标题:
由瑞星主动防御看杀软主防的分析与突破
[打印本页]
作者:
点饭的百度空间
时间:
2010-4-11 21:36
标题:
由瑞星主动防御看杀软主防的分析与突破
熊族部落安全网-小熊技术论坛 『 免杀技术交流 』 [原创]由瑞星主动防御看杀软主防的分析与突破
chendianhao
发表日期20100409
如今的主动防御已经成为杀软预防对抗未知病毒的法宝,但是,目前国内很多杀毒软件的主动防御对于主动防御的理解并不深刻,甚至仍然局限在动作防御这一层上,而各位编程牛人和免杀高手依旧被主动防御字眼迷惑,从而感觉无从下手,其实,对抗主动防御很简单...
首先,我们要理解主动防御是怎么实现的,现在大部分的主动防御都是通过各个驱动层挂钩各种API实现拦截应用程序的运行,达到主动防御的目的,但是,仅仅这样的话,主动防御只会碍手碍脚,甚至影响系统运行,当然,我们可以理解,主动防御还存在着一套完整的验证体系,说简单的,也就是一套算法在其中。
也许我说了一堆的废话,那就打个比方:我们现在最常见的远控---灰鸽子,其实,很多程序都具有灰鸽子的特征甚至性质,比如:加载服务、访问网络、加载启动项等等,其实,灰鸽子的特征也很明显:
EXE注入进程、无窗体、自删除、复制系统目录、隐藏启动Iexplorer.exe(或者svchost.exe),这些特征恐怕是很多远控木马都具有的特性,那我们来从杀软的角度上考虑瑞星杀毒软件是怎么拦截灰鸽子的,把我们自己放在瑞星的角度上去设想(不要考虑技术问题,去设想),首先,我们会定义自删除是主动防御特征,正常的程序肯定是不会自删除的,第二,EXE注入进程,还访问网络,这个程序还没有窗体可能是木马,当然,我们会想到外挂,很多一部分外挂也需要注入进程去访问网络,那我们应该补充上一条,加载服务后试图注入进程去访问网络,这个程序可能是木马。
这样,我们去看一下我们的规则,可以看出,如果按照这种规则去挂钩
API,我想,很多木马都在劫难逃。但是,我们不要忘了,程序的运行方式多种多样,比如,我们可以把DLL注入进程,这个DLL只负责被注入后进行网络通讯.这个DLL当然不符合我们所定的规则,然后用一个EXE来注入这个DLL和安装服务,那我们就可以轻松突破主动防御了。错!!杀软并不会那么白痴,现在的杀软已经能够追溯出注入这个DLL的父进程所做的动作。
这样,很多人对这种情况就感觉无从下手,而去转向研究更底层的API来实现相同功能,其实,我们有更简单的方法,一个EXE可以在不同条件下运行不同的过程,记得很多程序可以带参数运行吧?我们的木马是否也可以采用这种方法呢,比如,没有参数的话则会执行安装服务,然后木马带一个特殊参数来执行自己,然后,木马带这个特殊参数会执行注入DLL操作,这样,杀软并没有检测到任何一个符合条件的地方,我们的程序也可以名正言顺通过主动防御了。
其实,现在的主动防御大部分都有自己的算法,我们突破他的方法归根结底就是尽可能的让程序更像一个合法的程序,而模仿的对象我认为,外挂是最好的选择,让远控的运行尽可能的与外挂相似,让杀软更难以区别这两种程序,逼着杀软要不误杀、要不不杀,这才是最好的方法。
dna
楼主所说的参数执行,只能过沙盒模拟执行(沙盒没法知道你的参数从而没法看到猥琐的动作)
可是一旦使用真实参数执行木马的注入操作(提到的自己带参数执行自己),还是一样会触发主防(因为这个时候,猥琐的动作还是会透明的呈现给hips),是吧?
就360来说,他的MD5检测方式注定了会被绕过。
熊族部落安全网 站长mybr
这话偶一点都不赞同,牛人从来就没困惑过,如果连过个主动防御都不知道如何下手,那咋能算牛人啊,顶多是鸟人,马人,蝙蝠侠,奥特曼,怪兽。。。
chendianhao
我现在过主动的思路都是无限接近,无限接近一种软件,那杀软就无语了..
作者:
zzz@zzz
时间:
2010-4-11 22:49
不知道有所少病毒用猥琐的方式绕瑞星主防了。不感兴趣
作者:
chenchuti
时间:
2010-5-14 12:10
瑞星主动防御没用过,也不想试用。
作者:
泰山2010
时间:
2010-5-17 18:00
牛人太多了。
作者:
xuliang
时间:
2010-5-24 10:10
瑞星没什么兴趣。
我现在最喜欢的就只有微点了,用微点几年了。
作者:
Liukeyu
时间:
2010-8-15 14:21
支持微点的主动防御!
作者:
myliukeyu
时间:
2010-9-3 09:23
瑞星的垃圾产品,多少年往外送了,也没有人用,硬可冒险去免费杀毒产品,也不会用它!只会吹大牛,还说什么...
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
