Posted on 2009-10-18 18:04
S.l.e!ep.¢% 閱讀(531)
評論(0) 編輯 收藏 引用 所屬分類:
Windows WDM
當但是微點最NB了��,3年前微點就有自主的微點主動防御軟件產品了����。
“更為惡劣的是,在未出具任何合法手續的情況下,電腦竟被在光天化日之下直接送到了競爭對手——瑞星軟件公司那里?���!?/font>
上面一句話引用:最高人民法院抖出微點事件背后的瑞星 - 誰在制造困局?!
http://www.cnbeta.com/articles/14823.htm
上面不了解的樓友們�����,好好看看,就知道誰的主動防御最強了����。
這個是一個技術強人從技術層次分析的
超越主動防御?揭開瑞星薄弱的保護防線真面目
看到瑞星2008發布了所謂”超越傳統HIPS”����、“監控功能比傳統HIPS的更全面"的功能����,當時為之震驚����,難道國產殺毒軟件終于開發出了強大的HIPS功能了?
立刻下了測試版安裝�����,打算進行測試
起初考慮��,發布文章中說得如此強大的主動防御技術�����,是不是需要逆向分析才能清楚呢?
可惜����,事實告訴我們�����,灰盒就夠了
使用Rootkit Unhooker/Gmer工具對安裝瑞星2008的機器進行掃描即可得出瑞星的保護究竟在哪了
(1)SSDT HOOK :使用了最原始也是最易恢復的SSDT掛鉤方式
掛鉤了入下函數:
ZwCreateThread、ZwWriteProcessMemory:用于防止遠線程注入
ZwLoadDriver:攔截正規通過SCM的驅動加載
ZwSetValueKey��、ZwCreateKey�����、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey����、ZwRenameKey:
用于攔截注冊表操作
ZwTerminateProcess:保護進程不被結束
(2)ShadowTable掛鉤:掛鉤了兩個GDI函數:
NtGdiSendInput��、NtSetWindowsHookEx
分別用于攔截鍵盤鼠標模擬輸入 和全局鉤子
(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驅動的Dispatch Routine:
用于攔截網絡操作、文件操作
(4)Hook了fsd的iat上的上幾個函數����,和主動防御基本無關
稍懂內核技術者
從上面就可以看出,這個所謂的保護全面��、超越傳統HIPS的所謂主動防御是多么的弱��、多么的不足,多么的容易穿透�����、多么的可笑了
這個所謂的主動防御體系不但不能說超越所謂HIPS(使用的都是過時的技術)�����、另外監控非常的不足��,可輕易突破,根本不具有主動防御的使用價值��,可以說����,根本不能稱之為一個完整的、可靠的主動防御體系����,不能稱為IPS
這里就來隨便說幾點這個體系的一些弱點:
弱點1:雞肋的自我進程保護:
瑞星在發布文章中說到“開啟了瑞星2008的自我保護后�����,使用Icesword也無法結束其進程”�����,這句話大家去江民論壇上看看�����,幾天前江民的2008測試版出來的時候,也是說了這么同樣一句話,但是��,江民是貨真價實不能被結束��,瑞星呢�����?
不用多說,拿ICESWORD測試一下可知,瑞星的所有進程都可以被輕易結束
為什么呢?因為瑞星只掛鉤了ssdt上的NtTerminateProcess,這對于使用更底層的方式結束進程的Icesword是完全沒有作用的�����,同時�����,只要這個鉤子被恢復(在瑞星的全面保護下恢復此鉤子也是非常容易的�����,見后面的弱點分析)����,使用任務管理器即可結束其所有進程(大家可以使用一些具有SSDT恢復功能的工具例如超級巡警��、gmer等試試)
這就是所謂強大的“自我保護”
弱點2:注冊表監控的多個漏洞
(1)注冊表監控使用全路徑判斷注冊表寫入鍵名的方式,這種方式使用一個小技巧就可以饒過:
先打開想要寫入的鍵的上一層鍵����,例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用這個句柄+Run來操作這個注冊表����,即可完全饒過瑞星的所謂“注冊表監控”�����,寫入注冊表
(2)沒有攔截ZwSaveKey\ZwRestroeKey等方式寫入注冊表
該方法可以徹底饒過瑞星的注冊表監控����,SSM等專業的HIPS都已加入對這個寫入注冊表的保護,瑞星根本沒有攔截這個關鍵的地方����,居然還敢號稱超越傳統HIPS����,實在是厚顏
(3)沒有攔截直接操作HIVE注冊表方式
該方法和方法2一樣��,SSM等也都有攔截
雖然瑞星攔截了ZwLoadDriver來阻止驅動加載��,但是木馬完全可以寫入一個BOOT0的驅動注冊表項,等待重啟后自然啟動�����,那就可以為所欲為了
弱點3:這個最為致命:沒有攔截ZwSetSystemInformation和其他一些穿透主動防御的常用技術
入侵者可以通過ZwSetSystemInformation函數的LoadAndCallImage方法加載一個驅動
非常簡單的就可以做想做的操作��,比如恢復瑞星那些非常容易被恢復的SSDT鉤子,這些網絡上都有現成的代碼,也有多個木馬使用了該技術進行主動防御穿透
其他的弱點就不說了�����,免得被木馬利用(上面所說的只是一些已被廣泛公開的方法)
這么多缺點����,保護極其薄弱的一個所謂的“主動防御”體系,瑞星也好意思說超越其他主動防御軟件����,國內殺毒軟件廠商的淺薄及浮躁����,不言自喻����。奉勸瑞星還是好好做好技術,不要再等微點出完主動防御后幾年����,才出來吹這么一個根本算不上“主動防御”的東西