【IT168专稿】无论你如何勤勉地修补系统和保护你的电脑，它仍然有可能在未曾预见到的攻击出现后的数个小时内中招。而随便浏览网页就会中招的实例也屡见不鲜。因为当你浏览网页时，浏览器就会立即被重定向到一个受病毒感染的网站，这利用的是一种古老的微软图形格式中存在的漏洞。在几秒钟内，恶意软件就侵入了你的电脑。

　　暴露在零时差攻击之下

　　当遭遇到这种现象时，说明你已经沦为零时差攻击（Zero-DayAttack）的受害者。这种攻击往往针对某种软件的漏洞，当漏洞刚被发现不久，还没有任何补丁文件被发布并对已知问题进行修复时发起的攻击就叫做零时差攻击。

　　零时差攻击有不断上升之势，据Symantec第十一期全球互联网安全威胁研究报告指出，零差距攻击的事件暴增。去年下半年一共发现了十二个零时差攻击漏洞，远远超过2006上半年所发现的一个零时差攻击漏洞，这无疑让用户暴露在危险且未知的威胁环境中。

　　零时差攻击曾被用户怀疑只是一个厂商唬吓用户的名词；更甚者，则认为零时差攻击是市场推广中的一个新兴词语，不用理会。然而，随着黑客技术愈来愈精湛，零时差攻击从过往发现漏洞并以此渠道进行攻击的时间，由以往的一年，逐渐发展至两天，甚至三天，黑客在扩大其力量之时，企业已不可再像以前般看待零时差攻击，而且必须在多方面为网络作出保护。

　　零时差攻击是黑客近年常用的入侵手段，现在用户的电脑如被感染间谍软件或是电脑病毒，其实多数是被黑客以零时差攻击的手段攻破的。毕竟，盗取资料已经成为黑客的主要目的，他们对信用卡号码和用户隐私深感兴趣。他们在用户电脑上种下的间谍软件，很多情况都是依靠零时差攻击的漏洞植入的。

　　零时差攻击有很多概念，普遍的说法还是指有病毒及漏洞出现后，在修补方法出台前的一段时间企业的大门为黑客敞开，所以也称为空窗期，而我们要做的就是要实现对这个空窗期的保护。

　　新兴以及未知的恶意程式码能够以特洛伊木马、蠕虫、邮件群发病毒、间谍软件或者下载软件病毒的形式，对系统进行破坏。各类的恶意程式码如病毒、蠕虫、木马程式、间谍软件的种类已相当多元化，加上入侵的模式广泛，令终端电脑难以抵御，一般的防毒软件都不足以应付各类恶意程式码的入侵。必须采用专门的零时差保护方案。

　　微软抵御零日攻击下足功夫

　　微软的产品或许是最普遍的零时差攻击目标了，不过其它的常用软件也同样面临着受到攻击的危险。一月份研究人员公布了QuickTime播放程序里的一个漏洞， QuickTime在处理流媒体视频文件时可能让攻击者入侵并控制受害者的电脑。2006年11月份Adobe ActiveX浏览器控件的一个漏洞也会导致受害者电脑被黑客控制。

　　零时差攻击事件的涌现折射出每年公布的软件漏洞数目在不断地上升。据互联网安全机构Xforce所述，2006年软件开发者与研究人员发现了7247个软件漏洞，比起2005年多了整整39%。

　　但是，这些bug中的大多数不会被黑客利用并发起零时差攻击。软件公司经常收到用户反映的bug和程序崩溃的报告，并从中找到安全漏洞，然后在黑客利用这些漏洞发起攻击前就进行修复。如果其它安全专家发现了一个漏洞，他们(总之，大多数会是这样)会按照一套行业惯例——被称作“有道德地透露”——来处理，这套惯例是特别设计用来规避零时差攻击的。

　　在“有道德地透露”原则下，研究人员首先会与软件开发商联系并告知所发现的漏洞情况。开发商在补丁就绪前不会发布相关公告。最先发现漏洞且没有将其公布于众的研究人员会受到公司的信任。

　　但有时候研究人员对于软件开发商调查的进度过慢而感到不满，就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序，有些专家则谴责这种行为，认为这么做违背了行业惯例。

　　不过，微软在新版本Vista上安全方面下的功夫还是有目共睹的。Vista那些大受吹捧的新安全特性在保护你免受零时差攻击方面做得比你想象的要好得多。

　　Vista主要的新特性就是用户帐户控制(UAC)，在Vista里改变了用户帐户的操作许可权限。为了方便起见——因为管理员权限在进行许多系统操作时都是必需的——几乎所有的家庭用户都在管理员帐户设置下运行Windows XP。但攻击者也会利用此设置的特权来修改系统，例如安装含有恶意软件的rootkit。

　　与从前不同的是，默认的Vista用户帐户拥有的权限不高也不低，既不是可以对系统做任何修改的管理员帐户，也不是运行起来处处受缚的guest帐户。微软尝试着让改变易于被人们接受，授予了标准帐户足够的权限来操作一些日常的系统任务，比如安装打印机的驱动程序。但已经有用户抱怨道需要不停地确认一个又一个索要管理员密码的UAC弹出提示框。

　　同样，IE浏览器默认也是以受保护模式运行，此时只拥有最少的许可权限。这样的改变限制了一些零时差攻击劫持你的IE浏览器(比如利用WMF或者VML漏洞)，并对电脑造成太大的破坏。

　　最后一点，Vista与Windows Defender是捆绑发行的，后者可以阻止试图向启动文件夹添加自启动项的恶意软件——比如，把自己伪装成反间谍软件等。Vista同时还会随机改变内存库与程序载入的位置，这样恶意软件在试图找出并更改系统重要进程时就会扑了个空。

　　零时差攻击的保护方案

　　McAFee监测不当行为

　　一般旧有的记号分析扫毒法已不能有效地对抗相关的系统入侵。近年来取而代之的系统保护技术，是行为侦测的监测方式。以使用IE的视窗的用户为例，一般而言，两者之间的沟通都是在应用程式介面（Application Programming Interface，API）的内核中进行。McAfee的系统保安软件运行原理，就是监测两者在当中进行。McAfee的系统保安软件运行原理，就是监测两者在当中的执行情况，对一切有怀疑的程式码（Script）都会加以阻挡。就算有关的行为在病毒定义之内没有记载，为安全计保安软件都会作出阻止，以察安全。

　　Symantec四大技术保护

　　目前，在市场上也有很多厂商已提供具备零时差保护的方案。如Symantec在针对零时差攻击的保安方案上，主要有四大项，包括入侵防御系统（IPS）、应用防火墙（Application Firewall）、行为侦测技术（Behavior-based Protection）及伺服器强化（Server-Hardening）四项。入侵防御系统用于监察深层侦察网络层级的网络流量有否异动；应用防火墙则封锁连接埠以阻止异常的网络入侵；伺服器强化则封锁伺服器的应用。行为侦测技术相比其它技术较为有效地阻止零时差攻击。

　　Sophos具备BGP

　　Sophos向用户提供的零时差保护系统名为“行为基因保障”（Behavioral Genotype Protection，BGP）。BGP可以对用户所使用的网络封包（Network Packets）、档案、电邮、及即时讯息等的执行作出分析，对于有异动的程式举动都会加以封锁。无论有问题的档案是位于USB手指磁碟、光碟或是网络磁碟上，Sophos保安软件都会对其作出隔离，避免用户成为零时差攻击的猎物。同时，该公司在澳洲悉尼设立了SophosLabs，可以为亚太地区的电脑病毒威胁作出预测。虽然完美无瑕的保护基本上是没有可能发生，但Duckin强调Sophos在功预测和作出抵抗数字上，是贴近100%的。

　　F-Secure DeepGuard 抵御

　　F-Secure公司主要以两大产品来抵御零时差攻击，分别是F-Secure 零时差防病毒（Zero-Hour Anti-Virus）技术，这是透过F-Secure 的加密讯息关闸方案来提供保护，透过对电邮关闸的扫描来防止病毒经电邮传入。

　　另一项技术则是F-Secure DeepGuard，这技术主要应用于F-Secure Internet Security 2007 及F-Secure Client Security 7.0。在DeepGuard 技术下，可以透过了解用户习惯的行为分析及记号分析（Signature）来防止新的病毒及威胁攻击。

　　CA HIPS 安全登入

　　针对零时差保护，CA 所提供的资讯保安方面强调完整性，其中该公司所提供的eTrust 的保安系列软件，集整合威胁管理（Integrated Threat Management）、防毒及防间谍软件于一身。另一种更重要保安方案，就是主系统入侵侦测系统（Host-based Intrusion Prevention System，HIPS）。

　　Tipping Point 强调IPS

　　至于Tipping Point 就以入侵防御系统（Intrusion Prevention Systems，IPS）为零时差保护的非常好的方案。该公司的IPS 拥有四种过滤方式：第一，以记号分析来针对已知的问题作出保护；第二，以Protocol Anomaly 要求各种网络协定必符合RFC 规范；第三，以Vulnerability 即时了解各种漏洞并防御；最后，以Traffic Anomaly 对异常流量的即时侦测与控制。

　　Tipping Point 的DVLabs 实验室是专门分析及发现漏洞的研究组织，可确保用户在面对漏洞及空窗期时，获得全面的保障，就以新近被发现微软视窗在处理一些恶意制造出来的“动态浮标”（Animated Cursor），所引致缓冲满溢漏洞的威胁为例，这漏洞早在两年已被Tipping Point 所发现，并早已向其用户提供了保护。