freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新年大作战:抵制恶意推广,守护老爸的旧电脑
2018-02-14 08:00:21

每年过年回家,基本上都需要做一件事情:重新清理我爸电脑上的垃圾软件或者直接重装系统。

想我爸也是个国家级教师,平时工作使用电脑的频次并不低,却对于电脑这东西跟绝大多数父母一样,用电脑是没问题,面对如今各种捆绑安装、诱导性推广,防范意识却几乎为零。基本年初纯净如新的电脑,年底回来一看多了几个浏览器、多了几个杀毒软件、多了几个播放器、收藏夹里多了好多乱七八糟的推广书签。

dad.png 

我曾经想着,我是不是得一项一项的教他那些弹窗会有后台安装、那些情况带有捆绑,但五花八门的推广手段,我能说的也只是九牛一毛。有些事情,还是需要我们来解决。

想说一句煽情的话,不要打我:

父母守护了我们几十年,现在该我们来守护父母的电脑了。

老爸常见的中招方式

支付宝曾出了一份父母使用手册来让更多父母能够更好地使用支付宝,我觉得我们还是有必要让他们了解一些最常见的软件推广手段。

1.软件下载

我发现一个问题,虽然我给我爸电脑上安装了某数字安全卫士(别急着鄙视,家人使用其实还是很不错的),自带有软件商店,但我爸似乎从来没有在里面下载过软件,全都是打开浏览器百度。然后问题来了。

举个栗子,我爸基本上天天在QQ游戏里跟人下象棋,需要下载QQ游戏。理论上说,直接在官网下载是最安全的,不过出于其他你们懂的原因,根据关键字的搜索结果很多情况下官网并非排在最前面。

1.png2.jpg

基本上在没有防范的情况下,都会优先点击搜索结果靠前的链接。显然,上图中第一个链接是纯广告推广,点击进去后下载的将会是“QQ游戏+金山毒霸”的套装,而搜索结果第二个有着比较“诱人”的高速下载按钮,仔细看上面的提示字才知道,所谓的高速下载只不过是先下载百度下载助手然后再去下载QQ游戏。

3.png

4.jpg

而下载稍微小众一点的资源,进入第三方下载站,则陷进、捆绑安装的现象更加猖獗。这种套路在笔者之前的文章《腾讯都认错了,我们还在忍受哪些诱导推广行为?》中有详细提到,这里就不耽误工夫了。

2.恐吓、诱导性弹窗

反倒是对电脑安全、软件使用上了解比较少的人,越容易被各种诱导、恐吓性弹窗所欺骗。一般都是电脑上已经安装的软件或者在浏览网页时的弹窗广告,为了诱使用户点击几乎无所不用其极,此前国内某安全软件报告的腾讯部分软件诱导推广就是最典型的实例。

5.jpg

某输入法的广告弹窗想必大部分人都遇到过,在使用电脑的图中突然右下角蹦出一个弹窗,提示“上网垃圾文件过多,请立即清理”之类的警告,还有一个大大的“一键清理”按钮,想当初我也是年轻,随手一点,心想那就清理一下。结果是电脑桌面又多了一个某浏览器图标,多少人在第一次遇到这种弹窗会仔细阅读中间几行文字?

除此之外的某卫士、某毒霸也都会利用家族软件进行各种弹窗推广,提示内容基本都是“电脑存在高危漏洞”、“垃圾过多导致电脑卡”之类的带点恐吓的信息,我觉得我爸这一类用户还是会上当的,这些几乎已经是臭名昭著几个代表了。

3.自动添加垃圾收藏夹以及修改浏览器主页

除了捆绑安装、静默安装这些比较恶劣的行为之外,在浏览器上做手脚也是很多流氓软件惯用的行为。以前第三方封装的GHOST系统基本都会设置推广主页以及添加一堆浏览器收藏夹,不过现在使用GHOST越来越少,这种趋势也有所减弱。

b03533fa828ba61e587346304734970a304e5914.jpg

但一些流氓软件仍然存在强制修改浏览器主页的行为,然后悄悄替换掉原有的桌面快捷方式。这种一般人其实很难发现,并且难以解决,不论是通过浏览器锁定还是安全卫士的浏览器主页守护来锁定,都没办法还原被篡改的主页。

技术男的必备技能

窃以为,每年这么来来回回的重装系统可真不是个事儿,耽误时间不说,还担心会把我爸的重要文件给整没了。你说直接告诉他哪些该点,哪些不该点;哪些可信,哪些不可信,或者直接跟他说遇到那种情况又该怎么解决,我爸基本上都是一句话:

到时候直接你给我接远程协助吧,我又不会搞。

但很多时候远程协助并不是所有的问题都可以解决的,而且平时上班真要我爸那边遇到急事,还真没法解决。与其每年收拾残局,还不如直接做好充分的防护工作,所以最好的解决方式是通过一些手段来彻底杜绝常见的捆绑安装或者广告弹窗等行为。

1.可靠的安全防护工具

最直接能想到的当然是各种安全卫士了,不过这里对于现在的电脑性能配置来说,配上固态硬盘及8GB以上的内存,不太落伍的处理器,流畅度上还是非常有保障的,至于那些安全卫士什么清理垃圾、清理内存等功能并不是那么有必要。虽然安全软件众多,到还真有一款口碑没那么烂,对,正是上次强怼腾讯的那个,想必各位安全行业的人员并不陌生了。

相比数字、企鹅家那些电脑管家,某安全真正做到了小而精,杀毒防护功能不弱之外,还可以根据自己需要下载启动项管理、垃圾清理、弹窗拦截等工具。当然,最关键的,拦截软件静默安装、捆绑安装的行为几乎是同类软件中最优秀的,

微信截图_20180207173023.png

前面讲到的那些捆绑安装或者后台安装等行为几乎都能够被安全拦截到并弹窗提醒(倒计时结束后默认阻止),用户自己选择阻止或者放行,这一步的分辨能力基本上小白都能明确。

微信截图_20180207173007.png

此外,还能拦截篡改主页的行为。而在应对弹窗的问题上,安全也提供弹窗拦截工具,也能够起到一定的保护作用。

不过这里还是要给某数字安全卫士提升一下好感度,虽然在安全圈里,数字品牌的任何东西都被人嗤之以鼻,但老实说,对于一些电脑小白来说基本可以看成万能工具箱。还是提供了一些解决常见电脑问题的快捷方法。

TIM截图20180207175306.jpg微信截图_20180207175329.png

数字卫士提供人工服务社区,支持一键式解决的操作,即便有些问题不能一键解决,也会有一些用户或者专家提出的解决详细方法。相较于百度,这种服务集中区或许更加适合小白用户。

2.必备广告拦截工具

有了强大的防护工具,还需要减少一些广告的干扰,因此,广告拦截软件或者浏览器插件必不可少。不多废话了,直接看结果。

111123.jpg

开启广告拦截插件之后,感觉整个世界都清静了。值得一提的是,大部分广告拦截插件不仅可以拦截页面广告,还能够直接拦截视频前插广告,不需要为了看30秒的视频等两分钟广告了。当然,视频网站也一直在对抗着,因此会出现部分失效,但整体效果已经非常不错的。

微信截图_20180207181211.png

一般广告都出现在浏览器上网的时候,因此只需要安装浏览器拓展插件就够了,如果愿意当然也可以选择安装广告拦截软件。

3.进阶推荐:屏蔽软件安装数字证书,彻底告别捆绑

组策略设置

还有一种比较高阶的途径来彻底屏蔽国内一些软件的安装,即便是主动点击安装也安装不上去,那就是屏蔽数字证书。

其实Windows系统本身也是有一定的防护策略,能根据软件的数字签名来初步判断是否可信,因此几乎所有的软件都带有被Windows可信任的数字签名。不过逐渐的,很多流氓软件甚至病毒软件都开始有了可信任的数字签名,这种措施反倒没多大用了。而大部分用户在能够看到软件数字签名的时候,基本只有下面这种场景:

2.3.jpg

在用户帐户控制(UAC)保持打开并且设置最高级别的时候,打开或者安装软件是会有相应的弹窗,点击“显示有关此发布者的证书信息”就可以看到软件的证书,不过大部分人都嫌这个弹窗太频繁扰民而都关闭了。数字签名可以看作是软件的一个可信标识,否则Windows系统则不允许安装,因此利用这个机制直接屏蔽特定软件的数字证书就可以彻底禁止软件在电脑上安装。

微信截图_20180208154942.png

“win+R” 打开运行,输入 gpedit.msc 并回车打开组策略

捕获.PNG

如图,依次进入:计算机配置——Windows设置——安全设置——软件限制策略,新建证书规则;

TIM截图20180208160544.jpg

把要屏蔽的软件证书添加进去,比如笔者把某数字联盟的一个软件证书添加并屏蔽,让后尝试主动安装该软件,就出现下图这样:

微信截图_20180208161457.png

带有该证书的软件直接被系统禁止安装,而证书状态也显示为“已被颁发者直接吊销”。

152305-a7e1033a63285684.png

也就是说,这种方法确实可行,但如果要一个个添加证书屏蔽的话也太过于麻烦,网络上已经有不少网友提供了一键屏蔽工具或者证书合集,里面包含国内遇到较多的存在捆绑安装或者流氓行为的软件证书。

由于这些一键工具或者集合包都出自第三方个人开发者,就不在这里推广了。通过搜索引擎或者技术论坛还是比较好找到的,笔者这里求原谅。

安全自定义防护

好了,上面的方法够绝吧。还有一种比较温柔的处理方式,那就是利用安全的自定义防护规则,来避免被捆绑安装或者修改主页及收藏夹等等。

TIM截图20180208162944.jpg

不过不同于直接屏蔽软件证书,安全自定义防护的措施要温柔多了。在检测到对应的行为之后会弹窗提醒,用户可自行选择阻止或者允许。毕竟有些家族软件还是有一些良心作品的,例如企鹅家的QQ影音和QQ输入法纯净版就挺不错嘛,不能一棒子打死。

TIM截图20180208170328.jpg

另外,笔者温馨提醒各位在设置自定义规则时,最好将上图所示选项设置为“询问我”,而不是直接阻止,否则会影响一些电脑上已经存在的软件工作,导致你自己都不知道问题出在哪里。

TIM截图20180208163310.jpg

同时在安全日志里面也能够看到全部的拦截情况以及对应的项目和软件位置。至于这些规则,如果自己知道怎么编写最好,如果直接使用其他人分享的规则在使用的时候就要注意会不会导致什么问题了。

1231231231231.jpg

笔者这理也附上一份自定义规则集合,供各位参考使用,基本包含了最常见的存在后台捆绑安装行为的软件,地址奉上:

https://drive.google.com/file/d/0B_MYJSWcAJ7rckstNVVDeW5kaGM/view

4.最后,还有最简单最粗暴的解决办法

最后,还有一招最简单粗暴,完全不用来回折腾的绝招——

微信截图_20180208171920.png

还用啥巨硬的系统,直接上苹果爸爸的iMac Pro,最好是顶配,到你儿子开始给你重装系统都不用管它了。[此处应有狗头]

笔者思考再三,感觉从小各种折腾到大,还是让我继续折腾吧!!!好了,不说了准备U盘去给我爸重装系统,再去折腾一番了。

提前预祝各位新年快乐!

技术参考

1.腾讯都认错了,我们还在忍受哪些诱导推广行为?

2.流氓软件,我有几策略?

3.从系统上拉黑百度软件的证书,彻底屏蔽百度杀毒的骚扰

*本文作者:Andy,转载请注明来自FreeBuf.COM

# 流氓软件 # 重装系统
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者