微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 灌水区 » [转]瑞星2008主动防御技术分析  

作者:
标题: [转]瑞星2008主动防御技术分析
408983504
银牌会员

此用户已被禁言


积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#1  [转]瑞星2008主动防御技术分析

转自:http://www.cnbeta.com/articles/36496.htm

注:删除了作者的一些措辞强烈的结论,只保留技术分析的部分,请见谅。
看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。

起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?可惜,事实告诉我们,灰盒就够了。使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了。

(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束

(2) ShadowTable挂钩:
挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入 和全局钩子

(3) Hook了TcpipNtfsFastFatCdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作

(4) Hook了fsd的iat上的上几个函数,和主动防御基本无关

稍懂内核技术者从上面就可以看出,这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完整的、可靠的主动防御体系,不能称为IPS。

这里就来随便说几点这个体系的一些弱点:

弱点1 - 鸡肋的自我进程保护:

瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真价实不能被结束,瑞星呢?
不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束为什么呢?因为瑞星只挂钩了ssdt上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器即可结束其所有进程(大家可以使用一 些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)。

弱点2 - 注册表监控的多个漏洞

(1) 注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过:
先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控,SSM等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,(CB注:此处省略若干字*******)。
(3) 没有拦截直接操作HIVE注册表方式。该方法和方法2一样,SSM等也都有拦截。
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。

弱点3 - 这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术

入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动,非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透。

上面所说的只是一些已被广泛公开的方法,其他的弱点就不说了,免得被木马利用。(CB注:此处省略若干字*******)。

※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

三用户版续费真TM的便宜啊!
2007-8-15 19:56
查看资料  发送邮件  发短消息  QQ   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#2  

被结束后
瑞星的全部监控会处在不可启动的状态下

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-8-15 20:01
查看资料  发送邮件  发短消息   编辑帖子
408983504
银牌会员

此用户已被禁言


积分 1271
发帖 1238
注册 2007-1-6
来自 广东
#3  

哈哈
我就没有试过
不过我试过内测版的
同微点不知道是否有冲突
容易挂掉机器(先前打错字,请见谅!)
于是还原了系统。。。

[ Last edited by 408983504 on 2007-8-15 at 20:09 ]

※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

三用户版续费真TM的便宜啊!
2007-8-15 20:03
查看资料  发送邮件  发短消息  QQ   编辑帖子
leelee
高级用户




积分 582
发帖 568
注册 2006-12-16
#4  

楼主你的电脑常识真的不怎么样。。。。。。。。

※ ※ ※ 本文纯属【leelee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-15 20:05
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#5  



  Quote:
Originally posted by 408983504 at 2007-8-15 20:03:
哈哈
我就没有试过
不过我试过内测版的
同微点不知道是否有冲突
容易挂掉机器(先前打错字,请见谅!)
于是还原了系统。。。

[ Last edited by 408983504 on 2007-8-15 at 20:09 ]

没有冲突
谢谢合作

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-8-15 20:21
查看资料  发送邮件  发短消息   编辑帖子
wyatt
中级用户




积分 420
发帖 412
注册 2007-5-23
#6  



  Quote:
Originally posted by qq2008444 at 2007-8-15 20:01:
被结束后
瑞星的全部监控会处在不可启动的状态下

呵呵
我已经验证过了,确实不可以再次重新启动

另外许多其他的都和上投那位的分析完全一样啊~
这*星,牛皮吹得也忒早了,还没有出来东西呢就吹到天上了~

※ ※ ※ 本文纯属【wyatt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-16 00:13
查看资料  发短消息   编辑帖子
kangbingzhen
中级用户




积分 334
发帖 320
注册 2007-4-2
来自 河南驻马店西平
#7  

用微点,就不用X星。

※ ※ ※ 本文纯属【kangbingzhen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-16 08:49
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#8  

饿是从内测用到公测的
大小问题没多少补上的
不过有改进
应该表扬

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-8-16 09:34
查看资料  发送邮件  发短消息   编辑帖子
kangbingzhen
中级用户




积分 334
发帖 320
注册 2007-4-2
来自 河南驻马店西平
#9  



  Quote:
Originally posted by 408983504 at 2007-8-15 19:56:
转自:http://www.cnbeta.com/articles/36496.htm

注:删除了作者的一些措辞强烈的结论,只保留技术分析的部分,请见谅。
看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传 ...

""江民是货真价实不能被结束,瑞星呢?
我试了试,江民的进程照样被icesword结束。

※ ※ ※ 本文纯属【kangbingzhen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-16 17:56
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#10  

按这种说法
微点也能被ICESWORD解决呢


※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-8-16 22:55
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号