诺顿杀毒软件“误杀”微软WIN XP操作系统正炒得沸沸扬扬，国内安全软件厂商纷纷指责诺顿犯了一个“重大的低级错误”，连诺顿自己也不得不站出来承认是“误报”。不过对于诺顿是否是“误报”，我看却有一些疑点。 诺顿只对简体中文版XP系统“误报”，并且是安装了MS06-070补丁的WIN XP，而对国外用户几乎没有影响。这不由得让人怀疑，安装了MS06-070补丁的简体中文版XP，是否藏有特殊的代码？受影响的文件netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)究竟是什么？ 升级前为什么不会“误报”？ 安全软件会在操作者使用过程中，对应用软件的行为进行分析，比如软件使用了哪些端口，向哪个特定的地址发送了信息，这些操作安全软件有责任提醒给使用者。不过一般的情况下，对于成熟的商业软件，安全软件会选择忽略提醒，因为从道德和法律层面上，商业公司是不会将获取的用户信息泄露出去的。 诺顿犯的这个“重大的低级错误”，其实就是证实了微软的简体中文版XP系统存在“木马行为”。诺顿全球安全响应中心负责人Vincent Weafer的解释是：“此事件中，我们的工具主要是查DNA，而不是看有没有数字签名和版权。” 此前，一位美国科学家称微软公司在它的 Windows软件中加上秘密“后门”，以便美国国家安全局（NSA) 可以随意进入用户的操作系统并偷看用户的敏感电脑资料。微软也承认Vista的研发得到了上述秘密组织的大力帮助。NSA表示，它帮助微软开发了新版操作系统的安全保护功能，比如防护蠕虫、木马及其它的恶意计算机攻击等——微软安全了，美国才安全。 但问题或许还不仅仅是对信息安全的担心这么简单。 2006年2月，中美首轮贸易磋商在北京举行，以反盗版、假冒为核心的知识产权保护问题再次成为中美间贸易谈判的焦点，美国贸易代表办公室摆出强硬姿态，声称要把中国告上WTO，并要求美国在华企业收集中国侵权知识产权的证据。 2007年4月，美国向世贸组织递交了争端解决申请书。美国商务部助理部长透露，美国政府起诉中国政府，获得了美国企业的支持，他例举了三个企业的名字：微软、美国联合汽车工业公司、辉瑞制药有限公司（伟哥）。 2007年5月，诺顿杀毒软件“误报”微软WIN XP操作系统存在木马行为。 而国内的安全软件厂商此时却不合时宜的站出来，为了商业利益大打口水仗，将矛头对准诺顿。其实，对于中国用户来说，更希望国内的安全软件厂商告诉用户，微软的简体中文版XP系统是否真正安全，那个升级补丁里，到底藏了什么？ 2007年5月18日由于诺顿杀毒软件“误杀”Windows系统文件，引发大规模电脑瘫痪…，这几天大家都看到媒体和各杀毒厂商一个个抓住这个机会拼命整赛门铁克，都在谈索赔问题。 从种种迹象来看，也许赛门铁克并没有出错，那两个文件极有可能是美国政府下令微软在简体版里植入的后门来监控中国网络信息的，赛门铁克做为世界第一大和最老资格的杀毒厂商，手中掌握的病毒库是其他杀毒厂商无法比的，他的技术实力也是非常雄厚的。这次所谓的误杀门事件并不是由赛门铁克的杀毒引擎所杀，而是由18号更新的病毒库导致的，一般赛门铁克内部检测定义一个病毒除特征外还要有三道程序机制，除非技术人员反复确认这两个文件里有木马或后门特征是不会把他列为威胁的。 Symantec在杀系统文件时显示的病毒类型为：Backdoor , 后门类型病毒，就是说赛门铁克在这两个文件里发现了后门类型病毒的特征。 为什么赛门铁克其他系统文件不杀?就杀了那两个关键性的核心文件?一杀系统就完了，无法启动?唯一解释只有基于启动时加载内存的系统底层核心文件才这样。 诺顿是微软最高级的安全方面核心合作厂商，因此它的杀毒软件在某些方面工作比较特殊。比如在杀毒软件的安装，使用和功能实现方面，大部分厂商采用的是中间件技术，在系统底层与非自身应用程序之间作为中间件存在并实现其功能；另有一些厂商使用的是应用程序或者嵌入技术，相对而言这种方法安全性较低，诺顿采用了基于系统最底层的系统核心驱动，这种实现方式是最安全的或者说最高级的实现方式，当然这需要微软的系统源代码级的支持（要花许多money），业界公认，这是最稳定的实现方法，但从目前而言，只诺顿一家。 这也就是说，微软给了他大量的底层源代码，而赛门铁克正是基于系统核心层开发，所以才有这么好的稳定性,和WINDOWS系统兼容性最高，cpu占用率是最底的。因此赛门铁克对微软的底层核心层非常了解。只有非常了解微软的底层核心代码才能找到一般杀毒软件所无法找到的后门病毒。 而微软新一代操作系统Vista对系统内核的锁定，在赛门铁克无法掌握大量内核代码的情况下，导致赛门铁克与Vista的稳定性和兼容性都不如以往。再也无法在杀毒软件市场中独占螯头。 微软的系统几乎全世界的政府和个人都在用，他也是美国政府所支持的，说它在系统里没放后门，打死我都不相信，再说了，USA不是天天说要搞电子战，信息战吗？以美国的技术优势是不可能放过操作系统这种辐射性最强的东西了。 联想到欧盟曾经几次要求过微软对其开放核心源代码，要不然就要制裁微软，相信欧盟对微软的win系统也很不放心呀! 其实中国政府也一直相信微软在系统里设有后门，所以在没有办法的情况下，才要网络的军用线路与民用线路物理隔绝。大家还记得，曾经中国政府在美国卖给中国的波音飞机里发现上千多个窃听器？导致两国的外交尴尬。那么有此推理，美国政府也完全可以在操作系统里设有后门，监视中国的一举一动。 所以，这次误杀门事件发生后，中国的信息安全部门曾说过，要对这两个文件仔细研究…………23日cctv新闻。 还好，据说现在中国政府要换SUN公司给中国政府特别开发的操作系统了。SUN一直从事服务器系统范围，在全世界的信誉一直很好。而且源代码对中国政府开放。所以比较放心。 该交易内容为：Sun将与中国标准软件公司(China Standard Software)合作，向中国政府销售以Linux为基础的桌面操作系统。Sun将帮助中国政府建立一个开放性的、便宜安全的操作系统。Sun公司CEO麦克尼利在访华时明确表示，将向中国政府开放所有Sun拥有知识产权的Solaris源代码。Sun称，我们这样做的目的是让友商放心，让政府放心。言下之意就是告诉合作伙伴，我们不搞垄断，不会卡你们的脖子，同时也请政府放心，我们不会在软件里安放什么后门，危及国家安全，我们的代码都在那摆着，你大可以放心使用。而除中国外，韩国、日本、越南、以色列、印度等国家也开始着手进行类似国家信息安全计划。 以上我所猜测的没错的话，那么Symantec拒绝道歉倒也情有可原了，毕竟是吃了哑巴亏，因为它的确没错呀。只是能力太强了。出了问题，涉及到美国国防安全，美国政府完全有理由不让它泄密，让它掩盖事实，只是倒霉的是Symantec自己，和它的声誉。 由误杀门事件联想到的是，万一发生台海战争，只要美国政府一动动手指，那么中国90%的电脑全部GAMEOVER！

:( :(

开后门的~

很有可能:(

中国政府确实应该如此，老美的微软怎能让人放心，物竞生存的世界。 太危险，完全被动的， 几时能有民用的安全而方便的操作系统呢，

一则《大家注意了：微软窃取我国家机密》的帖子6月5日惊现网络，引起中国网民热议：被诺顿曝出“后门”的微软中文版操作系统程序，是不是内置了美国政府定向监视中方的秘密程序？事件的缘起是，不久前，诺顿杀毒软件将微软视窗两个系统程序当作特洛伊木马病毒加以杀除，导致用户系统瘫痪；诺顿承-认“误报”病毒。 　　星岛环球网报道，中国数字化产业研究专家姜奇平在《第一财经日报》撰文指出，一开始，人们都将矛头指向杀毒厂商，谴责它们不负责任。但相关杀毒软件厂商的某种保留态度耐人寻味：他们只承认在病毒这一点上是“误报”，但并不承认在安全问题上是误报。换句话说，这等于暗示，如果有人（美国政府或微软）有意设计了对用户不安全的程序，虽然不算病毒，但完全在安全报警范围内。 　　理由有两点。第一，程序的性质是“后门”。所涉及的两个系统程序，特别是其中的lsasrv.dll，正是用于本地安全密码验证的文件，作为恶意软件的特征报的是“backdoor.haxdoor”。后门的作用，与“特洛伊木马”的作用是一样的，都是秘密潜伏在敌营内部发挥作用。 　　考虑以下因素，一是微软程序员Ferguson以往曾提及，“我们也征求了执法机构的意见。他们表示他们还是希望能够读出BitLocker加密的数据，并且他们希望我们对此有所准备”。 　　二是有消息称，一位美国科学家称微软公司在它的Windows软件中加上秘密“后门”，以便美国国家安全局（NSA）可以随意进入用户的操作系统并偷看用户的敏感电脑资料。微软也承认Vista的研发得到了上述秘密组织的大力帮助。NSA表示，它帮助微软开发了新版操作系统的安全保护功能。我们已经注意到微软一直表白自己不在操作系统中开发后门程序，但自己不开发，不等于不采用别人开发的类似程序。三是2006年BBC新闻广播报道，英国政府就操作系统中（设计）后门问题与微软展开了讨论。有此先例，因此这个问题不是凭空提出的。 　　第二，程序的对象是中国大陆。问题发生在简体中文版，比较英文版和简体中文版，lsasrv.dll大小相差22k，欧美用户和港台用户没有出问题，令人怀疑这个Backdoor（后门）是专门针对中国大陆的；而且有网友根据局部测试反映，“此事件系统崩溃的电脑基本都是安装了上海政府版 WindowsXP Professional系统，而安装联想OEM认证home版的WinXP以及其他Windows版本的系统就没有出现问题”。 　　因此有人怀疑，这两个被报“后门”的程序，是否是专门针对中国大陆甚至中国政府编写的？意图何在？有人呼吁，鉴于已涉及政府采购软件，建议微软根据开源先例，向中国政府公开这两个文件的源代码，以证明清白。在此之前，呼吁政府暂缓强制推行Vista升级。 　　“后门”被揭露，有一定偶然性。由于合作关系改变，赛门铁克无法像以往那样，与微软在内核代码级配合，因此出现这次“误杀”，无意中“走火”暴露了微软系统级上这个不是特洛伊木马的“特洛伊木马”。

自己研究

要提高警惕！

感谢ZB的投递 新闻来源:CSDN 今天在CSDN上看到了王开源先生的一篇文章，“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后，首先，我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。任何时候，都让我们摒弃一些浮躁，扎扎实实的从技术做起，这样对我们的软件产业才最有好处。 下面给大家分析一下Norton这次事件技术细节。 首先，Norton误报的这两个系统文件分别是： Netapi32.dll，这是Windows系统用来提供基本的网络功能API的系统文件。 Lsasrv.dll，这是Windows系统用来提供本地安全功能，如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。 这两个文件都是非常重要的系统文件，一旦被破坏，系统将不能正常启动。 其次，我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串，对程序特定区域的一个Hash，仿真运行（Emulation）时的一段特定指令，等等。 那么，特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠，不会有误报的话，那么最安全的特征代码就是对整个病毒文件的一个HASH，如MD5或SHA1。但是这样的话，这个特征码就只能检测到这一个特定的病毒文件，而不能检测到任何的变种。如果想提高特征码的普遍性的话，就只能对病毒文件某一特定区域提取，例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是，也就有可能发生误报。 所以说，防病毒产品的误报（False Positive），并不是一个新闻。Symantec发生过，McAfee发生过，微软的Onecare也发生过。 第三，为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史，看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明，由于我并不在Symantec工作，以下的我个人的估计，也有可能与事实有所出入。 这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。 Windows Local Security Authority Service Remote Buffer Overflow http://research.eeye.com/html/advisories/published/AD20040413C.html 要想利用这个安全漏洞，需要一个定制的DsRoleUpgradeDownlevelServer（Lsasrv.dll中的一个函数）的实现。为了做到这一点，攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此，利用MS04-011的病毒往往会包括三个程序， 病毒的主体（网络扫描和发送Shell Code） 一个修改过的Lsasrv.dll实现 一个修改过的Netapi32.dll实现 反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办，对于后两个文件，也就是修改过的Lsasrv.dll和Netapi32.dll，特征码的提取就要非常非常小心了。这是因为，这两个文件，和原始版本的真正的系统文件，差别非常小，只在很少几个地方修改过。如果不注意的话，特征代码提取到了没有修改过的文件部分，这个特定代码，就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改，提取特征代码不注意的话，那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。 最后，我想说两句题外话，如果你想要了解操作系统的工作原理（现代操作系统的工作原理和体系结构都是类似的，不管是Linux还是Windows），网上的资料，公开的Symbol文件，一个好的debugger，如WinDBG，一个好的反汇编程序，如IDA，可以告诉你想知道的所有信息，只要你花时间钻研技术。

我想知道现在的若顿软件还可以继续用吗？:o