Antsight From Land

MT 升级到3.31

2006-07-21T10:24:38+08:00

Atom 1.0 的输出缺少XML:LibXML，RSS 2.0的输出似乎也有问题，现在还不是全文输出。测试一下，调整好了，:D。

Google 收购 Writely

2006-03-10T06:20:14+08:00

好消息啊，原来还担心Beta之后Writely开始收费，到了Google手中，就放心了。Google 有GDrive，速度和容量不会有问题，之后就是Gmail+Writely+CL2+GDrive等各种帐户应用的整合了吧。

微软发布WMF漏洞补丁

2006-01-07T10:06:39+08:00

微软提前发布针对WMF漏洞的补丁程序，命名为MS06-001。用户可以通过Windows更新程序安装该补丁，也可以到该地址下载安装。

微软曾经预告是在习惯性的星期二（1月10日）发布该补丁的。这次提前发布，微软的公开说明是：“首先是我们相信这个更新的质量，团队工作地非常努力，我们关注的所有情况都已经测试通过。第二是因为虽然还没有紧迫的威胁，一些用户已经通过防病毒软件，入侵检测系统和入侵预防系统发现了入侵企图”。从实际角度来看，ISC 的安全级别一直设定为黄色告警，以及非官方补丁的流行对微软的声誉产生了极大的影响。

WMF FAQ (中文版)

2006-01-03T16:21:59+08:00

翻译自ISC WMF FAQ英文版。

为什么这个问题很重要？

WMF漏洞利用程序使用图片(WMF 图片)来执行任意代码。在我们观看图片的时候它就会执行。大部分情况下，不需要经过点击。甚至存储在系统中的图片也会被索引系统触发而执行。在资源管理器中以图标方式查看也会导致恶意代码的执行。

使用Firefox或者IE会更好吗？

IE会在浏览图片的时候，不经过任何警告就导致恶意程序执行。新版本的Firefox会在打开图片之前提示是否执行。不管怎样，大部分情况下这只会起到很少的保护作用，因为图片总是被视为“安全”的。

影响到哪些版本的Windows？

所有版本。Windows 2000, Windows XP, (SP1 and
SP2), Windows 2003. 所有版本都会有一定程度的影响。Mac OS-X, Unix 和
BSD 不受影响。

注意：如果你还在使用Win98/ME，这是一个分水岭：我们相信（没有经过测试）你的系统是有漏洞的，而且微软不会提供补丁。其它的选择很少，看来真的需要升级了。

怎样才能保护自己？

微软还没有发布补丁。Ilfak Guilfanov提供了一个非官方的补丁。经过SANS的Tom Liston审查和测试的版本可以从这里下载(现在是v1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP 签名(signed with ISC key)在这里 here. 感谢Ilfak Guilfanov提供这个补丁！！
可以注销相关的DLL。
病毒检测程序提供了一些防护。

注销DLL:

点击“开始”，点击“运行...”，输入“regsvr32 -u
%windir%\system32\shimgvw.dll”（不要引号，路径在%windir%\system32\shimgvw.dll），点击确定。
出现一个对话框确认注销过程成功。点击“确定”关闭对话框。

当前的“最佳实践”是同时注销DLL和安装非官方补丁。

非官方补丁的工作原理怎样？

wmfhotfix.dll会注入到任何加载user32.dll的进程中。这个DLL会修补（在内存中）gdi32.dll的Escape()函数，从而使得进程忽略任何使用SETABORTPROC (ie. 0x09) 参数的调用。这将允许Windows程序显示WMF文件，但是阻止恶意代码的执行。这个版本的补丁源代码经过了仔细的检查，并对所有版本的恶意程序进行了测试。可以在WinXP (SP1,SP2)和 Win2K系统中使用。

注销DLL（不使用非官方补丁）可以提供足够的防护吗？

可能行，但不是十分安全。需要明确的是：我们有很强的预感，简单的注销shimgvw.dll并不总是有效的。.dll会被恶意程序或者其它安装的程序重新注册，这就可能导致在这些重新注册了DLL的系统中允许恶意代码的执行。另外一种可能是存在其它利用gdi32.dll中Escape()函数的攻击方法。在微软的补丁发布之前，我们建议在注销shimgvw.dll的同时使用非官方补丁。

是否应该仅仅删除这个DLL？

这也许不是一个坏主意，但是Windows的文件保护机制可能会使它重新回来。你需要首先关闭Windows的文件保护功能。并且，官方补丁出来后需要替换这个DLL。（改名，而不是删除可能对将来的恢复更好）。

是否我应该阻止任意 .WMF图片？

这可能有用，但还不够。WMF文件使用一个特殊的文件头来识别，并非通过其扩展名。WMF文件可以使用任意扩展名，或者嵌入到Word和其它类型的文档中。

什么是DEP（数据执行保护），这个会有帮助吗？

Windows XP SP2中，微软提供了DEP。它通过防止“数据段”的执行，防护很大范围的恶意程序。然而，它需要硬件支持来很好的工作。一些CPU，例如AMD的64位CPU，可以提供完整的DEP功能，从而防止恶意程序的影响。

防病毒产品对这个漏洞的防护如何？

当前情况下，我们注意到一些版本的恶意程序不会被防病毒引擎检测到，希望他们能很快赶上。要捕捉到所有版本的恶意程序，是一个艰苦的过程。更新反病毒系统是必须的，但可能还不够。

恶意WMF文件会怎样进入我的系统？

有多种方式，很难一一道尽。E-mail附件，网站和及时通信程序是最可能的来源。同时不要忘记P2P文件共享和其它来源。

告诉用户不要访问非信任网站是否足够？

不，这有一定作用，但还不够。我们知道至少有一个广受信任的站点(knoppix-std.org)有这个问题了。该网站被添加了一个页面框，将用户引向一个包含恶意WMF文件的站点。“信任”网站以前就是这样被利用的。

WMF图片到底有什么问题？

WMF图片和其它图片有些不同。其它图片仅仅包括“某一点是何颜色”信息，WMF图片可以调用外部过程。其中的一个过程调用能够可以用来执行任意代码。

我应该使用“降低权限”类似功能来减少这个漏洞的影响吗？

这是肯定的。在进行日常工作时，不要使用具有超级用户权限的帐号。但是，这只能限制这个恶意程序的影响，而不能阻止。并且：网站浏览仅仅是触发恶意程序的一种方式，如果一个恶意的图片进入你的系统，并且后来管理员使用某种方式“看”了这个图片，就“中招”了。

服务器有这个漏洞吗？

也许... 你允许上载图片吗？邮件？这些图片会被索引吗？你有时在服务器上使用浏览器吗？总而言之：如果有人上传了一个图片到你的服务器上，如果具有漏洞的DLL访问了它，你的服务器就有麻烦了。

在网络边界/防火墙怎样保护我的网络？

没有很好的办法。代理服务器的脚本可以过滤网站的所有图片？可能你的用户会不高兴。如果代理具有病毒检查功能，也许可以起作用。邮件服务器也一样。你给用户发起外部连接的权限越少越好。对用户工作站进行紧密地监控可以在工作站被感染的时候尽快得到信号。

可以使用IDS来检测这个恶意程序吗？

很多IDS厂商在发布这方面的检测规则，联系你的厂商以获取详细信息。Bleedingsnort.org 在为snort用户不断提供并改进这些规则。

如果我中招了，怎么办？

没啥特别的办法, :(。办法依赖于具体的恶意程序种类。大部分的恶意程序会下载其它组件。这使得我们很难甚至不可能找到一种统一的方法。微软对这个问题提供免费的支持，电话是：866-727-2389 (866 PC SAFETY).

微软提供了什么信息？

http://www.microsoft.com/technet/security/advisory/912840.mspx
目前为止，还没有提供补丁程序。

CERT怎么说？

http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560

我的Firefox 扩展

2006-01-03T00:55:44+08:00

看到大家在列出自己的使用的Firefox扩展，也下载ListZilla，展出一下。我是经常给同事和朋友推荐Firefox的，有人说我偏执，自己喜欢的东西就要别人使用。IE在他们的眼里是所有网站都可以美观显示，我这个人网站看得不多，经常看的那些在Firefox中都有很好的表现，而且喜欢把字体调的较大，这一点只有Firefox可以做到。其实我用Firefox主要是为了安全（参见这篇报告），这一点可能真有点偏执，不是信任的网站基本不允许Script运行。

Adblock Plus 0.5.10
Add N Edit Cookies 0.2.1.0
AJAX Yahoo! Mail [Viamatic WebMail++] 0.5
Coralize 0.5
CustomizeGoogle 0.40
del.icio.us 1.0.2
Download Statusbar 0.9.4
FlashGot 0.5.9.99
IE Tab 1.0.6.4
LinkChecker 0.4.5
ListZilla 0.7
Live HTTP Headers 0.11
NoScript 1.1.3.5
PDF Download 0.5.1.2
Performancing 1.0.1
ScrapBook 0.18.3
Talkback 1.5
Tamper Data 0.93
Web Developer 1.0
xyzproxy 1.12

WMF 漏洞补丁

2006-01-01T18:26:06+08:00

根据微软的公告，Windows的各个版本中存在的图形处理引擎对Windows Metafile(WMF)图形文件进行处理的时候会导致任意代码的运行。这对浏览器用户是非常危险的，在您浏览网站的时候，恶意网站上的图形会导致客户端计算机被远程控制，数据泄密等威胁。由于微软目前没有提供一个好的补丁程序，ISC的预警信号两次调整为黄色。

在微软的公告中，提出的暂时解决方法是注销Windows图片和传真查看器（运行：regsvr32 -u %windir%\system32\shimgvw.dl，需要管理员权限）。这个方案是有效的，但会有一些负面效果就是图片预览功能消失，如果图片的缺省查看程序是这个程序的话，会出现双击打不开图片的现象。

今天出现了一个非官方的补丁。该补丁的作者是著名的反汇编调试程序IDA Pro的作者，在Sans.org和F-Secure的Blog上都有推荐，应该没有问题。该补丁程序以后是可以卸载的，下载地址在这里，建议使用。

修订：hexblog上发布了修订的1.3版本，增加了对Windows 2000 SP4的支持。同时提供了一个漏洞检测程序。

MSN Messenger 8 beta 病毒

2005-12-27T21:00:47+08:00

今天从F-Secure Blog看到，MSN Mesenger 8的Beta版还没有发布，网上流传的只是伪装的病毒。这个病毒会通过MSN的联系人进行传播，而且感染的机器会变成botnet的一员。前一段时间MSN Messenger不稳定，现在切换到GAIM 2.0Beta，感觉真不错，竟然可以学习聊天对方的表情字符，:D。

34个好习惯

2005-11-11T07:15:37+08:00

车东[Blog^2]: 34个好习惯

1. 不说“不可能”三个字。
2. 凡事第一反应：找方法，而不是找借口。
3. 遇到挫折对自己大声说：太棒了! 　
4. 不说消极的话，不落入消极情绪，一旦出现立即正面处理。
5. 凡事先订立目标，并且尽量制作“梦想版”。
6. 凡事预先作计划，尽量将目标视觉化。
7. 工作时间。每一分，每一秒都做有利于生产的事情。
8. 随时用零碎的时间(如等人、排队等)做零碎的事情。
9. 守时。
10. 写下来，不要太依靠脑袋记忆。
11. 随时记录灵感。
12. 把重要的观念，方法写下来，并贴起来，以随时提示自己。
13. 走路比平时快30%，走路时脚尖稍用力推进，肢体语言健康有力，不懒散，萎靡。
14. 每天出门照镜子，给自己一个自信的微笑。
15. 每天自我反省一次。
16. 每天坚持一次运动。
17. 听心跳一分钟，指在做重要事情前，疲劳时，心情烦躁时，紧张时。
18. 开会坐在前排。
19. 微笑。
20. 用心倾听，不打断对方说话。
21. 说话时声音有力。感觉自己声音似乎能产生有感染力的磁场。
22. 说话之前，先考虑一下对方的感受。
23. 每天有意识，真诚地赞美别人三次以上。
24. 及时写感谢卡，哪怕是用便笺写。
25. 不用训斥，指责的口吻跟别人说话。
26. 控制住不要让自己做出为自己辩护的第一反应。
27. 每天做一件“分外事”。
28. 不管任何方面，每天必须至少做一次“进步一点点”。
29. 每天提前15分钟上班，推迟30分钟下班。
30. 每天在下班前用5分钟的时间做一天的整理工作。
31. 定期存钱。
32. 节俭。
33. 时常运用“头脑风暴”。
34. 恪守诚信，说到做到。

-----------------------------------------------------------
每天读一遍，坚持读一周先。

中文网志年会

2005-10-16T12:35:30+08:00

很久没写Blog，但是我每天的新闻主要来自Bloglines定阅的Blog。中文网志年会在上海召开，而且主讲人员多是我所敬佩的Blogger，就报名了。今天看到与会者的Blog地图将我也列在其中，感到既高兴又惭愧。

多谢了！

对日本的态度

2005-04-23T22:29:44+08:00

看到一个新闻，中国IT博览会拒绝日本厂商，表示支持。

INQ报道－－鉴于日本拒不承认二战罪行，与中国关系日益紧张，在深圳举行的China IT Expo 2005（中国IT博览会2005）将拒绝日本厂商参加。 China IT Expo 2005的主办方已经明确告诉日本企业，此次展览将不“邀请”他们出席。拒绝原因主要是日本试图通过修改教科书而掩盖历史的行为令中国十分不满。展会一位经理称，“鉴于日本政府的行为，我们将在此次展览上抵制日本公司参与。”日本日报报道。

愚人节的故事

2005-04-02T13:50:03+08:00

Google 喜欢在这一天宣布一些好玩的事，但同时也是假戏真做，Gmail的容量还在上升，目前已经到了1872M。大半年下来，我用的容量还在15M左右，在maillist订的邮件基本放在gmail，前一段时间还有选择的删除一些，现在看来可以放心使用很久了，在此对Google公司表示感谢!

这是个西方的节日，本来也没在意，不过昨天还是被小骗一回。今天看到几个好玩的故事，记录下来和大家分享（哈哈）：

严刑峻法

2005-04-02T13:05:55+08:00

昨天晚上看“财经郎咸评”讲到美国的证监会对上市公司和从业公司采取严格的监管制度，如果现有违规行为，将处以重罚。如果被怀疑有鲁莽行为，一个股民也可以控告一个上市公司，上市公司则需要进行无罪举证，这些上市公司的每一个案件都会消耗上百万美元。在这样的环境下，那些上市公司和华尔街的金融公司都很乖，一旦受到美国证监会的警告，马上乖乖交罚款。同样的是这些公司到了亚洲（比如香港），却开始翻云覆雨，操纵股市。

在中国这个空子就更大了，从今年的315晚会来看，很多企业根本就是在明着对消费者进行欺诈，却没有受到相应的惩罚。那个海南锦绣大地公司骗了多少农民的血汗钱，通过315晚会，这些被欺骗的农民得到的也仅仅是零星的司法援助。在这样的环境下，国外的公司到中国也是这个样子，拿低质高价的产品在中国销售，贿赂中国官员，忽视中国消费者的利益。

以我们熟悉的微软公司为例，上个月末发布Windows Server 2003 SP1，可就是没有中文版本。无可否认，2003英文版、德文版的销量肯定比中文版要多，但是中文版用户的安全性就没有英文版用户的安全性重要吗？

Windows vs Linux

2005-03-27T21:24:20+08:00

从Slashdot看到，关于Windows比Linux更安全的报告是来自微软的资金赞助。这个结果用脚指头也能想的到，微软做这个事也不是一两次了。Windows在SP2发布后，对终端用户的安全保护有所提升。但是我还是宁愿选择Linux作为桌面，这是因为：

使用Linux会使你对系统更加了解
微软总是在为用户做出决定，比如限制发送Raw data，降低网络性能
Linux的补丁更加迅速，很快会对社区做出响应，而IE全年时间98％有隐患
微软总有这些暗箱操作，忽略广大用户的利益
Linux下工具众多，更加好玩
使用Linux不会被别人问：“这份Windows合法吗？”
...

Google 的优势所在

2005-03-12T11:32:11+08:00

Zheng 曾经列觉了他使用的众多Google服务和产品：

用Google来搜索，阅读新闻，用Blogger.com来记录/书写，用Gmail来收发存储信件，看Group的讨论，用Picasa来管理自己的图片，加入Orkut这个社会性网络，利用Desktop进行本地的搜索，加入Adsense计划获取广告收益。

我用的少一些，只有搜索和Gmail每天用，Picasa和GDS Linux下不能使用，新闻还是新浪和Bloglines看的多。但是为什么我们使用Google？在Google搜索之前我们不是有Yahoo, Infoseek, Ask, AltaVista, Sohu。Gmail仅仅是1G容量的Email服务吗。桌面一直是微软的天下，他能搜得过微软吗？为啥那些大中小网站都用Google Adsense的服务。

从我个人观点角度来考虑，Google 不但拥有高超的技术，一流的人才，还有为用户着想的态度，所以他们的产品一旦推出就会成为标准。

微软并购 Groove Networks

2005-03-12T10:31:02+08:00

从Keso的昨日新闻看到“微软高层发生变动雷－奥齐宣布将出任CTO”。以前的报道都将雷－奥齐放在盖茨的对立面，盖茨／微软更多是个散发铜臭的商人，而雷－奥齐则是个纯粹追求新技术的人，但没人否认他们都是技术方面的天才。 Groove推出市场已经有四年多时间了吧，并没有吸引很多的眼球，这次两个人走到一起，一定会有更多新产品和理念问世。