最近，電腦安全領(lǐng)域可謂風(fēng)生水起。以前只做安全輔助軟件的360公司推出了一款叫《360殺毒》的免費(fèi)殺毒軟件，頓時(shí)使得不少老牌的商業(yè)殺毒軟件也爭(zhēng)先恐后地打起了免費(fèi)牌，彼此間也展開(kāi)了一場(chǎng)沸沸揚(yáng)揚(yáng)的商場(chǎng)口水戰(zhàn)。雖然我是一名閑得無(wú)聊的安全技術(shù)愛(ài)好者，但對(duì)于商業(yè)炒作始終提不起興趣。我只對(duì)如何攻破各種殺毒軟件和安全輔助軟件的防御系統(tǒng)著迷！別的不說(shuō)，光把各安全廠(chǎng)商吹噓得固若金湯的軟件神話(huà)打破，就很有技術(shù)勝利的成就感，呵呵！本次，就請(qǐng)大家看看我是如何模擬病毒和黑客行為，來(lái)一招放倒這些安全軟件的吧！

小小文件夾，放倒《360安全衛(wèi)士》

首先，拿很多電腦中都安裝了的《360安全衛(wèi)士》開(kāi)刀吧！試試能否一招放倒它。

啟動(dòng)《360安全衛(wèi)士》后，在上方工具欄中切換到“高級(jí)”項(xiàng)，選中里面的“360tray.exe”進(jìn)程。看到它下方的進(jìn)程中有一個(gè)名為“WS2_32.dll”的進(jìn)程沒(méi)有？就是其后面還有Windows Socket 2.0等描述字樣的那個(gè)（如圖1）。讓我們記下“WS2_32.dll”這個(gè)名字，然后進(jìn)入《360安全衛(wèi)士》的安裝目錄（一般是“C:\\Program Files\\360safe”）。在安裝目錄中點(diǎn)擊鼠標(biāo)右鍵，新建一個(gè)名為“WS2_32.dll”的文件夾，就大功告成了！

現(xiàn)在把系統(tǒng)任務(wù)托盤(pán)中的《360安全衛(wèi)士》退出，再次運(yùn)行它試試！看是不是不能啟動(dòng)，彈出了一個(gè)錯(cuò)誤提示的警告窗口（如圖2）？就這樣，新建一個(gè)小小的文件夾，就能搞死《360安全衛(wèi)士》。其中的原因，我稍后解釋。

一波兩折，殺毒軟件奈我何

下面請(qǐng)出大名鼎鼎的殺毒軟件——《江民2008》和《卡巴斯基7.0》。之所以請(qǐng)它們兩位，是因?yàn)榍罢呤菄?guó)內(nèi)老牌的殺毒軟件，后者是國(guó)際知名的殺毒軟件，各有其代表性。我測(cè)試的步驟與前面的基本相同，打開(kāi)資源管理器分別進(jìn)入這兩款殺毒軟件的安裝目錄，使用鼠標(biāo)右鍵建立一個(gè)名為“WS2_32.dll”的文件夾。

結(jié)果——我可以告訴你，我失敗了！原因是這兩款殺毒軟件都拒絕我建立“WS2_32.dll”文件夾，這是它們的主動(dòng)防御功能在起作用。此路不通，我換種思路：在資源管理器中不能建立文件夾，那就換到命令行下建立。具體步驟如下：先依次點(diǎn)擊菜單“開(kāi)始→程序→附件→命令提示符”進(jìn)入命令行窗口；再輸入“cd\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security7.0”命令進(jìn)入《卡巴斯基7.0》的安裝目錄；最后用“md ws2_32.dll”命令創(chuàng)建文件夾，成功！

現(xiàn)在來(lái)檢查一下效果。把《卡巴斯基7.0》的監(jiān)控程序退出，再重新運(yùn)行它，結(jié)果無(wú)法運(yùn)行，它失效了！同樣的方法，也適用于《江民2008》。為了證實(shí)這一漏洞對(duì)其他安全軟件也有影響，我還選擇了“趨勢(shì)”、“終截者”等安全軟件，結(jié)果一一應(yīng)驗(yàn)，全部中招！不過(guò)，由于我的條件有限，沒(méi)有測(cè)試最新的《卡巴斯基2009》，而更多的殺毒軟件和安全輔助軟件，有技術(shù)研究興趣的讀者朋友也可以用以上的方法去測(cè)試。

揭露真相，其實(shí)不是我的錯(cuò)

大家都知道，電腦安全是不允許有任何短板的，一個(gè)小小的漏洞往往會(huì)造成很?chē)?yán)重的后果。以上問(wèn)題的關(guān)鍵，就出在“WS2_32.dll”描述中的那個(gè)Windows Socket 2.0！這說(shuō)明“WS2_32.dll”是用于支持Internet和網(wǎng)絡(luò)應(yīng)用程序所必需的動(dòng)態(tài)鏈接庫(kù)文件。而如今的殺毒軟件和安全輔助軟件都毫無(wú)例外地整合了自動(dòng)在線(xiàn)更新的功能，因此它們?cè)谶\(yùn)行時(shí)必然會(huì)調(diào)用該文件。

動(dòng)態(tài)鏈接庫(kù)文件的調(diào)用順序，首先是訪(fǎng)問(wèn)相關(guān)軟件的安裝目錄，其次才是系統(tǒng)目錄。在正常情況下，殺毒軟件和安全輔助軟件的安裝目錄中都不存在“WS2_32.dll”，因此這些軟件運(yùn)行時(shí)只能從系統(tǒng)目錄中調(diào)用它（如圖3）。而在剛才，我人為地在這些軟件的安裝目錄中創(chuàng)建了一個(gè)與此文件同名的文件夾，則干擾了這些軟件對(duì)此文件的正常調(diào)用，從而導(dǎo)致調(diào)用出錯(cuò)，軟件無(wú)法正常運(yùn)行。

知己知彼，防患于未然

由于此漏洞的技術(shù)含量不高但破壞效果大，因而一旦被黑客或病毒利用，那我們電腦中由殺毒軟件和安全輔助軟件筑起的安全防線(xiàn)就會(huì)瞬間崩潰！

幸好，要防范它也比較容易。譬如使用《微點(diǎn)主動(dòng)防御軟件》或《瑞星殺毒軟件》，它們就不受這個(gè)漏洞的影響。只要這兩款殺毒軟件的實(shí)時(shí)監(jiān)控功能處于開(kāi)啟狀態(tài)，那么任何在其安裝目錄中新建文件或文件夾的行為都會(huì)被即時(shí)攔截和拒絕。

《微點(diǎn)主動(dòng)防御軟件》官方網(wǎng)址：http://www.micropoint.com.cn/

《瑞星殺毒軟件》官方網(wǎng)址：http://www.rising.com.cn/

而對(duì)于動(dòng)手能力較強(qiáng)的人，只要把自己電腦中殺毒軟件和安全輔助軟件的監(jiān)控措施設(shè)置到位，嚴(yán)格拒絕通過(guò)腳本或命令行的方式在其安裝目錄中創(chuàng)建文件和文件夾就行了。

雖然目前還未看到有黑客或病毒利用此漏洞興風(fēng)作亂，但將來(lái)難以保證，因此我們還是早早提防為妙。