微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 灌水区 » 如何识别杀毒软件中的“主动防御功能”希望微点予以澄清、回击!  

 13  1/2  1  2  > 
作者:
标题: 如何识别杀毒软件中的“主动防御功能”希望微点予以澄清、回击!
njzxlzy
新手上路





积分 25
发帖 25
注册 2006-11-13
#1  如何识别杀毒软件中的“主动防御功能”希望微点予以澄清、回击!

如何识别杀毒软件中的“主动防御功能”



完整的主动防御功能列表

    自2006年起,一些厂商开始炒作“主动防御”概念,但是他们所谓的主动防御其实只有很少的几项功能,只有HIPS中的几项、或者只有传统监控的几项。瑞星认为,只有全面实现三个层级的主动防御,才是真正意义上的“主动防御功能”,如果用户使用不完全的主动防御,将给自己带来严重的安全风险。

http://it.rising.com.cn/Channels ... 7148537d43676.shtml


以上是在瑞星官网上看到的,希望微点予以澄清、回击!

※ ※ ※ 本文纯属【njzxlzy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-16 21:54
查看资料  发送邮件  发短消息   编辑帖子
天道酬勤
中级用户

初级会员


积分 208
发帖 188
注册 2006-5-2
#2  

看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?
立刻下了测试版安装,打算进行测试

起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?
可惜,事实告诉我们,灰盒就够了

使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了

(1)SSDT HOOK :使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束

(2)ShadowTable挂钩:挂钩了两个GDI函数:
NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入 和全局钩子

(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作

(4)Hook了fsd的iat上的上几个函数,和主动防御基本无关

稍懂内核技术者
从上面就可以看出,这个所谓的保护全面、超越传统HIPS的所谓主动防御是多么的弱、多么的不足,多么的容易穿透、多么的可笑了

这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完整的、可靠的主动防御体系,不能称为IPS

这里就来随便说几点这个体系的一些弱点:

弱点1:鸡肋的自我进程保护:
瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真价实不能被结束,瑞星呢?
不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束

为什么呢?因为瑞星只挂钩了ssdt上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器即可结束其所有进程(大家可以使用一些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)
这就是所谓强大的“自我保护”


弱点2:注册表监控的多个漏洞
(1)注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过:
先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表


(2)没有拦截ZwSaveKey\ZwRestroeKey等方式写入注册表
该方法可以彻底饶过瑞星的注册表监控,SSM等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,居然还敢号称超越传统HIPS,实在是厚颜

(3)没有拦截直接操作HIVE注册表方式
该方法和方法2一样,SSM等也都有拦截

虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了

弱点3:这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术
入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动
非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透


其他的弱点就不说了,免得被木马利用(上面所说的只是一些已被广泛公开的方法)


这么多缺点,保护极其薄弱的一个所谓的“主动防御”体系,瑞星也好意思说超越其他主动防御软件,国内杀毒软件厂商的浅薄及浮躁,不言自喻。奉劝瑞星还是好好做好技术,不要再等微点出完主动防御后几年,才出来吹这么一个根本算不上“主动防御”的东西

转自-Rootkit中国论坛-论坛管理员MJ0011(此论坛为专门研究驱动的专业论坛,发帖人是这个论坛的站长)

你就不要被瑞星忽悠了,那种垃圾货色还敢和微点比,引用卡饭论坛bridgewr的话:见过不要脸的,没见过这么不要脸的.

※ ※ ※ 本文纯属【天道酬勤】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-16 22:27
查看资料  发短消息   编辑帖子
太阳东升
注册用户





积分 132
发帖 132
注册 2007-8-16
#3  

MJ0011是360的人,以前360论坛的版主。那个帖,毫无意义。攻击对手罢了。

※ ※ ※ 本文纯属【太阳东升】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-17 10:08
查看资料  发短消息   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#4  

安装好杀毒软件后,不要升级,拿最新出现的病毒测试。

[ Last edited by 微点专家 on 2007-8-17 at 13:40 ]

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2007-8-17 10:39
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
jobcreep
银牌会员

我的昵称:小爬


积分 2527
发帖 2527
注册 2007-7-13
来自 陕西西安
#5  

楼上的方法好

※ ※ ※ 本文纯属【jobcreep】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

在蓝天下
献给你
我最好的年华!
我的博客“杂货铺”,普天之下,没有我不关心的!
http://hexun.com/jobcreep1899/default.html   
2007-8-17 13:04
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#6  



  Quote:
Originally posted by jobcreep at 2007-8-17 13:04:
楼上的方法好

只有这样才能分辨好坏

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2007-8-18 10:52
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
zayss
高级用户




积分 533
发帖 531
注册 2007-1-22
来自 湖北武汉
#7  

瑞星对主动防御的解释完全是忽悠菜鸟的

※ ※ ※ 本文纯属【zayss】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点单机版
微点民间粉丝群29129039
2007-8-18 11:04
查看资料  发短消息   编辑帖子
skychong
注册用户




积分 128
发帖 126
注册 2007-2-10
#8  别跟 Rising 发疯~

拿几个病毒试试 最有用~       天天说他有什么技术!  拿病毒试下,什么技术不就知道了~                  

    只能说 Rising的技术人员很忙!  
   2006时,先是花了N年开发了第八代虚拟机脱壳引擎(VUE)                    
   2007时, 瑞星专家在经过对几十万种病毒的危险行为分析~搞出了2008主动防御
   自己是测试版时就说自己的~主动防御~很强!

   还说别人的~主动防御~不完整! 看来就是Rising最厉害咯!

[ Last edited by skychong on 2007-8-18 at 11:15 ]

※ ※ ※ 本文纯属【skychong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://hi.baidu.com/sky%5Fchong][size=5][color=Lime]我的.绿化空间[/color][/size]   [/url]
2007-8-18 11:13
查看资料  访问主页  发短消息   编辑帖子
老毛
注册用户

初级会员



积分 167
发帖 168
注册 2005-10-23
#9  

还自认为有资格给主动防御定义,呵呵。。。
其实定义不重要,关键的是效果。

※ ※ ※ 本文纯属【老毛】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-18 11:22
查看资料  发短消息   编辑帖子
zj163168
中级用户





积分 263
发帖 263
注册 2007-1-17
#10  

这种事,只有杀毒评测机构,或者相关的政府部门,才有资格评定.
微点要是做这种事,
等于把自己放在火上烤.

※ ※ ※ 本文纯属【zj163168】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-20 09:20
查看资料  发送邮件  发短消息   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号