Posted on 2009-10-18 18:04
S.l.e!ep.¢% 閱讀(535)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
當(dāng)?shù)俏Ⅻc(diǎn)最NB了,3年前微點(diǎn)就有自主的微點(diǎn)主動(dòng)防御軟件產(chǎn)品了。
“更為惡劣的是,在未出具任何合法手續(xù)的情況下,電腦竟被在光天化日之下直接送到了競(jìng)爭(zhēng)對(duì)手——瑞星軟件公司那里。”
上面一句話引用:最高人民法院抖出微點(diǎn)事件背后的瑞星 - 誰(shuí)在制造困局?!
http://www.cnbeta.com/articles/14823.htm
上面不了解的樓友們,好好看看,就知道誰(shuí)的主動(dòng)防御最強(qiáng)了。
這個(gè)是一個(gè)技術(shù)強(qiáng)人從技術(shù)層次分析的
超越主動(dòng)防御?揭開瑞星薄弱的保護(hù)防線真面目
看到瑞星2008發(fā)布了所謂”超越傳統(tǒng)HIPS”、“監(jiān)控功能比傳統(tǒng)HIPS的更全面"的功能,當(dāng)時(shí)為之震驚,難道國(guó)產(chǎn)殺毒軟件終于開發(fā)出了強(qiáng)大的HIPS功能了?
立刻下了測(cè)試版安裝,打算進(jìn)行測(cè)試
起初考慮,發(fā)布文章中說(shuō)得如此強(qiáng)大的主動(dòng)防御技術(shù),是不是需要逆向分析才能清楚呢?
可惜,事實(shí)告訴我們,灰盒就夠了
使用Rootkit Unhooker/Gmer工具對(duì)安裝瑞星2008的機(jī)器進(jìn)行掃描即可得出瑞星的保護(hù)究竟在哪了
(1)SSDT HOOK :使用了最原始也是最易恢復(fù)的SSDT掛鉤方式
掛鉤了入下函數(shù):
ZwCreateThread、ZwWriteProcessMemory:用于防止遠(yuǎn)線程注入
ZwLoadDriver:攔截正規(guī)通過(guò)SCM的驅(qū)動(dòng)加載
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于攔截注冊(cè)表操作
ZwTerminateProcess:保護(hù)進(jìn)程不被結(jié)束
(2)ShadowTable掛鉤:掛鉤了兩個(gè)GDI函數(shù):
NtGdiSendInput、NtSetWindowsHookEx
分別用于攔截鍵盤鼠標(biāo)模擬輸入 和全局鉤子
(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驅(qū)動(dòng)的Dispatch Routine:
用于攔截網(wǎng)絡(luò)操作、文件操作
(4)Hook了fsd的iat上的上幾個(gè)函數(shù),和主動(dòng)防御基本無(wú)關(guān)
稍懂內(nèi)核技術(shù)者
從上面就可以看出,這個(gè)所謂的保護(hù)全面、超越傳統(tǒng)HIPS的所謂主動(dòng)防御是多么的弱、多么的不足,多么的容易穿透、多么的可笑了
這個(gè)所謂的主動(dòng)防御體系不但不能說(shuō)超越所謂HIPS(使用的都是過(guò)時(shí)的技術(shù))、另外監(jiān)控非常的不足,可輕易突破,根本不具有主動(dòng)防御的使用價(jià)值,可以說(shuō),根本不能稱之為一個(gè)完整的、可靠的主動(dòng)防御體系,不能稱為IPS
這里就來(lái)隨便說(shuō)幾點(diǎn)這個(gè)體系的一些弱點(diǎn):
弱點(diǎn)1:雞肋的自我進(jìn)程保護(hù):
瑞星在發(fā)布文章中說(shuō)到“開啟了瑞星2008的自我保護(hù)后,使用Icesword也無(wú)法結(jié)束其進(jìn)程”,這句話大家去江民論壇上看看,幾天前江民的2008測(cè)試版出來(lái)的時(shí)候,也是說(shuō)了這么同樣一句話,但是,江民是貨真價(jià)實(shí)不能被結(jié)束,瑞星呢?
不用多說(shuō),拿ICESWORD測(cè)試一下可知,瑞星的所有進(jìn)程都可以被輕易結(jié)束
為什么呢?因?yàn)槿鹦侵粧煦^了ssdt上的NtTerminateProcess,這對(duì)于使用更底層的方式結(jié)束進(jìn)程的Icesword是完全沒(méi)有作用的,同時(shí),只要這個(gè)鉤子被恢復(fù)(在瑞星的全面保護(hù)下恢復(fù)此鉤子也是非常容易的,見(jiàn)后面的弱點(diǎn)分析),使用任務(wù)管理器即可結(jié)束其所有進(jìn)程(大家可以使用一些具有SSDT恢復(fù)功能的工具例如超級(jí)巡警、gmer等試試)
這就是所謂強(qiáng)大的“自我保護(hù)”
弱點(diǎn)2:注冊(cè)表監(jiān)控的多個(gè)漏洞
(1)注冊(cè)表監(jiān)控使用全路徑判斷注冊(cè)表寫入鍵名的方式,這種方式使用一個(gè)小技巧就可以饒過(guò):
先打開想要寫入的鍵的上一層鍵,例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用這個(gè)句柄+Run來(lái)操作這個(gè)注冊(cè)表,即可完全饒過(guò)瑞星的所謂“注冊(cè)表監(jiān)控”,寫入注冊(cè)表
(2)沒(méi)有攔截ZwSaveKey\ZwRestroeKey等方式寫入注冊(cè)表
該方法可以徹底饒過(guò)瑞星的注冊(cè)表監(jiān)控,SSM等專業(yè)的HIPS都已加入對(duì)這個(gè)寫入注冊(cè)表的保護(hù),瑞星根本沒(méi)有攔截這個(gè)關(guān)鍵的地方,居然還敢號(hào)稱超越傳統(tǒng)HIPS,實(shí)在是厚顏
(3)沒(méi)有攔截直接操作HIVE注冊(cè)表方式
該方法和方法2一樣,SSM等也都有攔截
雖然瑞星攔截了ZwLoadDriver來(lái)阻止驅(qū)動(dòng)加載,但是木馬完全可以寫入一個(gè)BOOT0的驅(qū)動(dòng)注冊(cè)表項(xiàng),等待重啟后自然啟動(dòng),那就可以為所欲為了
弱點(diǎn)3:這個(gè)最為致命:沒(méi)有攔截ZwSetSystemInformation和其他一些穿透主動(dòng)防御的常用技術(shù)
入侵者可以通過(guò)ZwSetSystemInformation函數(shù)的LoadAndCallImage方法加載一個(gè)驅(qū)動(dòng)
非常簡(jiǎn)單的就可以做想做的操作,比如恢復(fù)瑞星那些非常容易被恢復(fù)的SSDT鉤子,這些網(wǎng)絡(luò)上都有現(xiàn)成的代碼,也有多個(gè)木馬使用了該技術(shù)進(jìn)行主動(dòng)防御穿透
其他的弱點(diǎn)就不說(shuō)了,免得被木馬利用(上面所說(shuō)的只是一些已被廣泛公開的方法)
這么多缺點(diǎn),保護(hù)極其薄弱的一個(gè)所謂的“主動(dòng)防御”體系,瑞星也好意思說(shuō)超越其他主動(dòng)防御軟件,國(guó)內(nèi)殺毒軟件廠商的淺薄及浮躁,不言自喻。奉勸瑞星還是好好做好技術(shù),不要再等微點(diǎn)出完主動(dòng)防御后幾年,才出來(lái)吹這么一個(gè)根本算不上“主動(dòng)防御”的東西