» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【shineast】终于领悟了主动防御   作者: 标题: 【shineast】终于领悟了主动防御 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【shineast】终于领悟了主动防御 资　料: 看雪软件安全论坛 shineast 男, 24岁 帖子: 26 精华: 2 声望: 11    就读过的学校： 西安交大 个人简介： 将漏洞挖掘进行到底! 我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上还有很多问题，但是思想上已经是创新了。 另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。 没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！ 支持微点！今天下午研究出了一套全新思路，突破微点自启动，下次开机进入内核自己干掉微点，其他hips照样88 (微点已解决)   【原创】终于领悟了主动防御     -------------------------------------------------------------------------------- 传统的特征码技术虽然大势已去，但是目前仍能发挥余热，在微点等主动防御软件中还是以此来识别已知病毒、木马的。 不过对于未知病毒我们必须有一套可行，不易被绕过的方法来识别它们。目前盛行的病毒变形、多态技术，使得特征码技术没法做到这一点，那么从行为的角度来考虑的话，就是化代码特征为行为特征，来识别未知病毒。 主动防御，我个人认为是这个大思想（行为技术）下的一个方式方法。当然还有其他的思路和方法。主动防御以监视为基础，当发现一个行为或一系列行为可疑时，该程序就进入了主动防御重点分析的状态，分析其衍生物，同时用特征码的方法分析其关联的文件是否是病毒、木马。如果能够准确的识别出来是已知病毒的话，绝不手软；如果被识别出是未知病毒的话，询问用户，是否放行等。 要推动主动防御技术，必须不断的研究攻防技术，例如自启动，代码注入，kill杀软，注册表操作，文件操作，Rootkit等等，这些目前是绝对的热点，主动防御我个人认为就是防的这些，因此能绕过，很强的！也是很有技术价值的；能防住的就是更有价值的了。这才是攻击与防御最真实的较量！ 另外，虽然有很多人认为，杀软在明处，写病毒，写木马可以通过测试，发现其可绕过之处，从而写出可行的病毒、木马。不过什么都是相对的，只要主动防御杀软能够快速得到这个样本，学习之，再完善自己的核心技术。这样就可以抵御一批使用了这个绕过技术的病毒、木马，岂不乐哉！——事实上，主动防御这种发展模式，最根本的优势是改变了传统杀软的发展模式，化被动为主动，主动的去研究新鲜的绕过技术，完善自身系统，研究技术虽然要比研究病毒单个样本的特征码成本高的多，但是研究出的技术起到了抵御一批病毒、木马的作用。因此一类病毒中只需要研究分析一个即可！我认为在这样一个病毒、木马泛滥成灾的时代里，主动防御的思想反而降低了系统的成本。 那么主动防御没有缺点吗？我认为最大的问题可能就是“查毒”的问题了，传统杀软可以使用特征码的方式查毒，速度很快。然而主动防御面对的是正在运行的程序，是动态的被识别出是否是病毒的。要想实现查毒的功能： 一种方式就是结合虚拟机技术，在虚拟机中运行程序来识别。面对的问题是：显然效率不会高，如何提高效率真是很头疼，我的想法是在网络上部署很多虚拟机，一个主机要查毒，那么可以把这些要查毒的程序，分发给网络上部署的不同的几个虚拟机，大家并行查毒。这样貌似可以大幅度提高效率，而且被查毒的主机不是很累。另外一个问题就是需要虚拟机和真实系统不能差异太大，甚至需要完全一致； 另一种方式就是直接在真实系统中运行，这需要在查出是病毒后，能够有效的回滚到病毒运行前系统的各种状态，这就需要在操作系统上建立一套可行的事务系统，负责do和redo等操作； 第三种方式可以考虑与影子、沙箱系统的结合，放到沙箱系统中去执行，然而沙箱目前不是很完善，很多功能没法在沙箱中实现，病毒的行为可能和在真实系统中的行为有很大差异，甚至没有完成可疑行为，就异常结束了，这样会导致“漏网”。 以上第一、三种方式共同面对的问题是：病毒会很聪明，发现自己在虚拟机、沙箱或影子中，老子直接退出，不玩了，哈哈！这样主动防御想查毒，而病毒不合作。这就类似体检的时候，测体重，你不上秤，怎么称体重？！——这就需要主动防御软件去研究如何“哄骗”病毒木马，而病毒木马需要研究如何防止被“欺骗上当”——仔细想想，是很有意思的，这类似一个博弈，一个循环，就像在下棋，一人一步。我们今天的想象也许就是明天攻防技术的表演。 我没法评判主动防御这步棋，目前还没有想的很清楚，只是自己忽然领悟到了一些东西，赶紧写出来！大家看看，呵呵！ 哎！还不知道自己毕设该怎么做呢，要是做成主动防御的方式，那就需要先深入研究上面的那些技术，之前做的行为监视暂时放下，后面也许会用到。 shineast’s Blog http://hi.baidu.com/shineastdh/b ... 8d43f11bd576d6.html http://bbs.pediy.com/showthread.php?t=64640&tcatid=43 【shineast】东方微点注册表保护绕过及反绕过实现 http://bbs.micropoint.com.cn/showthread.asp?tid=33345&fpage=1 [ Last edited by 点饭的百度空间 on 2008-5-25 at 17:03 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-5-13 21:19 小黄 新手上路 积分 42 发帖 42 注册 2006-10-26 #2   楼主厉害！！！！！！ ※ ※ ※ 本文纯属【小黄】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-14 20:11 qian8123 银牌会员 积分 1187 发帖 1193 注册 2008-3-6 #3   写的很不错啊 ※ ※ ※ 本文纯属【qian8123】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-15 22:25 ma2235153 注册用户 积分 150 发帖 150 注册 2008-3-13 #4   看不太懂！不过哄病毒上钩要是能实现那就太有趣了。 ※ ※ ※ 本文纯属【ma2235153】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-25 19:43 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号