Posted on 2009-10-18 18:04
S.l.e!ep.¢% 閱讀(535)
評論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
當?shù)俏Ⅻc最NB了,3年前微點就有自主的微點主動防御軟件產(chǎn)品了。
“更為惡劣的是,在未出具任何合法手續(xù)的情況下,電腦竟被在光天化日之下直接送到了競爭對手——瑞星軟件公司那里。”
上面一句話引用:最高人民法院抖出微點事件背后的瑞星 - 誰在制造困局?!
http://www.cnbeta.com/articles/14823.htm
上面不了解的樓友們,好好看看,就知道誰的主動防御最強了。
這個是一個技術(shù)強人從技術(shù)層次分析的
超越主動防御?揭開瑞星薄弱的保護防線真面目
看到瑞星2008發(fā)布了所謂”超越傳統(tǒng)HIPS”、“監(jiān)控功能比傳統(tǒng)HIPS的更全面"的功能,當時為之震驚,難道國產(chǎn)殺毒軟件終于開發(fā)出了強大的HIPS功能了?
立刻下了測試版安裝,打算進行測試
起初考慮,發(fā)布文章中說得如此強大的主動防御技術(shù),是不是需要逆向分析才能清楚呢?
可惜,事實告訴我們,灰盒就夠了
使用Rootkit Unhooker/Gmer工具對安裝瑞星2008的機器進行掃描即可得出瑞星的保護究竟在哪了
(1)SSDT HOOK :使用了最原始也是最易恢復的SSDT掛鉤方式
掛鉤了入下函數(shù):
ZwCreateThread、ZwWriteProcessMemory:用于防止遠線程注入
ZwLoadDriver:攔截正規(guī)通過SCM的驅(qū)動加載
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于攔截注冊表操作
ZwTerminateProcess:保護進程不被結(jié)束
(2)ShadowTable掛鉤:掛鉤了兩個GDI函數(shù):
NtGdiSendInput、NtSetWindowsHookEx
分別用于攔截鍵盤鼠標模擬輸入 和全局鉤子
(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驅(qū)動的Dispatch Routine:
用于攔截網(wǎng)絡操作、文件操作
(4)Hook了fsd的iat上的上幾個函數(shù),和主動防御基本無關(guān)
稍懂內(nèi)核技術(shù)者
從上面就可以看出,這個所謂的保護全面、超越傳統(tǒng)HIPS的所謂主動防御是多么的弱、多么的不足,多么的容易穿透、多么的可笑了
這個所謂的主動防御體系不但不能說超越所謂HIPS(使用的都是過時的技術(shù))、另外監(jiān)控非常的不足,可輕易突破,根本不具有主動防御的使用價值,可以說,根本不能稱之為一個完整的、可靠的主動防御體系,不能稱為IPS
這里就來隨便說幾點這個體系的一些弱點:
弱點1:雞肋的自我進程保護:
瑞星在發(fā)布文章中說到“開啟了瑞星2008的自我保護后,使用Icesword也無法結(jié)束其進程”,這句話大家去江民論壇上看看,幾天前江民的2008測試版出來的時候,也是說了這么同樣一句話,但是,江民是貨真價實不能被結(jié)束,瑞星呢?
不用多說,拿ICESWORD測試一下可知,瑞星的所有進程都可以被輕易結(jié)束
為什么呢?因為瑞星只掛鉤了ssdt上的NtTerminateProcess,這對于使用更底層的方式結(jié)束進程的Icesword是完全沒有作用的,同時,只要這個鉤子被恢復(在瑞星的全面保護下恢復此鉤子也是非常容易的,見后面的弱點分析),使用任務管理器即可結(jié)束其所有進程(大家可以使用一些具有SSDT恢復功能的工具例如超級巡警、gmer等試試)
這就是所謂強大的“自我保護”
弱點2:注冊表監(jiān)控的多個漏洞
(1)注冊表監(jiān)控使用全路徑判斷注冊表寫入鍵名的方式,這種方式使用一個小技巧就可以饒過:
先打開想要寫入的鍵的上一層鍵,例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用這個句柄+Run來操作這個注冊表,即可完全饒過瑞星的所謂“注冊表監(jiān)控”,寫入注冊表
(2)沒有攔截ZwSaveKey\ZwRestroeKey等方式寫入注冊表
該方法可以徹底饒過瑞星的注冊表監(jiān)控,SSM等專業(yè)的HIPS都已加入對這個寫入注冊表的保護,瑞星根本沒有攔截這個關(guān)鍵的地方,居然還敢號稱超越傳統(tǒng)HIPS,實在是厚顏
(3)沒有攔截直接操作HIVE注冊表方式
該方法和方法2一樣,SSM等也都有攔截
雖然瑞星攔截了ZwLoadDriver來阻止驅(qū)動加載,但是木馬完全可以寫入一個BOOT0的驅(qū)動注冊表項,等待重啟后自然啟動,那就可以為所欲為了
弱點3:這個最為致命:沒有攔截ZwSetSystemInformation和其他一些穿透主動防御的常用技術(shù)
入侵者可以通過ZwSetSystemInformation函數(shù)的LoadAndCallImage方法加載一個驅(qū)動
非常簡單的就可以做想做的操作,比如恢復瑞星那些非常容易被恢復的SSDT鉤子,這些網(wǎng)絡上都有現(xiàn)成的代碼,也有多個木馬使用了該技術(shù)進行主動防御穿透
其他的弱點就不說了,免得被木馬利用(上面所說的只是一些已被廣泛公開的方法)
這么多缺點,保護極其薄弱的一個所謂的“主動防御”體系,瑞星也好意思說超越其他主動防御軟件,國內(nèi)殺毒軟件廠商的淺薄及浮躁,不言自喻。奉勸瑞星還是好好做好技術(shù),不要再等微點出完主動防御后幾年,才出來吹這么一個根本算不上“主動防御”的東西