中国网络空间安全协会 建议系统排查英特尔产品网络安全风险

网易财经10月16日讯 中国网络空间安全协会发文表示, 英特尔 安全漏洞问题频发。2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞是一种CPU瞬态执行侧信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。从2023年底开始,大量用户反映,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。

英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控 服务器 的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。该模块也曾被曝存在高危漏洞(如CVE-2019-11181),导致全球大量服务器面临被攻击控制的极大安全风险。除此之外,英特尔还在产品中集成存在严重漏洞的第三方开源组件。英特尔还暗设后门,危害网络和信息安全。建议对英特尔在华销售产品启动 网络安全 审查,切实维护中国国家安全和中国消费者的合法权益。

英特尔公司500多亿美元的全球年收入,近四分之一来自中国市场。2021年英特尔公司的CPU占国内台式机市场约77%,在笔记本市场占约81%;2022年英特尔在中国的x86服务器市场份额约91%。可以说英特尔在中国赚得盆满钵满,但这家公司反而不断做出损害中国利益、威胁中国国家安全的事情。

此前,美政府通过所谓《芯片和科学法案》,对中国半导体产业进行无端排挤和打压,英特尔公司就是这一法案的最大受益者。英特尔公司首席执行官帕特∙基辛格成功地将英特尔与美国政府绑定在一起,成为美国芯片战略的最大合作公司,不仅得到了85亿美元的直接补助,还有110亿美元的低息贷款。

为讨好美国政府,英特尔在所谓涉疆问题上积极站位打压中国,要求其供应商不得使用任何来自于新疆地区的劳工、采购产品或服务,在其财报中更是将台湾省与中国、美国、新加坡并列,还主动对华为、中兴等中国企业断供停服,这是典型的“端起碗来吃饭,放下碗就砸锅”。

中国网络空间安全协会建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。

全文如下

1.安全漏洞问题频发

2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞是一种CPU瞬态执行侧信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,获取特定矢量寄存器缓冲区之前存储的密钥、用户信息、关键参数等敏感数据。该漏洞影响英特尔第6代至第11代酷睿、赛扬、奔腾系列CPU,以及第1代至第4代至强 处理器 。实际上,早在2022年,就有研究者向英特尔报告过该漏洞,但英特尔在明知漏洞存在的情况下,既不予承认,也未采取有效行动,还持续销售有漏洞的产品,直至漏洞被公开报道,英特尔才被迫采取漏洞修复措施。已有五位受害者以自身及“全美CPU消费者”代表的名义,于2023年11月在美国北加州联邦地方法院圣何塞分院,针对上述情况向英特尔发起集体诉讼。

无独有偶,2023年11月谷歌研究人员,又披露英特尔CPU存在高危漏洞Reptar。利用该漏洞,攻击者不仅可以在多租户虚拟化环境中获取系统中的个人账户、卡号和密码等敏感数据,还可以引发物理系统挂起或崩溃,导致其承载的其他系统和租户出现拒绝服务现象。

2024年以来,英特尔CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞,英特尔在产品质量、安全管理方面存在的重大缺陷,表明其对客户极不负责任的态度。

2.可靠性差,漠视用户投诉

从2023年底开始,大量用户反映,使用英特尔第13、14代酷睿i9系列CPU玩特定游戏时,会出现崩溃问题。游戏厂商甚至在游戏中添加了弹窗处理,警告使用这些CPU的用户。视觉特效工作室ModelFarm的虚幻引擎主管和视觉特效负责人Dylan Browne发帖说,其所在公司采用英特尔处理器的电脑故障率高达50%。

在用户反映集中、无法遮掩的情况下,英特尔公司最终不得不承认产品存在稳定性问题,给出所谓初步调查报告,将问题归咎于 主板 厂商设置了过高的电压。但随机遭到主板厂商的驳斥,表示其生产的主板是按照英特尔提供的数据进行BIOS程序开发,崩溃原因不在主板厂商。2024年7月,英特尔才发布声明,对于CPU频繁崩溃事件给出了解释,承认由于错误的微代码算法向处理器发出过高的电压请求,导致了部分第13、14代处理器出现不稳定现象。

2023年底就频现崩溃问题,半年以后英特尔公司方才确定问题并给出更新程序,且半年内给出的缓解措施也不奏效,充分反映出英特尔在面对自身产品缺陷时,不是积极坦诚面对问题,而是一味漠视、推诿和拖延。有专业人士推测,其根本原因是英特尔为了获得性能提升,重获竞争优势,而主动牺牲产品稳定性。另据报道,美国“Abington Cole + Ellery”律师事务所,已开始调查英特尔第13、14代处理器不稳定的问题,并将代表最终用户提起集体诉讼。

3.假借远程管理之名,行监控用户之实

英特尔联合惠普等厂商,共同设计了IPMI(智能平台管理接口)技术规范,声称是为了监控服务器的物理健康特征,技术上通过BMC(基板管理控制器)模块对服务器进行管理和控制。BMC模块允许用户远程管理设备,可实现启动计算机、重装操作系统和挂载ISO镜像等功能。该模块也曾被曝存在高危漏洞(如CVE-2019-11181),导致全球大量服务器面临被攻击控制的极大安全风险。

除此之外,英特尔还在产品中集成存在严重漏洞的第三方开源组件。以英特尔M10JNPSB服务器主板为例,该产品支持IPMI管理,目前停止售后,2022年12月13日发布了最后一次固件更新包,分析可知其web服务器为lighttpd,版本号为1.4.35,竟然是2014年3月12日的版本,而当时lighttpd的最新版本已升级至1.4.66,两者竟然相差9年之久,时间跨度之大令人惊讶。这种不负责任的行为,将广大服务器用户的网络和数据安全,置于巨大的风险之中。

4.暗设后门,危害网络和信息安全

英特尔公司开发的自主运行子系统ME(管理引擎),自2008年起被嵌入几乎所有的英特尔CPU中,是其大力推广的AMT(主动管理技术)的一部分,允许系统管理员远程执行任务。只要该功能被激活,无论是否安装了操作系统,都可以远程访问计算机,基于光驱、软驱、USB等外设重定向技术,能够实现物理级接触用户计算机的效果。硬件安全专家Damien Zammit指出ME是一个后门,可以在操作系统用户无感的情况下,完全访问存储器,绕过操作系统防火墙,发送和接收网路数据包,并且用户无法禁用ME。基于ME技术实现的英特尔AMT(主动管理技术),曾在2017年被曝存在高危漏洞(CVE-2017-5689),攻击者可通过设置登录参数中响应字段为空,实现绕过认证机制,直接登录系统,获得最高权限。

2017年8月,俄罗斯安全专家Mark Ermolov和Maxim Goryachy通过逆向技术找到了疑似NSA(美国国家安全局)设置的隐藏开关,该开关位于PCHSTERP0字段中的HAP位,但此次标志位并没有在官方文档中记录。戏剧性的是,HAP全称为High Assurance Platform(高保障平台),属于NSA发起的构建下一代安全防御体系项目。

如果NSA通过开启HAP位隐藏开关直接关闭ME系统,与此同时全球其他英特尔CPU都默认运行ME系统,这就相当于NSA可以构建一个只有其自己有防护,其他所有人都在“裸奔”的理想监控环境。这对于包括中国在内世界各国的关键信息基础设施来说,都构成极大地安全威胁。目前,ME上的软硬件是闭源的,其安全保障主要靠英特尔公司的单方面承诺,但事实表明英特尔的承诺苍白无力,难以令人信服。使用英特尔产品,给国家安全带来了严重隐患。

5.建议启动网络安全审查

据报道,英特尔公司500多亿美元的全球年收入,近四分之一来自中国市场。2021年英特尔公司的CPU占国内台式机市场约77%,在笔记本市场占约81%;2022年英特尔在中国的x86服务器市场份额约91%。可以说英特尔在中国赚得盆满钵满,但这家公司反而不断做出损害中国利益、威胁中国国家安全的事情。

此前,美政府通过所谓《芯片和科学法案》,对中国半导体产业进行无端排挤和打压,英特尔公司就是这一法案的最大受益者。英特尔公司首席执行官帕特∙基辛格成功地将英特尔与美国政府绑定在一起,成为美国芯片战略的最大合作公司,不仅得到了85亿美元的直接补助,还有110亿美元的低息贷款。

为讨好美国政府,英特尔在所谓涉疆问题上积极站位打压中国,要求其供应商不得使用任何来自于新疆地区的劳工、采购产品或服务,在其财报中更是将台湾省与中国、美国、新加坡并列,还主动对华为、中兴等中国企业断供停服,这是典型的“端起碗来吃饭,放下碗就砸锅”。

建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。


芯片公司排名前十

芯片公司排名前十:

1、英特尔公司

英特尔公司是最出色的计算机芯片公司之一,其提供的平台产品融合了各种组件和技术,包括微处理器和芯片组,独立SoC或多芯片封装。

产品:英特尔主要拥有以下产品-处理器,服务器产品,英特尔NUC,无线,以太网产品,内存和存储,芯片组和图形。

应用范围:云计算,游戏,内容创建,高性能计算和人工智能,信任安全性和隐私,高效的设计和编程,连接性和通信以及内存和存储。

创新/技术:英特尔在全球拥有40,000多项专利。 英特尔正在致力于跨计算和通信的新兴创新,例如5G网络,自动驾驶,区块链,感官,预期计算,神经形态计算和量子计算。

全球市场:公司总部位于美国加利福尼亚,业务遍及11个国家,拥有11万多名员工。

2、高通

高通公司是一家从事无线行业技术开发和商业化的半导体公司。

产品:5G,人工智能,蓝牙,调制解调器RF系统,处理器和Wi-Fi。

应用范围:音频,汽车,相机,工业和商业,移动计算,网络,智能手机,智能城市,智能家居,可穿戴设备和XR / VR / AR。

技术/创新:高通公司拥有惊人的140,000项专利和5G技术的专利申请。 它正在研究5G和无线技术,人工智能,扩展现实(XR)和大学关系。

全球市场:高通公司总部位于美国圣地亚哥,在30个国家/地区拥有130个办公地点,拥有39,000多名员工。

3、美光科技

美光科技公司是计算机存储器和计算机数据存储(包括动态随机存取存储器,闪存和USB闪存驱动器)的生产商。

产品:他们提供三类产品-内存(DRAM,NAND,NOR闪存),存储(存储卡和SSD)和高级解决方案(3D xPoint,高级计算,Authenta安全性和Hetro内存存储引擎)。

应用范围:5G,汽车,客户端,消费者,工业物联网,移动,网络和服务器。

技术/创新:美光在其整个历史中已贡献了近44,000项专利。 它创造了世界上最先进的DRAM处理技术,美光的X100 NVMe SSD _最快的NoSQL数据库,可提高AeroSpike的性能。

全球市场:美光科技公司总部位于美国博伊西,在17个国家/地区拥有43个办事处,拥有34,000名员工。

4、德州仪器公司

德州仪器(TI) 是一家全球半导体公司,致力于为工业,汽车,个人电子产品,通信设备和企业系统等市场设计,制造,测试和销售模拟和嵌入式处理芯片。

产品:TI的主要产品包括放大器,音频,时钟和定时,数据转换器,管芯和晶片服务,DLP产品,接口,隔离,逻辑,微控制器(MCU)和处理器,电机驱动器,电源管理,射频和微波,传感器,空间和高可靠性,开关和多路复用器,无线连接以及计算器和教育技术。

技术/创新:公司在全球拥有45,000项专利。 他们正在与Cobots和Machine Learning一起为电动汽车的无线电池管理系统创建新的解决方案。

应用:它们在工业领域(航空航天和国防,网格基础设施,医疗,照明等),汽车,通信设备,企业系统,个人电子产品,安全性和物联网等领域具有应用程序。

全球市场:TI在全球拥有14个生产基地,拥有10个晶圆厂,7个组装和测试工厂,以及多个凸块和探针工厂,拥有30,000名员工。 该公司总部位于美国达拉斯。

5、英伟达公司

Nvidia Corporation是一家技术公司,主要为游戏行业设计和制造图形处理单元(GPU)而闻名。

产品:Nvidia提供的产品包括图形卡,笔记本电脑,G-sync显示器和GEFORCE NOW云计算游戏。

应用:公司开发了基于GPU的深度学习,以使用人工智能解决诸如癌症检测,天气预报,自动驾驶汽车,竞争性游戏,专业可视化,深度学习,加速分析和加密货币挖掘等问题。

创新/技术:Nvidia拥有7,300项专利资产。

它已经成功开发了诸如企业与开发人员(CUDA,IndeX,Iray,MDL),游戏(GameWorks,G-syncBattery Boost),架构(Ampere,Volta,Turing)和行业技术(AI计算,深度学习,ML)的技术。

它正在研究3D深度学习,应用研究,人工智能和机器学习,计算机图形学,电子竞技,医学,网络等。

全球市场:NVIDIA总部位于美国圣塔克拉拉,在28个国家/地区拥有57个办事处,拥有9,100名员工。

AMD ( Advanced Micro Devices)是一家全球半导体公司,致力于开发高性能计算和可视化产品,以解决世界上一些最棘手和最有趣的挑战。

产品:台式机和移动处理器,业务系统处理器,服务器处理器,图形卡,Pro Graphics,服务器加速器,嵌入式图形,嵌入式图形和嵌入式合作伙伴目录。

应用:AMD专注于本能和身临其境的计算,以及该技术如何释放机器学习和其他高性能计算应用程序的能力,以应对重要的全球性挑战,包括医疗,教育,制造,科学研究和安全性。

技术/创新:它在全球拥有8000项已发布的专利。 它正在研究高性能计算(HPC),高级内存技术,低功耗和机器智能等领域。

全球市场:AMD总部位于美国圣塔克拉拉,在23个国家/地区设有38个办事处,在全球拥有11,400多名员工。

ADI公司在设计,制造和营销几乎所有类型的电子设备中使用的高性能模拟,混合信号和数字信号处理(DSP)集成电路(IC)方面处于世界领先地位。

产品:ADI公司提供广泛的产品组合,包括放大器,模拟功能,A / D转换器(ADC),音频和视频产品,时钟和定时,D / A转换器(DAC),高速逻辑和数据路径管理。

工业以太网,接口与隔离,功率监控,控制与保护,光通信与传感,电源管理,处理器与微控制器,射频与微波,传感器与MEMS以及开关与多路复用器。

应用范围:ADI公司按航空航天与国防,汽车,建筑技术,通信,消费者,数据中心,能源,医疗保健,工业自动化,测量仪器和测量以及安全与监视等细分市场提供相关技术和解决方案。

技术/创新:它在全球拥有超过47,000项专利。 它一直在研究3D飞行时间(ToF),5G,A 2 B音频总线,网络安全,GaN(氮化镓),物联网(IoT),探测器(LIDAR)解决方案,MEMS开关,OtoSense,雷达系统, RadioVerse,RF领导者,传感器接口和SmartMesh。

全球市场:总部位于美国诺伍德,在30多个国家/地区拥有15,900名员工。

8、安森美半导体

安森美半导体是基于半导体的解决方案的领先供应商,提供全面的产品组合,包括节能连接,传感,电源管理,模拟,逻辑,定时,分立和定制设备。

产品:存储器,音频/视频ASSP,接口,标准逻辑,微控制器,离散和驱动器电源管理,定时和信号调理,隔离和保护设备,放大器和比较器,传感器,宽带隙电源模块,连接性,光电,定制代工服务,SoC,SiP和定制产品。

应用范围:用于航空航天和国防,汽车,工业和云电力,物联网,医疗和个人电子产品。

技术/创新:安森美半导体正在从事汽车,物联网(IoT),创新以及工业和云电源领域的研究。

全球市场:总部位于美国亚利桑那州,在24个国家/地区拥有74个办事处,拥有34,000名员工。

9、微芯科技

Microchip Technology是工业,汽车,消费,航空航天和国防,通信和计算市场上智能,连接和安全的嵌入式控制解决方案的领先提供商。

产品:微控制器和微处理器,模拟,航空航天和国防,放大器和线性,时钟和定时,数据转换器,嵌入式控制器和超级I / O,铸造服务,FPGA和PLD,高速网络和视频,接口和连接性。

LED驱动程序和背光,内存,电源管理,以太网供电,安全IC,传感器,智能能源/计量,存储,同步和计时系统,触摸和手势以及无线连接。

应用范围:它们用于医疗,航空航天与国防,音频与语音,汽车,电池管理,CAN,显示器,计算,以太网,物联网,照明,计量,USB,无线与网络,家用电器等领域。

技术/创新:他们一直致力于汽车应用的高端电流检测放大器,汽车以太网音频视频桥接(AVB)的第一个全集成解决方案,以太网交换机,机器学习和超大规模计算基础设施以及三模式存储控制器。

全球市场:Microchip总部位于美国钱德勒,在28个国家/地区拥有67个办事处,拥有18,000多名员工。

10、Xilinx公司

Xilinx Inc.是一家技术公司,主要是可编程逻辑器件的供应商。 该公司发明了现场可编程门阵列。 正是半导体公司创造了第一个无晶圆厂制造模型。

产品:设备(ACAP,FPGA和3D IC,SoC,MPSoC和RFSoC),评估板和套件(评估板,SoM),加速器(数据中心加速器卡,计算存储,SmartNIC和Telco),以太网适配器(8000系列)以太网,X2系列以太网),软件开发工具(Vitis软件平台,Vitis AI)。

硬件开发,嵌入式开发,核心技术(3D IC,配置解决方案,连接性,设计安全性,DSP,以太网,ML,内存,RF采样)和加速的应用程序。

应用范围:航空航天与国防,汽车,广播与Pro A / V,消费电子,数据中心,仿真与原型设计,工业,医疗保健/医疗,测试与测量,有线与无线通信。

技术/创新:它拥有4400项专利,主要针对高端现场可编程门阵列(FPGA)。 目前,它正在研究高级设计流程,异构多核体系结构,网络处理,信号处理以及嵌入式系统和FPGA中的高级应用程序。

全球市场:Xilinx总部位于美国圣何塞,在8个国家/地区拥有12个办公地点,拥有5000多名员工。

Windows下病毒木马基本防御和解决方案

电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。做好防御也是一大关键,下面一起看看Windows下病毒木马基本防御和解决方案!

一.基本防御思想:备份胜于补救。

1.备份,装好机器之后,首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。

运行,cmd命令如下;

dir/a C:\WINDOWS\system32 >c:\

dir/a c:\windows >c:\

这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为,那么fc >c:/

因为木马病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下

cd C:\WINDOWS\system32

dir/a >c:\>

dir/a >c:\>

然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件,虽然有一些是安装软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。

2.备份进程中的DLL, CMD下面命令

tasklist/m >c:/

这样正在运行的进程的DLL列表就会出现在c根目录下面。 以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。 直接比较方便一些。

3.备份注册表,

运行REGEDIT,文件——导出——全部,然后随便找一个地方保存。

4.备份C盘

开始菜单,所有程序,附件,系统工具,备份,然后按这说明下一步,选择我自己选择备份的内容,然后把系统备份在一个你选定的位置。

出了问题,同样打开,选择还原,然后找到你的备份,还原过去就是了。

二,基本防御思想,防病胜于治病。

1.关闭共享。 关闭139.445端口,终止xp默认共享。

2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。 (注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。 )

3.控制面板,管理工具,本地安全策略,安全策略,本地策略,安全选项给管理员和guest用户从新命名,最好是起一个中文名字的,如果修改了管理员的默认空命令更好。 不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。 高手一般不对个人电脑感兴趣。

4.网络连接属性里面除了tcp/ip协议全部其他的全部停用,或者干脆卸载。

5.关闭远程连接,桌面,我的电脑,属性,远程,里面取消就是了。 也可以关闭Terminal Services服务,不过关闭了以后,任务管理器中就看不到用户名字了。

三,基本解决方法,进程服务注册表。

1. 首先应该对进程服务注册表有一个简单的了解,大约需要3个小时看看网上的相关知识应该就会懂得了。

2.检查启动项目,不建议使用运行msconfig命令,而要好好察看注册表的run项目,和文件关联,还有userinit,还有shell后面的是不是被改动。 相关的不在多说,网上资料很多,有详尽的启动项目相关的文章。 我只是说出思路。 以下列出简单的35个常见的启动关联项目

1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\

2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.

4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

8. HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Run\

9. HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\RunOnce\

10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\

13. HKEY_CURRENT_USER\Control Panel\Desktop

14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager

15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\

16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\

17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\

18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\

19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\

20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\

21. HKEY_CLASSES_ROOT\exefile\shell\open\command\

22. HKEY_CLASSES_ROOT\comfile\shell\open\command\

23. HKEY_CLASSES_ROOT\batfile\shell\open\command\

24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\

25. HKEY_CLASSES_ROOT\piffile\shell\open\command\

26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\

27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\

28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline

29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline

30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\

32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\

35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\

3.检查服务,最简单的吧,服务列表太长,我估计你也不一定能全部记住。 说一个简单的,运行msconfig,服务,把“隐藏所有的microsoft服务”选中,然后就看到了不是系统自带的服务,要看清楚啊,最后在服务里面找找看看属性,看看关联的文件。 现在一般杀毒都要添加服务,我其实讨厌杀毒添加服务,不过好像是为了反病毒。

4.进程,这个网上资料更多,只说明两点,1.打开任务管理器,在“查看”,“选项列”中把“pid”选中,这样可以看到pid。 2.点一个进程的时候右键有一个选项,“打开所在目录”,这个很明显的,但是很多哥们都忽略了,这个可以看到进程文件所在的文件夹,便于诊断。

下会使用,netstat –ano命令,觉得这一个命令对于简单的使用就可以了,可以查看协议端口连接和远程ip.

6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}

{0D43FE01-F093-11CF-8940-00A0C}

两个项目,搜索到以后你会看到是两个和脚本相关的,备份以后删除,主要是防止一下网上的恶意代码

四,举一个简单的清除例子。

1.对象是包含在一个流行BT绿色软件里面的木马,杀毒可以杀出,但是错误判断为灰鸽子。 有的杀毒杀不出来。 以下说的是不用任何工具的判断和清除,当然任何工具中包括杀毒。

2.中毒判断:使用时候,忽然硬盘灯无故猛烈闪烁。 系统有短暂速度变慢。 有程序不正常的反映,怀疑有问题。

2.检查,服务发现多了一个不明服务,文件指向C:\Program Files\Internet Explorer下面的文件,明显的这不是系统自带的文件,命令行下察看端口,有一个平常没有得端口连接。 进程发现不明进程。 启动项目添加.确定是木马。

4.清除:打开注册表,关闭进程,删除启动项目,注册表搜索相关服务名字,删除,删除源文件。 同时检查temp文件夹,发现有一个新的文件夹,里面有一个“免杀”文件,删除,清理缓存。 当然最好是安全模式下进行。

5.对照原来备份的system32下面的dll列表,发现可疑dll文件,删除,也可以在查看选择“选择详细信息”选择上“创建日期”(这个系统默认是没有添加的),然后查看详细信息,按创建日期显示,可以发现新创建的文件。 这个木马比较简单,没有修改文件日期。

在那里的,有时候忘记了清理,病毒如果关联在这个文件上,删除后还会出现的。)

相关阅读:2018网络安全事件:

一、英特尔处理器曝“Meltdown”和“Spectre漏洞”

2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。 这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模 Memcached DDoS 攻击

2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。 然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。 网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。

三、苹果 iOS iBoot源码泄露

2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。 iBoot 相当于是 Windows 电脑的 BIOS 系统。 此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。 iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。

四、韩国平昌冬季奥运会遭遇黑客攻击

2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。

五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪

2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。 该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。

英特尔芯片曝高危漏洞情形如何?

1月4日,国外安全研究机构公布了两组CPU漏洞:Meltdown(熔断)和Spectre(幽灵)。

虽然目前全球还没有发现利用漏洞进行的真实攻击,但理论上,这次曝出的漏洞让所有能访问虚拟内存的CPU都可能被人恶意访问,理应受保护的密码、应用程序密匙等重要信息因此面临风险。

从目前了解情况来看,1995年以来大部分量产的处理器均有可能受上述漏洞的影响,且涉及大部分通用操作系统。 虽然是英特尔为主,但ARM、AMD等大部分主流处理器芯片也受到漏洞影响。 相应的,采用这些芯片的Windows、Linux、macOS、Android等主流操作系统和电脑、平板电脑、手机、云服务器等终端设备都受上述漏洞的影响。

糟糕的是,英特尔公司本身无法采用固件升级的方式解决这一漏洞,导致微软、苹果等操作系统开发商各自寻求修补方法。

1月4日,中国国家信息安全漏洞共享平台(China National Vulnerability target=_blank>

然而这种芯片漏洞至少可追溯到2010年,带来这种漏洞的通用架构原则有几十年历史了。 那为什么英特尔没有更早发现漏洞呢?英特尔没有正面回应这一问题。

上海交通大学网络空间安全学院孟魁博士表示,这次安全漏洞事件在这个时间点全面爆发可能有两个原因,第一是英特尔的修复效率低下,进展过慢,引起业界的施压;第二是因为漏洞的信息泄露时间过长可能将导致被攻击者利用。 因此必须立即采取措施。 ”

Q:目前有没有已经报告的恶意攻击?

腾讯和360等安全厂商都表示,目前没有任何已知的利用这些漏洞进行攻击的案例被发现。

英国国家网络安全中心表示,目前还没有证据表明Meltdown和Spectre正在被用来窃取数据,但攻击的本质使他们难以察觉。

360核心安全事业部总经理、Vulcan团队负责人郑文彬告诉澎湃新闻记者,攻击者虽可利用该漏洞窃取隐私,但无法控制电脑、提升权限或者突破虚拟化系统的隔离。 此外,该漏洞不能被远程利用,更无法像“永恒之蓝”漏洞一样,在用户没有任何交互操作时就实现攻击。

腾讯安全专家表示,虽然漏洞细节以及PoC已经公开,但是并不能直接运用于攻击。 漏洞运用于真实攻击还有许多细节问题需要解决,目前也没有一个稳定通用,同时可以造成明显严重后果(窃取账号密码等)的漏洞利用代码。

Q:漏洞修复情况如何?

根据英国卫报的说法,由于漏洞是芯片底层设计上的缺陷导致的,修复起来会非常复杂,同时难以完美修复。

郑文彬表示,CPU硬件的漏洞修复高难度, 仅通过CPU厂商进行安全更新(例如升级CPU微码)是无法解决这一问题,修复这些漏洞需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商一起协作并进行复杂且极其深入的修改,才能彻底解决问题。

漏洞曝光之后,各家芯片厂商、操作系统厂商、浏览器厂商,以及云服务厂商,都已先后作出回应,积极采取措施,发布安全公告,并及时推出缓解措施和修复补丁。

英特尔建议关注后续的芯片组更新、主板BIOS更新;针对Meltdown漏洞,Linux已经发布了KAISER;macOS从10.13.2予以了修复;谷歌称已经修复;Win10 Insider去年底修复;Win10秋季创意者更新发布了KB,将强制自动安装;亚马逊AWS随后也公布了指导方案;对于难度更高的Spectre漏洞,各厂商目前也仍在攻坚中。

针对该漏洞,上海市网信办采取了应急处置措施。 一是密切跟踪该漏洞的最新情况,及时评估漏洞对本单位系统的影响。 二是对芯片厂商、操作系统厂商和安全厂商等发布的补丁及时跟踪测试,在做好全面审慎的评估工作基础上,制定修复工作计划,及时安装。 三是进一步加强关键信息基础设施网络安全防护工作,加强网络安全防护和威胁情报收集工作,发生网络安全事件及时向市网信办报告。

Q:普通用户如何防范漏洞?

目前,网民可以通过以下安全策略进行防护:

1、升级最新的操作系统和虚拟化软件补丁:目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁,升级后可以阻止这些漏洞被利用;

2、升级最新的浏览器补丁:目前微软IE、Edge和Firefox都推出了浏览器补丁,升级后可以阻止这些漏洞被利用;

3、等待或要求你的云服务商及时更新虚拟化系统补丁;

4、安装安全软件。

腾讯安全专家表示,漏洞可造成的主要危害在于用浏览器访问了一个带有漏洞利用代码的网页,导致敏感信息(账号密码等)泄露。 只要养成良好的上网习惯,不轻易点击陌生人发来的链接,基本不会受到漏洞影响。 同时,浏览器针对漏洞发布的补丁和缓解措施简单有效,而且不会造成性能下降或兼容性问题,用户可以选择将浏览器升级到最新版本,从而避免受到漏洞攻击。

Q:“打补丁将导致CPU性能损耗30%”的说法是真的吗?

修复程序本身的确存在诸多问题。

腾讯安全专家介绍,以Windows 10为例,微软于北京时间1月4日凌晨紧急发布了1月份系统安全更新,但补丁存在明显的性能和兼容性的问题:一方面,更新可能会让受影响的系统性能下滑30%。 另一方面,更新可能会导致部分软件(安全软件等)不兼容从而致使系统蓝屏。

不过根据腾讯安全团队的实际测试,性能问题对于普通用户来说,影响并不大:只有在极端的测试下,才会出现明显的性能问题;而正常的使用过程中一般不会出现。

360郑文彬也表示,这种说法比较片面,30%的性能损失是在比较极端的专门测试情况下出现的。 通常的用户使用情况下,尤其在用户的电脑硬件较新的情况下(例如绝大部分在售的Mac电脑和笔记本、32位X86操作系统),这些补丁的性能损失对用户来说是几乎可以忽略不计。 接下来包括微软、Intel在内的厂商还会进一步推出针对性的补丁,进一步降低补丁对性能的损耗。

但是腾讯安全团队提醒,兼容性问题确实比较严重:在有安全软件,以及一些游戏的电脑上,安装补丁比较容易出现蓝屏现象。 这也使得众多安全厂商采取了比较保守的策略,暂时不主动推送微软的补丁,避免造成用户电脑无法正常使用。

到底哪家强 全国高校新闻传播学类专业排名
睡眠市场 日企争抢 商机