微点交流论坛 - 主动防御 - 超越主动防御？揭开瑞星薄弱的保护防线真面目

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 超越主动防御？揭开瑞星薄弱的保护防线真面目

1/3

红塔山
中级用户

积分 206
发帖 96
注册 2007-7-20

#1 超越主动防御？揭开瑞星薄弱的保护防线真面目

看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能，当时为之震惊，难道国产杀毒软件终于开发出了强大的HIPS功能了？
立刻下了测试版安装，打算进行测试

起初考虑，发布文章中说得如此强大的主动防御技术，是不是需要逆向分析才能清楚呢？
可惜，事实告诉我们，灰盒就够了

使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了

(1)SSDT HOOK :使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束

(2)ShadowTable挂钩:挂钩了两个GDI函数:
NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入和全局钩子

(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作

(4)Hook了fsd的iat上的上几个函数，和主动防御基本无关

稍懂内核技术者
从上面就可以看出,这个所谓的保护全面、超越传统HIPS的所谓主动防御是多么的弱、多么的不足，多么的容易穿透、多么的可笑了

这个所谓的主动防御体系不但不能说超越所谓HIPS（使用的都是过时的技术）、另外监控非常的不足，可轻易突破，根本不具有主动防御的使用价值，可以说，根本不能称之为一个完整的、可靠的主动防御体系，不能称为IPS

这里就来随便说几点这个体系的一些弱点:

弱点1:鸡肋的自我进程保护：
瑞星在发布文章中说到“开启了瑞星2008的自我保护后，使用Icesword也无法结束其进程”，这句话大家去江民论坛上看看，几天前江民的2008测试版出来的时候，也是说了这么同样一句话，但是，江民是货真价实不能被结束，瑞星呢？
不用多说，拿ICESWORD测试一下可知，瑞星的所有进程都可以被轻易结束

为什么呢？因为瑞星只挂钩了ssdt上的NtTerminateProcess，这对于使用更底层的方式结束进程的Icesword是完全没有作用的，同时，只要这个钩子被恢复（在瑞星的全面保护下恢复此钩子也是非常容易的，见后面的弱点分析），使用任务管理器即可结束其所有进程（大家可以使用一些具有SSDT恢复功能的工具例如超级巡警、gmer等试试）
这就是所谓强大的“自我保护”

弱点2:注册表监控的多个漏洞
(1)注册表监控使用全路径判断注册表写入键名的方式，这种方式使用一个小技巧就可以饶过：
先打开想要写入的键的上一层键，例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用这个句柄+Run来操作这个注册表，即可完全饶过瑞星的所谓“注册表监控”，写入注册表

(2)没有拦截ZwSaveKey\ZwRestroeKey等方式写入注册表
该方法可以彻底饶过瑞星的注册表监控，SSM等专业的HIPS都已加入对这个写入注册表的保护，瑞星根本没有拦截这个关键的地方，居然还敢号称超越传统HIPS，实在是厚颜

(3)没有拦截直接操作HIVE注册表方式
该方法和方法2一样，SSM等也都有拦截

虽然瑞星拦截了ZwLoadDriver来阻止驱动加载，但是木马完全可以写入一个BOOT0的驱动注册表项，等待重启后自然启动，那就可以为所欲为了

弱点3:这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术
入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动
非常简单的就可以做想做的操作，比如恢复瑞星那些非常容易被恢复的SSDT钩子，这些网络上都有现成的代码，也有多个木马使用了该技术进行主动防御穿透

其他的弱点就不说了，免得被木马利用（上面所说的只是一些已被广泛公开的方法）

这么多缺点，保护极其薄弱的一个所谓的“主动防御”体系，瑞星也好意思说超越其他主动防御软件，国内杀毒软件厂商的浅薄及浮躁，不言自喻。奉劝瑞星还是好好做好技术，不要再等微点出完主动防御后几年，才出来吹这么一个根本算不上“主动防御”的东西
转自：http://rootkit.5d6d.com/thread-34-1-1.html

※ ※ ※ 本文纯属【红塔山】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 10:36

zayss
高级用户

积分 533
发帖 531
注册 2007-1-22
来自湖北武汉

#2

昏，不就是个HIPS

※ ※ ※ 本文纯属【zayss】个人意见，与【微点交流论坛】立场无关※ ※ ※

微点单机版
微点民间粉丝群29129039

2007-8-16 10:52

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#3

老帖子

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2007-8-16 10:53

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#4

瑞星不仅仅用了HIPS 也用了家族特征判断

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 10:57

foolwolf
新手上路

积分 5
发帖 5
注册 2007-8-16

#5

没有刘旭的瑞星，就一泼妇而已。不会再用瑞星。

※ ※ ※ 本文纯属【foolwolf】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 11:42

步步高升
新手上路

积分 34
发帖 34
注册 2007-8-15

#6

说得有点过了。不是才公测吗，一些技术会慢慢完善。

※ ※ ※ 本文纯属【步步高升】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 12:03

sidineyqiao
版主

体育娱乐休闲版主

积分 1697
发帖 1584
注册 2007-8-2
来自庆祝微点上市一周年624-630

#7

事实胜于雄辩

※ ※ ※ 本文纯属【sidineyqiao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 14:24

文菲
注册用户

积分 54
发帖 54
注册 2007-7-14

#8

问题是只怕在这个MJ0011看来微点也不行

※ ※ ※ 本文纯属【文菲】个人意见，与【微点交流论坛】立场无关※ ※ ※

受人涌泉之恩，当以滴水相报

2007-8-16 16:53

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

Quote:

Originally posted by 文菲 at 2007-8-16 16:53:
问题是只怕在这个MJ0011看来微点也不行

这个家伙老可怕

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 17:13

神秘人
中级用户

积分 235
发帖 235
注册 2007-8-11

#10

江民2年的主动防御都一般，瑞星才刚起步，就想一步登天啊，可能吗？都没有技术积累，就像一步登天，做梦！

※ ※ ※ 本文纯属【神秘人】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-16 17:40

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号