双层玻璃杯厂家
免费服务热线

Free service

hotline

010-00000000
双层玻璃杯厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

瑞星2008主动防御技术分析

发布时间:2020-03-23 12:01:14 阅读: 来源:双层玻璃杯厂家

感谢rOOtKitEr的投递注:删除了作者一些措辞强烈的结论,只保存技术分析的部份,请见谅。看到瑞星2008发布了所谓”超出传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终究开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。起初斟酌,发布文章中说得如此强大的主动防御技术,是否是需要逆向分析才能清楚呢?惋惜,事实告知我们,灰盒就够了。使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描便可得出瑞星的保护究竟在哪了。

(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式挂钩了入下函数:ZwCreateThread、ZwWriteProcessMemory:用于避免远线程注入ZwLoadDriver:拦截正规通过SCM的驱动加载ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:用于拦截注册表操作ZwTerminateProcess:保护进程不被结束 (2) ShadowTable挂钩: 挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx分别用于拦截键盘鼠标摹拟输入 和全局钩子 (3) Hook了TcpipNtfsFastFatCdfs等驱动的Dispatch Routine:用于拦截网络操作、文件操作 (4) Hook了fsd的iat上的上几个函数,和主动防御基本无关 稍懂内核技术者从上面就可以看出,这个所谓的主动防御体系不但不能说超出所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完全的、可靠的主动防御体系,不能称为IPS。 这里就来随意说几点这个体系的一些弱点: 弱点1 - 鸡肋的自我进程保护:瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也没法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么一样一句话,但是,江民是货真价实不能被结束,瑞星呢?不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束为何呢?由于瑞星只挂钩了ssdt上的NtTerminateProcess,这对使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器便可结束其所有进程(大家可以使用1 些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)。弱点2 - 注册表监控的多个漏洞(1) 注册表监控使用全路径判断注册表写入键名的方式,这类方式使用一个小技能就可以饶过:先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,便可完全饶过瑞星的所谓“注册表监控”,写入注册表。 (2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以完全饶过瑞星的注册表监控,SSM等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,(CB注:此处省略若干字*******)。 (3) 没有拦截直接操作HIVE注册表方式。该方法和方法2一样,SSM等也都有拦截。虽然瑞星拦截了ZwLoadDriver来阻挠驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。 弱点3 - 这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的经常使用技术入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动,非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透。 上面所说的只是一些已被广泛公然的方法,其他的弱点就不说了,免得被木马利用。(CB注:此处省略若干字*******)。

西安中西医结合医院哪家最好

北京安定门中医医院预约挂号

西安生殖保健院科室列表

温州建国医院怎么样