一些交流,我发现人员的确是安全的根本,但是安全实现必须得依靠这些人,假如每个公司里面每个人都知道自己系统应该怎么做就安全,这样的话公司就会实现很好的安全。但是现在问题是我们希望安全成为每个人的自觉意识,如果每个人都自觉地遵守就会很安全,不然的话就会带来很多问题,安全部每天累得半死最后说不定哪天还被黑了。
再就是制度和自觉结合,我觉得有的时候安全单靠个人的自觉不能实现绝对的问题,如果所有人都自觉但就不需要法律了,我们还有法律就说明有些人还不自觉。唯一就是制度上面让这些不自觉的人遵守自觉人遵守的东西。所以制度保证了,每个人都明确自己的职责和他们所需要做的事情,这样他们也明白自己该做什么、不该做什么。制度和自觉配合起来,我觉得才能实现最好的安全体系,不然的话,一些人光是自己在实现安全,但是一帮人在那里做破坏安全的事情,最后这个体系也是崩溃的,哪怕做得再多,可能最终一个小损失就会带来很大的问题。
最后我们再来看一个案例,这是一个很简单的结构,用户在这里访问Internet,有一些应用服务器、一些DB,还有Web系统,通过互联网访问,管理这些机器。这个结构是一个非常普通的结构,也是很多公司最开始都是这样的结构,这个体系的实现也非常简单,通过应用上的程序开发来保证传输的安全。通过一套统一系统,部署更简单,我们更规范地部署,因为毕竟简单,系统也能快速地检查。
这里面的安全上的特点,它们是依靠每台机器来管理这些,通过一套管理系统来部署这些安全策略。安全操作就是通过管理系统来规范这些策略和做法来规范这些体系。安全因为毕竟是互联网上服务器全是没有防火墙保护的,就通过安全制度的执行检查,去检查安全制度的执行,形成一个循环,这是一个最简单的安全案例。
这个案例的成功点,简单的有效安全体系,当然就实现简单,使用简单,和承担风险相比,代价较低也容易实现和维护。简单有时候也是一种优点,实现这么简单的体系,使用起来简单,不用招很多很高级别的管理员,不用担很大的风险,因为相对来说实现的简单,承担的风险也相对可以接受,因为代价的低要承担的风险也会多一点,但是对比起来也是比较简单的。系统建立成本低,基本上没有什么特别的东西,都是最基本的,必须采购。人员培养简单,基本的培训就能胜任系统维护管理员。
这个案例的失败点,安全被分割,每个部分都是独立,造成安全过于孤立,容易造成单个部分的损失。一旦扩大到几千台服务器,承担的代价就非常大,安全部门对这些问题的保护经常会有单个部分的损失。
我们来看第二个案例,这个案例比较复杂(图)。首先,用户访问互联网,但是他前面这条曲线我用虚线表示了,这个地方其实有一道防火墙,但不是真正意义上的防火墙,所有的访问都通过这条策略过滤后再访问游戏服务器和Web Sever,在这道服务器背后也有一套安全策略才能访问到后台的DB和主机,这时候这些管理人员是通过一台防火墙拨通***之后,登录直接访问内网然后来实现管理这些服务器的,可以讲管理员不通过外网来管理服务器。
我们看看这个体系的特点,网络部分采用了大内网结构,所有的机器都在一个内网里面,逻辑上都在一个内网里面,但是可能有些地方被隔断。ACL保护外网服务器,节约了宝贵的防火墙资源,保护范围广,几乎所有机器都可以实现ACL保护。再就是VLAN策略,这些中间的曲线就是VLAN(图)的划分,这中间可能也有各自的安全策略来保护是否能访问。这样的话VLAN就严格了各个运营体系的区域划分。这样就相当于船的隔仓,破了一个仓也不会进入水而危及到边上。
系统部分特点,***配置标准化,良好的系统配置规范,标准化所有系统。系统通用化,系统标准化带来系统应用的通用化,因为标准化的系统能让迁移更安全。
我们来看一下安全部分,这个系统就是整体安全,所有服务器受到统一策略保护,这些安全策略检查也非常方便,因为这些策略都是交换机上的。再就是实现安全策略代价小,不需要在每台机上有策略。还有就是内网的划分非常细致,每个内网都是经过严格划分的,保证两个应用之间没有应用需求的话两个区域之间是不会连通的。内网间的通讯流量,保证了不需要的工具不可能通过VLAN。
管理网络部署,登录管理网络入口唯一,登录严格管理,人员权限划分,有了登录入口的唯一性,登录就可以严格检查,也可以划分人员的权限,因为有了VLAN的划分,完全可以做一套策略,不同的人有不同区域的访问。这个案例就是第一个系统管理员的故事,他们的人员素质非常好,有非常高的安全素质。这套系统的成功点可能就在于它的优秀的基础结构体系设计,因为一套系统如果设计成这样的体系的话,他首先考虑到所有的Windows服务器,所有的Windows服务器都没有补丁,没有安全策略依然可以很稳定,没有被入侵过,就是因为有了这套体系的保护,让安全有了良好的基础,他们可以很容易地实现安全。一开始就让整体安全有很高的层次、很高的门槛,大家跨过这个门槛时就已经保护了所有的服务器,实现起来也很简单,运维体系架构在这样的结构上,管理服务器去检查服务器,还有一些对服务器的操作方面都可以放宽很大的要求,不像以前的服务器可能要注意很多操作,但是有这些基础的保护的话,让很多操作都更简单了。
维护人员的高素质保障了体系思路的实现和执行,让这个体系发挥比较好的作用。但是这个体系的失败点就是内网实现代价太高,因为以这种模式的大内网,中国比较大的互联网公司实现内网,首先设备的成本就非常高,特别是跨机房之间的内网接通需要的设备成本非常高,还有就是南北问题解决困难,还有管理点的选择,在北方管理南方,就算是南北连通起来,访问起来也会非常慢。还有就是对人员的依赖度过高,因为所有的VLAN划分都是以人为基础,培养人的代价非常高。
这个失败点是我们以前团队当中遇到的问题,前期人员促进了发展,但是中后期过度依赖人员导致出现人员断层。虽然优秀的架构设计可以保留下来,但是人员造成的问题,对团队的继续发展造成了严重的问题。
我们做一些总结,从以上介绍两套系统中寻找成功点,剔除失败点。来构成一套较为理想的体系,大家仁者见仁,智者见智。
整体基础安全保护,重点在于ACL策略的保护,我个人对ACL策略也不是很清楚,但是我觉得这样的系统能让大家有个很好的门槛,我发现很多公司使用交换机的时候都是把它当做普通的路游设备,有这些功能往往起到事半功倍的效果,能用起来当然最好。
前期的架构和网络规划很重要,因为前期设计起来那么一套体系,我也待过很多公司,我遇到的很多问题是我们到一家公司发现很多问题,问题是我们怎么改造这套网络,我们有很多好想法、很多好计划,但是没办法实施,因为公司在运营,你不可能推倒这个架构建一个让自己觉得满意的系统,没有公司可以接受这样的体系。因为如果前期第一次设计得好的话能给后期代理很好的帮助。粮食的设计让系统拥有可以持续发展能力,因为现在机器已经是一个廉价的设备,已经不在乎多少台服务器。以前我记得我们在一起聊天的时候就讲了一个很好玩的故事,一个论坛一万人,另外一个论坛两万人,但是一万人的不可以实现,两万人的可以实现,我们就用两万人的。结构设计出来,对网络进行划分/分隔应用,可以保证应用部署的规范,如果能一直遵守这个策略,保证应用能很好地部署,这样的话也是非常好的,其实这也属于架构范畴。最后一条就是安全纵深,我觉得这里恐怕有很多渗透高手,没有纵深保护这些东西就很难实现,让黑客需要更多的时间去搜索我们的后台,这样的话我们才能让我们有足够的预警时间去阻断这个攻击。当然有些公司可能有更好的应用。
完善的规范制度。我觉得这对很多业务的促进是非常好的,因为体系的设计,技术员实现了,最终还是要检查修复的,不可能上去以后第二天就不管,这样的话需要系统自我修复和自我完善的能力,这必须得要求制度来做。
严格的检查完善机制。所有的事情必须得有力的执行,并且根据反馈不断完善。而这一条就需要管理层,运营层的理解和支持,因为很多时候是很多人对安全部门不理解、不支持,最后导致很多问题的出现。这就需要管理层对运维人员做一些制度或者规范上的支持,因为管理上的支持很多时候能让很多人理解。
下面开始讲我的主要想法,我觉得这个话的确说得很对(图),人员是一切的基础,没有一个好的人员什么事情都不用谈。同样,一个好的人员也可以让事情事半功倍。都是非常优秀的人才这样的话可能这个团队去干什么事情都很简单。每个团队的个人素质是最关键的,因为这个团队既然都优秀,就像木桶一样,最后一块短板可能是制约它发展的,所以每个人的素质是最关键的。就像我们需要建立一个非常优秀的团队,每个人都拥有高素质,这样这个团队一定能干出很多事情。
再往后面看,我们团队如果完全依赖人员个人的高素质,这显得风险过大,因为人是最不可靠的东西,因为毕竟服务器给它一加一肯定得出二,找个人的话可能不等于二了。我们不能依靠人,我们的团队需要依靠结构体系来规范制度,有人离开我们可以欢送他离开,再补充我们所需要的人,整个团队对人员的需求也不会很高。
对付黑客最好的办法也许就是所有人都成为黑客,这样世界上全是黑客的话,我相信就没有黑客了。所有人素质都非常好,整个团队整体能力得到成倍提高,并且个人能力让问题解决更快捷和安全,这同样也是一个团队最终的目标。
作为一个反方,过于依靠个人的能力的团队,存在很多问题,而且很容易存在人员断层,现在培养一个人非常难,我在跟我以前一个同事聊天的时候他现在是一个公司的CEO,他说他现在最大的问题就是每天在招人,每天培养成他所需要的,但他突然发现他把人员培养好之后已经没力气做事情。我们不如反过来想想,我们只要有一套好的架构体系和完善制度规范,我们这个团队里面就不需要人员,也不需要人员的素质,我们只需要一些普通人员就能支撑公司的运转。当然这是正反两方的意见,不知道大家看到这个观点怎么想,我觉得有的时候我自己也很矛盾,因为毕竟一个高素质的团队大家都是好手自己在一起交流、工作环境都会好。但是这样又带来问题,公司不希望完全依赖人,把鸡蛋全部放在一个篮子里,这样太危险了。这是相对矛盾的问题。
大家都希望自己团队的团员都很好,就像打篮球一样,都希望每个队员是乔丹。但我们又会存在另外一个问题,我们也不愿意建立起来今天走了一个人我们公司就要损失很多的地步,我们更希望是比较完整的体系,我们有一套体系随便找一个人来,我们公司的系统就可以正常运营。
如何平衡这两方?如何建立起一个不依赖高素质人员组成的优秀运维和安全体系,案例一就能满足我们的需求,简单的系统,简单的人,找个网吧管理员就能做好,他们每天只需要检查这些服务器在不在。当然这个体系运维起来让问题分布了,相对来说,损失一个区域对公司来说打击不是很大,在我们能承受的范围内还是可以承受的,虽然安全事件会很多。这的确降低了人员要求,也许招一个人就可以管理这套系统。
案例二是一个优秀体系、优秀团队,体系建立起来要花很大的代价,要花很多人的努力才能建立起这个完善的体系,但是这样的话让后面的人很轻松,这个体系建立起来之后,从2000年到后面几年,就只有一次被入侵的事件,而且那时候所有的Windows机器都是不打补丁,居然能保证这样的成绩,还是比较骄傲的一件事情。
我说一下我自己的感受,我在这样的一个团队里,我每天在想的事情就是我的周围的人为什么安全素质不能更提高一点,每天想的就是这个问题。然后我在这个团队也待过,我想的问题就是每天能不走人,因为走一个人损失非常大,而且阵痛要很长一段时间才能消失。跟大家看到前面的问题也有点相似,大家如果在这中间找一个很好的平衡,既有良好的安全素质又有良好的安全体系,也许这是个问题吧,我不知道是不是哲学问题,反正我是无法解释的。
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 发表于 2008-3-19 09:15
张冀:跳出PC局限用手机授权防御木马
Windows底层和反木马专家张冀(腾讯科技摄)
腾讯科技讯
3月18日消息,在今日举行的
络安全技术峰会上,Windows底层和反木马方面专家张冀指出,随着信息的公开,木马的生成越加容易,越加泛滥,尽管企业做出最大努力还是很难保证系统不被攻克。如果企业可以跳出不安全的PC端上的研发,通过更安全的手机进行授权防御,或将可以解决木马泛滥的问题。
以下是文字实录:
张冀:大家好!首先讲讲网游木马常用攻击技术。第二,讲讲从开发商的角度,以较地的成本实现防御网游木马的策略。首先是键盘记录,所谓的键盘记录是在在键盘输入的时候木马会把你的键盘输入的信息记录下来,网上流传最广、最通俗的方法就是***全局消息钩子,从而窃取密码。但是从2006年起主动防御的游行,原来消息钩子这种进入密码的方法用得比较多,比如卡巴斯基这种主动防御就仿用这个。后来逐步地有一些黑客发掘出以前使用的比较少的被厂商所忽视的一种方法,例如图片上举到的这些(图)。
前面几个常见的全局消息钩子及后面几种方法,是从用户态实现的。原始输出设备用它来窃取密码,这也是属于用户端的。后面我提到的所谓的Inline Hook是广义的,就是我进行挂机的时候可以在Win3上挂,也可以在Win0下挂。我的hook可以挂在自己的游戏程序里面,从而获取密码,也可以深入到回叫函数。
第二部分是内存读取。用户输入密码后,通常情况下密码没有经过处理的话,有一段时间用户输入的密码会以明文的形式存放在内存中,包括登录游戏后,有一个游戏的人物信息,基本上这些信息都可以从游戏进程的内存中读取。
第三是星号密码获取以及缓存密码,比如在QQ或MSN上输入密码的时候,可以选择记录密码的情况。
下面讲到浏览器插件,是主要用于获取和IE相关的,突破HTPS,在你输入之后,就可以获取在IE里面的输入方的密码信息。
来看张图片,小区域精确截图(图),这种方法可以应对许多种网游的保护措施,先***一个全局鼠标,对你鼠标点击的时候,比如鼠标点击这边,事先算一下你的按纽的像素,把边长除以二,以鼠标点击的点为正方形的中心,从而以这个点截取一个正方形,面积最大的就是我们所要的密码信息。小区域精确截图的方法和图象识别,从而可以把图象信息直接转化为字符。如果说比较复杂,图象识别不了的话,黑客们常使用的方法就是发邮件,因为发邮件是可以以AHTTMAIL的方式,从而可以把图片嵌在里面,黑客收到信的时候,看密码就一目了然。虽然是截取的图,但是也能很清楚地看到。
除了刚才讲的这些,下面还有应用得比较广的,例如封包截取或者协议分析,从协议的角度分析人物信息、用户名、密码。现在还是有一些比较厉害的人可以通过调试,逆向工程,结合ARP欺骗,因为对于非对称信息加密的话,传统的破解方法比较困难。但是在局域网里面可以结合ARP欺骗、伪造,实现相应的效果。基本上现在的木马在对付非对称信息的时候基本上是采用欺骗的方法。
还有一些其他技术,比如一些猥琐方法,谈技术含量比较低,但还是有效果。举一个例子,很久之前人家想到QQ密码,他自己写一个界面和QQ基本上差不多的,然后输入之后,再把真正的QQ进程运营起来。这是被人鄙视的方法,要钻空子的话还是比较多的。几年前盛大对安全很重视,那时候推出的盛大密宝,但它那种对于真正想窃取的人也是形同虚设,但是那个可能比较困难,或者还需要入侵它的服务器,把相应的算法搞清楚。这是比较困难的,但是用得比较多的,现在很容易实现的就比如这张图(图),我们后面讲的解决方案也会碰到类似的问题,对于盛大密宝使用的这些方法,我先简单地把盛大密宝的使用过程讲一下。
在输入用户名、密码后,它会又出现一个对话框,盛大密宝是以一分钟为间隔,当然我这说是的是几年前,最近的我没看,当然也是大同
小异。以一分钟为单位,有一个函数,那个函数有两个变量,盛大密宝的序列号做了变量增量,还有就是限制了时间,以一分钟为单位,会随机生成六位数,但是登录之后游戏里面就会随机抽取三位,请你输入盛大密宝,所谓盛大密宝就像电脑,中间有一个写字屏,以一分钟为单位,按照它的算法随机生成六位数,游戏的程序比如说请输入第一位、第三位、第四位,从六位数里面选三位数,让你输入第几,这是游戏随机的。以我们常人的角度看来就很安全,安全性很高。但是所谓的黑客他也很猥琐,他就是钻空子,原理就是这样(图)。
比如这里有两台机器,但是这台机器上面已经定了相关的网游密码,已经知道它的初次登录及常规的用户名、密码,假设这个人是黑客,黑客就是以他的用户名、密码登录,但是他在输入他自己用户名和密码的时候已经被木马程序点确定的时候在输入框里面替换掉的,把这个用户名、密码替换成他的另外一个号,这个号肯定是新申请的号,因为两个号是不能同时上的。他在输入自己的用户名、密码的时候其实已经变成另外一个人的帐号了。他进去之后会出现一个框,就是请输入比如第一位、第三位、第四位的六位数。从六位里面选三位的数字是随机的,肯定两个位都是不一样的,游戏程序比如说请输入六位数里面的第四位、五位、六位,我要求输出的密宝里面输入四、五、六,点完发送,正常看来是一、四、五,但是如果我现在想到达的话,我把四、五、六的消息通过相当于我们控制的木马在他机器上,我们的木马收到四、五、六位数字的时候,当他进入要输入密宝信息框子的时候,不管它是提示一、四、五,我们木马都会把要求输入的位数换成四、五、六,他所输入的密报信息的位置就是四、五、六,他输入之后木马就会把这个信息传到控制端,从而黑客就获得了他进入游戏所需要的密宝随机生成信息,从而进入游戏。
因为黑客进入游戏之后防止他再重新进入,发现帐号正在使用,可以在我们的木马端做一些手脚,比如说在两、三分钟之内让他上不了网,等他看看是否有一些值钱的装备或者游戏币,等处理完之后再让他上线,或者说有一些木马程序写得很暴力,就是把人家禁止,直接终止掉。
从内存读取的方法在木马里面也是使用得非常广泛的。在QQ稍微老一点的版本也是同样存在内存里面。现在有一些网上银行及游戏,他可能采用软键盘,我刚才说的对付软件盘通常有两种,一种是截图的方法,还有就是字符,类似于金山词霸的技术,是屏幕取词的,他要点密码的时候已经被屏幕取词获得密码的字符信息。我这里讲的是一些主流的,还有针对特定的情况有一些比较猥琐的方法。
刚才是稍微浅层次地分析了从功能的角度。现在开始讲怎样防御。我们做防御看的角度不一样,比如游戏开发商是从自己写游戏的角度。从第三方,比如卫星、卡巴斯基这种角度,或者从使用者、网络管理员,比如网络管理员怎么样从边界防火墙角度怎样进行相应的配置。现在我讲的主要侧重于游戏开发者的角度。从游戏开发商的角度和第三方***软件的防御角度还是有区别的。因为如果是游戏开发商的话,他做防御是要小型化,主要针对我自身的特性。但是从第三方安全的角度,例如卡巴7,最新的卡巴8版,用得比较频繁,从游戏开发商的角度是怎样做最少的事情取得自身游戏的安全性。
我们先从基于主机的角度谈一谈。因为我们刚才已经粗略地了解了网游木马的密码获取常用手段,然后把星号缓存密码通过加密,可以自定义窗口,从而使它用传统的方法获取不到密码。第二是防范按键记录,虽然这只是简简单单几个字,我是把涉及到的面讲一讲,同样是一个防范按键进入,可以做得很浅,但同样也可以做得很深。域网下面公开的资料越少,操作的系统提供的已有的接口比较少,需要自己做的比较多,所以可能难度系数比较大,从而写的人就比较少,安全性就提高了。但是随着防御越往底层做,虽然安全性提高了,但是稳定性也下降了。从理论上说,原理是正确的,也是可以做到的。但是因为这些东西是人开发的,由于水平、经验,尤其是开发时间的限制,没有那么多时间去测试,没有时间经过客户环境的考验,所以想推出一个产品级的、比较稳定的,时间会比较漫长。现在防范键盘记录的一个稍微比较底层的比较稳健的方法是挂一个回调,对兼容性是同时兼容USB的。
原来QQ采用的是虚拟键盘,当然虚拟键盘其实也是属于成本比较低从而也实现比较好的效果的一种方法。但我刚才说的类似于金山词霸屏幕取词,还有就是一定要随机,还有就是软键盘在屏幕上出现的位置最好也要随机,如果大键盘位置固定的话还是很容易被盗取。还有就是最好不用字符,用比较复杂的图片,图象解析就比较困难,一般只能用截屏。我们现在已经知道的键盘截取的方法挂个函数就可以防止截取。再就是从产品可用性的角度。比如QQ或者网游输入密码的时候,在他输入密码的一分钟之内对截屏禁用,这样对可用性也没有什么影响,如果像卡巴那种普通防御的话,普通用户可能反而选允许,从而没有效果。
还有一种是在网吧里比较盛行的,现在网吧基本上都是交换机的,基本上都是通过ARP欺骗的方法,就可以破取局域网里面其它机器的分包,如果通过定向格式能把网游的协议给轰击出的话,就可以破解获取整个局域网里所有使用游戏用户的信息。但是现在很多都是加个密的,尤其有一些MD比较好的,就采用类似于RIRS。对于网吧和局域网用户,防范ARP欺骗是很有必要的。按键记录、行为监控都会应用到相关的函数,行为监控对它所要应用到的函数进行限固。要建立一个可信机械,所谓的可信机就是在确保网络没有欺骗的情况下,确保其他机器尤其是网关和其它的对应关系,先把它存起来,然后进行判断。还有一个是比较简单的,就是用系统自带命令实现IP/MAC绑定的,但是对于Windows2000应该是没有用的,因为Windows2000没有检查数据包的属性是静态的还是动态的,虽然进行了绑定,但ARP的绑定功能在Windows2000里面形同虚设。所以比较好的还是类似于金山ARP防火墙及360ARP防火墙。但这已经作为第三方的产品。
去年用得比较多的是驱动,尤其是在挂SSDT的时候自身处理函数的判断有问题。在Ring0下也很严重,所以在行为监控的时候我们自己的处理函数也要写得很郑重。
这是属于轻量级的,与刚才说的互补的,也是比较有效的。比如用户已经装了卡巴斯基7.0或者卡巴斯基8.0,但是仿造常规的dll的注入,因为有些情况下要获取游戏信息的话,最好到它的进程空间里面去,所以有很多木马就把自己的dll先注入到你的游戏进程里面。现在其它的第三种安全软件也做得比较好了,定义了目录的优先级,Windows系统有一个系统是这样的,如果当没有写绝对路径只是相对路径,静态就用dll的话,优先的是在同目录下。比如在网游目录下释放一个dll,只要你的游戏程序起来了,木马的dll就注入到了进程里面。
还有就是保护自身程序不被修改,因为当安全软件越来越严格,可能盗号木马就修改你自身的程序,所以对游戏自身的保护也很重要。
刚才说的主动防御行为监控的方法可以在不需要特征码的情况下实现通用的防护,但是和传统的特征码的方法相结合的话,就可以取得更好的效果。而且自动更新有很重要,万一出现一个从来没有出现过的比较强的破解方法的话,应急小组知道这个情况,就立马对程序进行更新。所以Office的文件格式为什么比PDF的效果好,因为PDF强势自动更新,Office的是自己更新。
我们刚才是从游戏开发商的角度讲,所以他不可能就像卡巴那样面面俱到,无论你怎么防,哪怕限时,虽然说能够很大程度地防御,但是还是有漏过的地方。安全防护和黑客技术没有谁最厉害,你这个安全方案出现的话他可以钻你的空子,反正总会找到方法,所以我们看这些方法很难做到百分之百的安全,所以我们要换一角度,找一个可信度的。比如现在因为手机的普及,我任务绑定的话最好绑定PC以外的,因为木马程序是在机器当中,主要运用广义的Hook的强大思想,它都能搞定。所以我们从另外一个角度,脱离它,比如和手机绑定,如果修改密码的话,它就会收到一条短消息,如果确认修改密码请回复Y等类似途径。因为我是从来不玩网络游戏的,对虚拟物品的情形不是太清楚。但是印象中的应该是类似于基金。
再就是动态口令卡,就像工商银行的网上银行。还有类似的移动***,它有破解方案,就是我们刚才的这种方法(盛大密宝)。了解了这个方法就可以和刚才基于主机的方法相结合,动态口令卡它的算法健壮性和验证服务器安全性也很重要。
后面一种方法是类似于360,从主机层面讲,它总能钻空子,因为是从游戏开发商的角度,而且这个实现成本比较高。其实绑定手机对于游戏可以实现上线提醒,还有就是修改密码确认,手机的授权是最高的。
(一蓑烟雨论坛)
当前离线
『 我为壳狂 』版主
28890 主题
4695 积分
20835 坛币
1282 UB 热心
215 UF 邀请
6 yQ Team
[UpK] 阅读权限
200 性别
男 来自
UpK软件安全社区 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 UID
28890 主题
4695 坛币
1282 UB 热心
215 UF 在线时间
12677 小时 注册时间
2004-10-9 最后登录
2011-8-4 发表于 2008-3-19 09:16
微软安全服务提供专家方兴:Web2.0安全研究
微软安全服务提供专家方兴发表演讲(腾讯科技摄)
腾讯科技讯
3月18日,由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会在深圳召开。包括微软、盛大、新浪等互联网界各大巨头的技术专家,学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。
微软安全服务提供专家方兴,在现场发表演讲。以下为文字实录:
先做个自我介绍,我叫方兴,以前主要关注的领域是操作系统安全漏洞的挖掘,但是现在我给大家做Web2.0的演讲,实际我是抱着学习的态度,因为
作为一个网络,在WEB方面的研究应该比我更多一些。首先我们来预览一下今天讲的主要内容。今天WEB时代的安全与发展风险,相对于以前WEB1.0的时代增加了哪些问题。其次我们来看待它的新的安全需求。最后我们来看它的整个安全发展情况。
为什么我这个题目叫新WEB时代而不用Web2.0呢?因为Web2.0只是一个开始,只是个时代发展的序幕,它最终的目的是要发展成为取代现代客户端计算的模式。以Web2.0为主要的运用成为了一种趋势。WEB运用逐渐向传统的应用领域渗透,比如我们经常去Google这种工具。它最终的发展目标要把INTERNET成为数据处理和储存中心,网络取代传统的OS成为应用的中心:网络既计算机。
在当前,安全是WEB发展的主要障碍之一,因为成为数据和存储处理中心,将会带来很大的安全风险。这里是一些统计数据(图),关于Web2.0目前的发展趋势。80%以上的基于网络的公司都投资在Web2.0当中来进行开发。在2007年,30%的客户都基于商业上的应用技术。预计到2008年,基于服务器服务构架的SOA会逐步朝着这种模式发展。
在新的WEB时代存在一些什么样的主要特征呢?这些特征又会给我们带来什么样的安全风险?首先,它跟传统的我们以前的WEB时代存在的区别:第一、处理和数据控制集中化,因为它最终目的是把所有的网络计算核心从客户端拿到网络端上。而以后客户机只扮演纯粹的浏览界面的角色,所有的核心数据、核心的处理全部都在网络端。第二、它的内容来源控制分散化,这是当前我们在Web2.0当中看到的最大趋势,以前的WEB1.0是以我为主,比如新浪作为一个新闻中心,我发布了,作为受众来说是被动接受,以前WEB1.0是核心控制的,但是在Web2.0我们发现草根阶级的应用上来了,它的各种内容不再依赖于核心端来发送,而是依赖于用户主动提供,比如你的博客,你的各种响应,更多的在内容上。从数据来源上它是分散化的。第三、应用网络化。它要蚕食掉现在桌面的应用,都用网络的方式来实现。在这一点上面,以前Google在这方面的表现是最具竞争性的,它想取代微软作为IT行业的霸主,这是它的策略,因为作为微软来说它核心的Windows操作系统已经占有了不可动摇的地位,想要动摇它的地位,只有把所有的应用逐步往网络上搬,用户就不再需要你的OS,不再需要你的操作系统,他就能真正地从微