重装系统都杀不掉的十大病毒。最近国内出现一种名叫谍影的电脑病毒，它寄生在主板BIOS芯片里，生命力极其顽强，无论重装系统，还是格式化硬盘，都无法把谍影病毒杀掉。

　　其实在电脑病毒历史上，类似谍影病毒一样打不死的小强还真不少。这也提醒我们，平时一定要勤打补丁，不要随便下载安装一些可疑来源的软件，更不能为了用外挂而关掉安全软件，否则很可能遇到顽固病毒，给自己的资料和账号带来损失。

　　重装系统也杀不掉的十大病毒盘点：

　　BIOS病毒：BIOS是电脑基本输入输出系统，安装在计算机主板的芯片上，提供最底层的、最直接的硬件设置和控制。这是一个格式化硬盘也无法触及的高地，典型的BIOS病毒包括CIH、BMW(mebromi)和谍影。

　　一、CIH

　　1998年出现的CIH可以说是臭名昭著，它是首例破坏电脑硬件的病毒，从磁盘主引导区开始依次在磁盘中写入垃圾数据，直到磁盘数据被全部破坏为止。有些品牌的主板BIOS也会被CIH破坏。CIH最早是通过盗版光碟传播，在全世界范围造成了极大损失。

　　二、BMW

　　2011年，第一个真正意义上的BIOS rootkit在中国出现，这个病毒被360称为BMW(连环感染BIOS、MBR、Windows)，赛门铁克对其命名为Mebromi。与CIH相比，BMW的危害更大，它会联网下载任意程序，不仅可以窃取或破坏硬盘数据，还可按照黑客指令实施盗号、远程控制肉鸡和篡改浏览器。

　　三、谍影

　　在CIH和BMW病毒之后，BIOS早已成为安全软件严防死守的重地，任何程序都无法随便去改写BIOS。于是，寄生在二手主板的谍影病毒出现了。谍影病毒被预先刷入主板中，再通过电脑配件网店销售，它的显著特征是会生成一个名为aaaabbbb的系统账号，任由黑客远程控制。

　　MBR引导区病毒：MBR是磁盘主引导记录，作为一个特殊空间，它不属于磁盘上的任何分区，重装系统是无法清除MBR里的恶意代码的。对付MBR病毒，一般需要使用360系统急救箱之类的工具对MBR进行清理修复。典型的MBR病毒包括鬼影、魅影、魔影和暗云。

　　四、鬼影

　　2010年初，鬼影病毒在国内现身，它具有“无文件、无系统启动项、无进程模块”的特点，一旦中招就像鬼影一样阴魂不散。此后，鬼影病毒家族又不断升级换代，到2012年，鬼影病毒家族已发展到第六代，之后才销声匿迹。

　　五、魅影

　　魅影同样是寄生在MBR里的病毒，但它相比鬼影更加温柔，既不加载驱动，也不暴力破坏安全软件，只是默默地刷广告赚钱。

　　六、魔影

　　魔影又名TDSS.TDL-4，它的技术水平又大幅超越了鬼影和魅影。它是首个感染64位系统的MBR病毒，还会制造出MBR一切正常的假象，对杀毒软件具有很强的迷惑性。值得一提的是，微软专门制作了一个防御鬼影的补丁(KB2506014)，然而这个补丁在发布后第二天就被魔影病毒作者攻破了。

　　七、暗云

　　暗云属于近年来比较活跃的MBR病毒，它的主要特点是云端控制，MBR里的病毒代码非常小巧简单，唯一作用就是从云端下载黑客指定的文件，具体做哪些坏事，完全由暗云从云端下载的病毒模块完成。

　　全盘感染型：电脑磁盘遍布病毒代码，即使重装系统，一旦打开非系统盘里被病毒感染的文件，病毒又会重新激活，因此需要使用杀毒软件全盘扫描把病毒代码查杀干净。典型的全盘感染型病毒包括熊猫烧香、机器狗、犇牛。

　　八、熊猫烧香

　　2007年发作的熊猫烧香让人记忆犹新，它是一款经过多次变种的蠕虫病毒，会全盘感染exe、html、asp等文件，还会在磁盘各个分区下生成autorun.inf和setup.exe，在电脑里埋下无数病毒的种子。

　　九、机器狗

　　机器狗是可以穿透各种还原软件与硬件还原卡的病毒，主要活跃在2007到2008年，据称给国内网吧造成数十亿元的损失。它采取了还原恢复、网络、感染exe等多种方式传播，因此重装系统也很容易重复感染病毒。

　　十、犇牛

　　2009年春节后，一款名为犇牛的病毒瞬间感染数十万台电脑，一时间谈牛色变。犇牛使用了dll劫持的攻击方法，在所有非系统盘的文件夹里释放usp10.dll或lpk.dll文件。即使重装系统，一旦病毒的dll文件被加载执行，犇牛立刻又会满血复活。

　　分享一些支持企业安全工作的免费工具。其实网上有很多非常实用的免费安全工具，如果要全部介绍这些工具的话，可能一天一夜的时间都不够。虽然现在也有很多公司会通过试用版软件来“勾引”用户去购买他们完整功能的产品，但是目前市面上仍然有很多功能强大的免费安全工具，包括情报工具、在软件开发阶段保证安全性的工具、渗透测试工具和取证工具等等。

　　工具简介

　　威胁情报工具包括AlienVault的Open Threat Exchange(OTX)，这个工具实际上是一个计算机安全平台，它可以收集并共享互联网威胁情报，类似的平台还有Hailataxii和Cymon.io等等。除此之外，我们还有很多静态应用程序安全测试(SAST)工具可供选择，开发人员可以用这些工具来测试采用不同编程语言(C/C++、Ruby on Rails或Python等)开发的软件。就渗透测试而言，我们通常选择使用Nmap安全扫描工具和Wireshark网络协议分析工具。专门的分析取证产品包括GRR远程取证框架、Autopsy和SleuthKit等，这些工具可以对硬盘驱动器和智能手机进行取证分析，而Volatility Foundation的开源框架则可以对系统内存进行取证分析。

　　威胁情报工具

　　安全厂商可以对威胁情报进行分析，并为相应的威胁信息创建签名，而他们的安全检测工具就可以利用这些签名数据来检测安全威胁了。AlienVault的Open Threat Exchange(OTX)平台可以收集并与社区共享互联网威胁情报信息，这个项目目前总共有来自140个国家的47000多名参与者，这些参与者每天都会贡献超过4百万个威胁情报标识。当新型威胁出现时，这种形式的资源共享可以帮助企业和安全厂商快速地对这些安全威胁进行识别和响应。

　　CyTech Services的首席执行官Ben Cotton(注册信息系统安全专家，CISSP)也表示：

　　“AlienVault的OTX平台在共享威胁情报标识(IoC)方面做得非常的好。安全产品可以通过OTX所提供的IoC来增强自身的检测能力，并更好地检测新型的安全威胁。”

　　eSentire的Cymon.io同样也提供了大量免费的威胁情报信息，根据其官网所提供的数据，当社区成员发现了新的恶意活动或病毒感染源，他们便会立刻将相应的标识添加到Cymon.io的数据库中。

　　Cymon每天都会从180个不同的领域来获取安全威胁情报信息，这些领域包括公共产业、政府机构、以及商业威胁情报来源(例如VirusTotal、Phishtank、blacklists以及各大反病毒厂商的安全报告)等等。Cymon可以利用这些威胁情报来追踪恶意软件、网络钓鱼、僵尸网络、以及垃圾邮件等恶意活动，Cymon的数据库每天都会新增超过2万个独立的IP地址，到目前为止，Cymon总共有超过6百万个登陆IP，并且记录了超过3370万次安全事件。

　　Cotton还表示：

　　“在我看来，除了OTX之外，Hailataxii.com也是一个非常棒的开源威胁情报资源库。但Cymon.io同样做得非常好，我认为作为一个威胁情报共享平台来说，它与AlienVault的OTX和Hailataxii一样的优秀。”

　　在软件开发阶段增强安全性的工具

　　现在也有很多静态应用程序安全测试(SAST)工具可供广大开发人员使用，开发人员可以在软件的编码阶段利用这些工具来测试自己所编写的软件安全性是否到位。Cigital的资深安全顾问Meera Subbarao认为：“目前世界上最为流行的JavaSAST工具就是FindBugs和PMD了。这些SAST工具大多都可以以插件的形式添加到开发人员所使用的IDE内，这样就可以更好地帮助他们在开发应用程序的过程中保证编码的安全。当然了，除了针对Java的SAST工具之外，也有很多专为Python、Ruby on Rails、C/C++、JavaScript、以及.NET等编程语言的SAST工具。”

　　专为渗透测试/渗透测试人员而生的工具

　　通过对产品进行渗透测试，安全人员可以赶在黑客之前发现产品中存在的安全漏洞。安全专家使用最广泛的就是开源的Nmap安全扫描器了。Nmap由Gordon Lyon开发，它是一款专业的渗透测试工具，安全研究人员可以使用Nmap来扫描目标主机端口并定位网络漏洞。Cotton认为：“如果要进行网络漏洞分析的话，在所有的免费开源扫描工具中Nmap的效率是最高的。唯一不足的是，虽然Nmap可以扫描大型网络，但是它却没有提供与安全事件响应有关的功能。”

　　Wireshark是一款得到了广泛使用的网络协议分析工具，它同样是一款免费的渗透测试工具。该软件最初由GeraldCombs负责开发，目前由Riverbed负责维护。Cotton表示：“Wireshark可能是目前最好的网络数据包嗅探工具了。但是，Wireshark并不支持扫描文件大小超过100MB的数据包。”

　　分析取证工具

　　企业可以利用取证工具来调查过去所发生的或正在发生的安全事件。Google的GRR远程取证框架(免费，开源)提供了实时事件响应服务，我们可以通过GRR的python代理来与GRR的python服务器进行实时交互来获取这项服务。你可以在Windows、Linux、以及macOS系统中使用GRR代理，并对系统内存数据进行取证和分析。同样的，虽然它是一款非常优秀的工具，但是当GRR用于企业环境中时，其扩展性方面的问题就会暴露出来。Cotton认为：“一般来说，我们只会用GRR来处理十台左右的设备。”

　　通常情况下，我们会拿多种工具来配合使用。取证工具Autopsy和SleuthKit可以对计算机硬盘、智能手机、以及磁盘镜像进行分析，该产品支持Windows、Linux、以及macOS系统。Cotton说到：“这些工具只能帮助我们对十台以下的电脑进行分析，而且Autopsy和SleuthKit同样无法有效地处理大型网络中的问题。”

　　还有一款不得不提的内存分析工具，即VolatilityFoundation的开源框架。这款分析取证工具可以通过收集目标主机RAM中的数据来对正在运行中的系统进行剖析。它允许你从Windows系统中收集内存数据，并导出进程、开放端口、以及网络链接相关的数据，所以它可以帮助我们识别内存中正在运行的恶意软件。

　　Cotton解释称：

　　“我强烈推荐VolatilityFoundation的这款内存分析开源框架。但它的不足之处在于，当你需要开始分析数据之前，你需要创建当前的内存镜像，这样你才可以导出内存数据，并使用Volatility来对目标主机当前的RAM数据进行分析。”

　　这些免费的安全软件仍有很长的路要走

　　本文所列举出的免费工具几乎是每一位安全研究人员都使用过的，不仅是因为这些工具在开源软件项目中都是佼佼者，而且这些工具是全世界任何一个地方的人都可以免费获取和使用的。你可以使用这些工具来暂时填补企业中的安全空缺，并尽你所能地将组织或自身的安全做到你所能实现的高度。

　　关于容器安全的六大误解。现在很多企业仍褒有传统虚拟化技术比容器技术更为安全的想法。曾经在全球化学公司500强Albemarle公司任职首席信息安全官，目前在Twistlock任职CTO的John Morello表示，他撰写此文来揭开有关容器技术安全方面的很多错误认知，并且让读者将目光聚焦在企业真正应该关心的问题之上。

　　误解一：容器也能越狱（jailbreaks）

　　越狱听起来很吓人，但是现实中却很少发生。多数攻击是专门攻击应用的，如果已经入侵应用，又何需越狱呢？其实企业需要关心的问题是：明确黑客发起攻击的具体时间，以及系统是否已遭到攻击。

　　误解二：只有解决了多租户问题，容器才可以用于生产环境

　　没有一家企业真的因为多租户问题而困扰。其实，只要将应用拆分为多个微服务，并且将其部署在虚拟机里，问题即刻化解。

　　误解三：凭借防火墙就可以保护容器应用

　　容器应用经常在几秒内就会切换所在主机，甚至在有效负荷（payload）加密传输的状况下，防火墙都可以说是毫无用武之地的。容器安全性最终还是仰赖于对应用的感知力以及开发者的安全意识。

　　误解四：端点安全是一个保护微服务的有效方式

　　端点安全虽然很适合保护笔记本电脑、PC 以及移动装置，但是端点安全并不是为保护微服务而生。事实上，他们在针对微服务攻击时显得毫无用处。端点安全无法介入 Docker runtime 以及容器编排。

　　误解五：使用 Dockerfiles 的 FROM 指令加上 latest 参数就能取得最新版本

　　漏洞管理并非如表面上简单，源镜像（Source images）不一定永远都会随着项目更新。即使你使用了最新的镜像基础层，镜像中可能还有几百个组件并没有包含在你的基础层包管理器之中。由于环境变化频繁，传统的补丁管理方法基本没有什么效果。

　　为了解决这个问题你可以：

　　1）在持续集成（CI）的流程中找到漏洞。

　　2）一开始就使用 quality gates 来阻止那些不安全或者不兼容的镜像进行部署。

　　误解六：无法分析容器中的恶意行为

　　容器行为可以监控。有以下几个方法：

　　1）容器是声明式的：容器 manifest 详细描述了容器的行为，可以用来转换成一份安全配置文件。

　　2）容器是可被预测的：开发者常会把几个知名的软件组件组合成容器微服务来执行，容器部署比虚拟机部署更有规则可循。

　　3）容器是不可变的：容器只有在更新程式时才改变，一旦发现容器运作行为有变化，不是配置发生了变化，就是遭受了攻击。