廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2256 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 卡巴斯基6.0安全防護機制的相關分析
卡巴斯基6.0安全防護機制的相關分析

2006年 5月15日,著名的反病毒安全軟件廠商KasperskyLab發布了劃時代的安全軟件套裝Kaspersky Internet Security 6(簡稱KIS6)以及 Kaspersky AntiVirus 6.0(簡稱KAV6)。KIS6/KAV6比卡罷以前的産品有了質的提高。KIS6包含了文件防毒、郵件防毒、網頁防毒、事前防衛(包括進程行爲監控,監視各類代碼注入、安裝全局鈎子、加載驅動/服務等行爲;文件完整性檢查;檢查各類運用RK技術的文件/進程/端口/注冊表隱藏;Office宏保護等);反間諜軟件、防火牆、反垃圾郵件等功能。KAV6比KIS6缺少了防火牆模塊。

整體來說,KIS6非常強大。 Руткит 討論組裏,我們一致公認KIS6是目前最強的個人類安全套裝。卡巴實驗室裏的確實都是精英,實力雄厚,許多東西都運用的Undocumented技術,導致我上一版本的WinDbg一進入內核調試狀態就崩潰。KIS6的注冊表監控的非常全:NoWinodwsApp,ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,\Winlogon\Notify,AppInit_DLLs,開關機腳本等其他安全軟件較少監控的自啓動鍵值他都監控了;另外KIS6監控了各類代碼注入,包括SetThreadContext的方法;監控了加載驅動、服務加載、通過\\Device\\PhysicalMemory對象進Ring0等;監控全局鈎子的安裝;文件完整性檢查;反Rootkit,檢測隱藏文件隱藏進程隱藏端口隱藏注冊表;值的一提的是塗改PspIdTable方法隱藏進程的方法KIS6也能查。另外KIS6的防火牆的控管規則也比較細,不像國內的個人防火牆是以進程爲最小控管單位,KIS6如國外的其他一些防火牆把控制策略細化到具體進程的某個端口,比如默認情況下只允許Explorer.exe訪問HTTP80端口,而不是完全允許Explorer.exe進程訪問網絡。

誇KIS6誇完了,現在來說說他的弱點:關於KIS6監控采用遠程線程代碼注入的行爲時,他只對注入IE等進程有反映,而他防火牆默認的控管規則裏卻允許Svchost等進程訪問HTTP等端口,那木馬程序只要用遠程線程的方法注入svchost等進程,就能完完全全逃過卡巴了。

再來看在KIS6下怎樣實現自啓動。KIS6監控注冊表確實監控得很全,而且還監控服務之類的,初看你在自啓動方面是無處下手。不過可愛的卡巴斯基又犯了讓我悲哀的低級錯誤,開始菜單裏的啓動文件夾他竟然沒監控。免得被人說這樣做太猥瑣,那就再說個方法,因爲可愛的卡巴在監控遠程線程代碼注入時只IE等進程進行提示,從而我們可以注入Winlogon,注入Winlogon後我們就可以Defeat SFP,然後感染文件實現自啓動,雖然卡巴有文件完整性檢查,不過問題不大,你自己試了就明白爲什麽了,呵呵。

再說點底層的,KIS6監控加載驅動監控得不全,嘿嘿,使用ZwSetSystemInformation我們照樣可以加載驅動了,能加載驅動了天下還不是我們的了? 恢複SSDT表呀,DKOM,Miniport NDIS Hook,任我們玩了。

vxk的補充:

除了XYZREG說的幾個地方,卡巴斯基在面對BOOT.INI+NTOSKRNL.EXE改寫大法(這個方法很無恥),還有HOTPATCH(幾乎通吃FireWall)大法時都很脆弱啊!

hotPatch能夠動態的改寫某些dll的,比如kernel32.dll,我就不多說了。你在kernel32.dll裏做一個code injection然後在適當的進程內部加載我們的DLL,好了,一切搞定。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-19 05:50 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.085553 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言