Board logo

标题: [syscoder]江民&微点 杀软行为分析七:杀软对创建文件拦截分析及简单绕过实现 [打印本页]
作者: 点饭的百度空间     时间: 2010-1-21 21:08    标题: [syscoder]江民&微点 杀软行为分析七:杀软对创建文件拦截分析及简单绕过实现

2010-01-21 20:56

  许多杀软对内核的ZwCreateFile进行了挂钩,以便当文件创建时进行过滤和拦截,木马和病毒在开始运行时都要释放文件到某个目录,常见的如释放到Windows目录和System32目录,当杀软发现一个未被识别的进程要在系统关键目录创建文件时会怎么样呢?恩,对于某些杀软来说,总会拦截并通知用户处理,即使你创建的不是可执行文件,即使创建一个空的txt文件也会遭到拦截,这个简直是病毒和木马的恶梦!只是因为根本无法创建文件。

     那么什么杀毒软件这么二呢?随便创建文件都拦截?呵呵,显然这种做法很不合理,只会增加不知道怎么回事的用户的负担,大部分智能主动防御的杀软是不会因为仅仅创建文件而拦截的,像:微点主动防御,卡巴斯基杀毒软件等其它软件。那么什么杀软会拦截呢?恩,我发现江民2009和comodo就是这个样子的。这次分析一下江民2009吧,这个方面江民2009很典型的。江民拦截文件创建如图1:


图1



下面对江民2009进行测试,测试项目和结果如下:

               (1)使用cmd创建文件到windows目录         结果:拦截

                (2)使用有界面的程序创建文件到Windows目录。(没有界面的不用试了~v~!)结果:拦截

           使用有界面的都拦截,没界面就不用试了,呵呵,使用cmd创建文件照样会拦截,截图如下:


由于很多病毒和木马都会使用cmd干坏事,所以干脆连cmd也拦了,这下安全啦!在用户态下在系统关键目录创建文件已被封死,这下病毒和木马只能悲剧了。

                                                                      绕过测试

            其实只要猥琐一点还是能创建文件的,下面开始谈谈绕过对文件创建的拦截,这恐怕是搞XXX的同学最关心的事了,恩,既然不能用cmd就用其它的呗!其实仔细想想很难想出来其它哪个正常的windows程序可以在指定目录创建一个文件,其中regedit.exe算是一个,其实谈到regedit时,某些人已经想到了,呵呵,regedit可以传入命令行执行导出注册表内容到硬盘,至于导出到那个位置和导出的文件名是什么可以有用户自己指定,那么测试一下:在cmd命令行中输入执行:

                    regedit /e c:\windows\test.txt    HKEY_CURRENT_USER\Console
           上面命令执行完后就可以在windows目录下创建一个test.txt文件,而且江民2009不会拦截。估计其它杀毒软件也不会拦截,这个就不截图了,各位同学可以试试,恩,这个方法仅仅用来测试,请各位同学不要干XX事哦!貌似江民2010已经有了变化,不再创建一个文件就拦截了。。。。


[syscoder]杀软行为分析5:微点主动防御对网络通信的拦截
http://bbs.micropoint.com.cn/showthread.asp?tid=64561&fpage=2

[syscoder] 杀软行为分析1-4
http://bbs.micropoint.com.cn/showthread.asp?tid=64560&fpage=2
作者: f8312519     时间: 2010-1-21 21:45
楼主用微点试试看
有什么反应没!!
作者: zzz@zzz     时间: 2010-1-21 22:51
哦,xxx
作者: 点饭的百度空间     时间: 2010-1-22 09:18
发件人     发送时间    消息
SysCoder   2010-01-21 22:00

恩!微点很不错,我也在用微点!!呵呵。。。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn