» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点茶室 » 简析微点【原创】    15   1/2   1   2   >  作者: 标题: 简析微点【原创】 镜湖YES 银牌会员 积分 1225 发帖 1199 注册 2009-3-15 #1  简析微点【原创】 瑞星、卡巴、江民甚至连360都集成有主动防御模块，撇开技术实质和水平来看，我们必须承认主动防御技术已和云安全一同成为国产杀软的两大技术方向。而要谈到主动防御，我们就不得不提微点。 如果仔细考究起来，云安全一词是在2008年7月由趋势科技率先提出的，而主动防御技术早在2005就由微点官方提出，其软件也已基本成型。只是由于一些特殊的原因，直到2008年主动防御才同云安全一道进入大众的视野。那个特殊原因大家心知肚明，这里我就不细说了。本贴以微点为例不仅是因为微点是这一技术的首倡者、先行者，更重要的是，到今天为止，它仍是这一领域的领军者。“一直被模仿，从未被超越”这一句话用在微点身上再合适不过。说到这里，“枪手”一词是不是已经浮现在某些人的脑海里呢？我不是枪手，我只承认自己是点饭。我常往返于微点社区与卡饭论坛之间，懂得的并不比大家多，只是常将“贫贱不能移，富贵不能淫”的话语记在心头。若硬要给我戴上一顶“枪手”的帽子，恕本人不念先贤“以和为贵”的教诲。 言归正传，为了说明主动防御的技术特点，我摘取几段微点官方09年12月31日的病毒快报如下： 木马下载者Trojan-Downloader.Win32.Geral.btg 该样本是使用“Microsoft visual C++/C”编写的“木马下载者，由微点主动防御软件自动捕获，采用“WinUpack”加壳方式试图躲避特征码扫描,加壳后长度为25,540字节，图标为“”， 使用“ exe”扩展名，通过网页木马、下载器下载、移动介质(如U盘)等方式进行传播。   用户中毒后，会出现计算机及网络运行缓慢，杀毒软件无故退出且无法启动，出现大量未知进程等现象。   病毒分析1．病毒运行后动态获取所需API地址，检查"%SystemRoot%\system32\taskmgr.exe"是否存在，不存在就退出当前进程。2．如果"%SystemRoot%\system32\taskmgr.exe"存在，就设置病毒自身为系统、隐藏属性。3．检查病毒所在目录下是否存在AUTORUN.inf，如果不存在，设置系统重启后自我删除，否则就执行explorer.exe。4．创建名称为"YMING"的互斥量，设置自己为"SeDebugPrivilege"权限。5．遍历进程查找ekrn.exe，如果找到就调用命令行删除ekrn服务，结束ekrn.exe和egui.exe进程。6．遍历进程查找nod32.exe，如果找到就调用命令行删除nod32服务，结束nod32krn.exe和nod32kui.exe进程。7．释放动态库文件"%SystemDriver%\bsn.dll"，并设置为隐藏属性。8．遍历进程查找RavMonD.exe，如果找到就结束RavMonD.exe和rstray.exe进程。9．创建线程，枚举并杀毒软件窗口。10．调用rundll32.exe以RKTV为参数加载"%SystemDriver%\sbes.dll"，最后删除此文件。11．在bsn.dll中，释放驱动文件"%SystemRoot%\fonts\pci.sys"，创建名称为"aae"的服务，向名称为"\\.\NUV"的设备发送控制码，查找并结束360tray.exe、360safe.exe、safebox.exe、krnl360svc.exe、zhudongfangyu.exe、rstray.exe、Mcshield.exe等进程，并遍历磁盘删除360和卡巴斯基的安装目录，恢复SSDT。12．创建线程，释放文件并加载动态库文件"%Temp%\nnn1.tmp"。13．在nnn1.tmp中，提升自身权限，创建线程，连接网络，下载病毒列表到本地保存为"%SystemRoot%\Fonts\rh.ini"；创建大量安全软件映像劫持；查找并关闭类名为"AfxControlBar42s"的窗口。14．创建线程，遍历查找进程，如果存在avp.exe，就通过释放avp.exe中的模块使进程退出，然后停止avp服务，退出线程。15．创建线程，检查"%SystemRoot%\system32\dllcache\linkinfo.dll"是否存在，如果不存在，就拷贝"%SystemRoot%\system32\linkinfo.dll"为"%SystemRoot%\system32\dllcache\linkinfo.dll"，将"%SystemRoot%\system32\linkinfo.dll"映射到内存，释放驱动文件"%SystemRoot%\fonts\niuxs.sys"，创建名称为"niuxs"的服务，感染"%SystemRoot%\system32\linkinfo.dll"。 这个马儿动作不少，提权、进程注入、修改注册表、映像劫持，真是“无恶不作”。如果让HIPS或基于HIPS的安全软件来防御的话，木马的绝大多数动作都会被拦截下来，可问题在于，用户要对每一个报警动作作出准确的判断，在忍受频繁询问的同时还承受着无法彻底清除病毒的隐患。那微点又是如何呢？ [ Last edited by 镜湖YES on 2010-1-2 at 13:00 ] ※ ※ ※ 本文纯属【镜湖YES】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 12:30 镜湖YES 银牌会员 积分 1225 发帖 1199 注册 2009-3-15 #2   你看，就一个警示框，明确报出，彻底删除。问题的关键在于微点是如何做出判断的。从警示框可以看出，微点并不是对某一动作的单一报警，而是先让程序运行开来，待判断一个程序为木马的条件全部或基本满足后，就可以下结论，并实施“抓捕”了。当然，不一定要等到木马完全终结的那一刻才作出判断，过程当中就会露出马脚，我们当然不会知道微点是截止到上面的哪一步才作出判断的，但我们仍然可以猜得个大概。 为了更好的说明问题，请让我带着大家温习一下高中数学： 充分条件：有甲这个条件一定会推出乙这个结果，有乙这个结果不一定是　　　　　甲这唯一个条件．关联词是　　只要……就…… 　　　　　　　如　　只要天下雨，地就会湿。 　　　　　有“下雨”这个条件就一定有“地湿”这个结果，但“地湿”这个结果不一定就是“天下雨”造成的，也许还可能有其他的条件原因，如洒水车洒的、别人喷的等等。 必要条件：有甲这个条件不一定能推出乙这个结果，但乙这个结果一定要　　　　　有甲这个条件。关联词是　　只有……才……　 　　　　　　　如　　只有阳光充足，菜才能长得好。　　　　　　　　　　　　　有“阳光充足”这个条件“菜”不一定就长得好，还需要施肥、浇水等其他条件。但“菜”要长得好一定要有“阳光充足”这个条件。   回到正题，请问“修改注册表的就是木马吗？”回到当然是否定的。几乎所有的软件在安装的过程中都要修改注册表，在这一步就像HIPS一样警声长鸣是非常不合适的。但几乎说有的木马都要修改注册表，那么“修改注册表”不是判断程序为木马的充分条件而是一个必要条件。还有，创建和修改服务、开发端口等等。这些都是判断程序为木马的必要条件（个别情况为充分条件），当然可以对这些必要条件进行细分，危险程度也有所不同，如哪些服务的创建和修改是危险的，哪些端口的开发是可疑的等等。将这些必要条件和充分条件结合起来，构筑一个判定木马的逻辑体系（也就是微点官方说的专家系统），将监控中的程序动作与之对比，就可以判断程序是木马、后门、病毒还是蠕虫了。 可见，微点不是HIPS，当然也不是智能化的HIPS。两者原理不同，不可等量齐观。 HIPS监控的是“点”，靠的是规则。不管你是好人还是坏人，不论你是要切菜还是杀人，只要你拿刀，我就报警。 微点监控的是“线”，靠的是条件。拿刀可以，我要看你接下来要做什么，才能下结论，切菜可以，杀人不行。 所以说，主动防御本质上是数学上的逻辑问题。学不好逻辑，其他杀软休想赶上微点，更别提超过了。 说的这里，大家应该明白为什么微点主防没有扫描了吧。（严格说也有，主防有病毒库在选中、复制、粘贴文件等操作的过程中，对收集到的已知病毒进行快速过滤，但这只是辅助）它的原理决定了主防的表现形式。 最后来说说各大杀软的“主动防御”吧。 瑞星2010的主动防御有不小的进步，也是比较接近微点的一个杀软。这让我联想到那个“特殊原因”，事情就容易理解了。理解吧，理解万岁！我什么都没说，你们可不要想歪喽。 卡巴斯基的主动防御彰显了俄罗斯黑客的顶尖技术和核武器的全面杀伤力，不过HIPS的味道还是浓了些。 江民的主防嘛！我们就叫他HIPS吧。 金山嘛……我只能一声叹息。 360的话，可以无视之。 ※ ※ ※ 本文纯属【镜湖YES】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 12:30 镜湖YES 银牌会员 积分 1225 发帖 1199 注册 2009-3-15 #3   写完本贴后，我又发到卡饭论坛，有兴趣的朋友可以去看看卡饭们的点评 http://bbs.kafan.cn/viewthread.p ... ;extra=#pid10519181 ※ ※ ※ 本文纯属【镜湖YES】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 12:38 tustin 版主 积分 5092 发帖 5067 注册 2007-3-10 来自 重庆 #4   楼主的帖子越来越有技术含量了 ※ ※ ※ 本文纯属【tustin】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Micropoint微點——克服滯后殺毒缺陷 開創主動防御時代 2010-1-2 13:31 lucy127 高级用户 积分 850 发帖 843 注册 2009-4-15 来自 广西南宁 #5   我喜欢原创的，有技术含量的文章 ※ ※ ※ 本文纯属【lucy127】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 有微点，没危险 2010-1-2 14:59 坐照 银牌会员 正式版用户 积分 1426 发帖 1422 注册 2009-3-24 来自 湖北宜都 #6   赞一个 ※ ※ ※ 本文纯属【坐照】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 15:28 HomeSGerMine 银牌会员 ■■微点护卫队队长■■ 积分 4888 发帖 4785 注册 2009-3-8 来自 哪里有微点，哪里就有我 #7   学习了~ ※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方之荣耀，  中华之微点！---Microp●int 2010-1-2 16:24 8530 注册用户 积分 62 发帖 62 注册 2009-12-5 #8   好帖 ※ ※ ※ 本文纯属【8530】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 16:42 饭桶小白 高级用户 积分 558 发帖 556 注册 2009-5-9 #9   有时候我就期待第二个熊猫烧香出来，把那些臭嘴都狠狠的抽一巴！看他们还敢小看微点，吹嘘他们的*星！ ※ ※ ※ 本文纯属【饭桶小白】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 17:59 ahyanglf 高级用户 积分 715 发帖 713 注册 2008-11-20 #10   希望看到更加智能的微点出现！ ※ ※ ※ 本文纯属【ahyanglf】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-2 18:15  15   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号