大牛蛙 da'niel'wa@secure

Win7对抗网页挂马

一直想写篇Windows 7对抗网页挂马的文章，纯白话式的，来转告普通用户，如果使用Windows 7，可以不用担心现在国内病毒传播最疯狂的方式——网页挂马。诚云就写了这么篇文章，《Windows 7安全和网页挂马》，很好很有必要。只是不由自主就会想，在这个充斥着剽窃造假、作秀娱乐、五毛打手的环境里，普通用户甚至多数IT人士，会不会认为诚云的这篇文章是软文，而敲上五毛的印章。所以，对于写这样的文章，我就一直很为难，究竟站在怎样的角度，写成什么样的文章，才能把实话实说，写的真的像实话实说，让多数人看的明白，让严谨的人满意，让一目三行或者各怀目的的人跳不起来骂不出理。

把实话写的像实话，真诚，还只是原则之一。一想到可能面临的各种各样的问题，比如“XP/Vista发布时你们也这么说！”、“为了Win7就变脸彻底否认XP”、“等Win7被报告漏洞后，下场和XP一样！”，以及上周刚刚面临的一个质问：“我以15年的UNIX经验告诉你，UNIX遇到Buffer Overflow都是直接coredump，为什么你们的操作系统居然允许代码执行？！”时，刚放到键盘上的手只能转而揪头发，暂时性纠结了。每每遇此，就感叹获取信任感，靠速写几句话这条路是走不通的。

文章写不下去，多少是为了避免类似“蛮有涵养”的李海鹏在中产阶级餐桌上弥漫出的“拉夫烈茨基尴尬”。拉夫此君，“因为关心俄罗斯的前途而染上一种恼人的毛病：面对蠢话决不妥协，非得争个黑白不可。……这样一来，虽然他友善又容易沟通，还是被看作是狂热份子或者怪人。……他到处寻找和推广拯救祖国的妙方，内心受到无数的煎熬，最终怎么样呢？……俄罗斯人民不理解他，连他喜欢的姑娘都觉得他太古怪。以至于他的理想、悲悯、义愤等等……理所当然，屁用都没有”。严格来说，如果我写Win7安全的文章，初衷单纯而偏执——乐见技术改进的努力在现实中实现安全保护的价值——虽然远没有拉夫关心俄罗斯前途那么高尚，甚至Win7销量如何都根本不在我考虑之列，只要管保自己所说真实有效即可，但看到“XP装上Windows Defender+IE8就和Win7一样安全”的春二虫话时，还是几乎没有克制住不回复、并且顺便痛快地骂上微软市场人员几句：“让你们只知道、只宣传Windows和IE的防钓鱼、Windows Defender和家长控制！”

所有质疑《Win7可对抗网页挂马》的声音里，有一句不得不妥协：“道高一尺魔高一丈，你们难道不知道吗？！”因为不得不承认，未来依然可能有新的攻击方法出来，就比如HeapSpray最早的提出者（目前任微软安全工程师）当时只是把它当作一个资源耗尽的D.o.S报告给微软一样，新的利用方法现在不是没有被发掘，而是可能还没被发觉。但有必要说的是，目前Win7对抗网页挂马是一套组合的防范措施，并不针对某一漏洞，而是针对漏洞的利用方法，提升其实施的难度和降低利用后的危害，“等IE有新漏洞，Win7安全就失效”的说法显然不对。所以魔再高——即使无视了DEP+ASLR+SEHOP，但缺少了威胁系统所必须的高权限和高完整性级别，危害也就基本不存在了。XP SP2/3在这些方面近乎裸奔，而Win7比Vista安全，则是因为Vista由于兼容性问题，IE的DEP + SEHOP (SP1)两个保护默认没有被启用，而这是防范网页挂马最最重要的措施。

说到这里，这篇文章对“Win7对抗网页挂马”似乎非但没解释，还极不尊重地认为一些微软产品使用者“说蠢话”，好吧，就当我是莫口难辨在此发发牢骚吧，就此打住，万不可当真。最后给使用Windows 7的普通用户朋友们一个简单的检查步骤，如果全部符合或修改完成，恭喜你，你的系统对网页挂马免疫了。

• 先了解一下网页挂马的危害，焦点访谈和经济与法视频； 
• 第一步，打开IE，查看状态栏右下角，确认IE保护模式启用（Win7默认启用，同时意味着用户帐户控制UAC也处于启用状态）；
• 第二步，打开IE菜单->工具->Internet选项-> 高级，查看内存保护DEP被启用（Win7下IE8默认启用）；
  以上两步，可参考截图：
• 第三步，把下面保存至扩展名为reg的文件，导入注册表，启用IE8的SEHOP：

  Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe] "DisableExceptionChainValidation"=dword:00000000

• 最后一步可选：微软免费杀毒程序Microsoft Security Essentials (MSE)中文测试版18号提供下载了，以我实际使用体验来看，效果很好，推荐使用。测试的朋友们注意了，MSE会把发现的同一类病毒统一汇总报告，比如扫描100个文件，发现20类共100个病毒，产生的报告会只显示“20”——这不意味着查杀率为20%