廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1864 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 主動防禦型殺毒軟件的技術探討
主動防禦型殺毒軟件的技術探討

間諜程序、遊戲木馬、黑客程序等網絡病毒的頻頻爆發,使國內外反病毒領域開始意識到,單純依靠“特征碼技術”已經不能適應反病毒需求。

  那麽什麽是“主動防禦”,它的實現技術又是怎樣的呢?本人在這裏簡單獻醜一下,說得不對的地方歡迎扔鞋砸雞蛋!

  所謂“主動防禦”,就是全程監視進程的行爲,一但發現“違規”行爲,就通知用戶,或者直接終止進程。它類似於警察判斷潛在罪犯的技術,在成爲一個罪犯之前,大多數的人都有一些異常行爲,比如“性格孤僻,有暴力傾向,自私自利,對現實不滿”等先兆,但是並不是說有這些先兆的人就都會發展爲罪犯,或者罪犯都有這些先兆。因此“主動防禦”並不能100%發現病毒,它的成功率大概在60%-80%之間。如果再加上傳統的“特征碼技術”,幾乎可以發現100%的惡意程序了。在國外,諾頓,Kaspersky,McAfee等等殺毒巨頭,都已經向“主動防禦”+“特征碼技術”過渡了,這是殺毒軟件的必然發展趨勢。

  防火牆是一個運用“主動防禦”技術的典型例子,大家都用過防火牆了,對於防火牆經常詢問用戶是否放行一個進程訪問網絡,或者有不明連接進入本機而發出警告是否印象深刻呢?其實防火牆就是在全程監視進程的網絡行爲,一但發現違反規則的行爲就發出警告,或者直接根據用戶設定拒絕進程訪問網絡。當然,現在的防火牆一般都把係統網絡進程(比如services.exe,svchost.exe,lsass.exe等)記在“受信名單”裏,這些進程是默認允許訪問網絡的,如果禁止的話,操作係統就不正常了,這也是現在很多病毒和木馬都喜歡遠程注入這些係統進程以突破防火牆而訪問網絡的原因。

下面重點說一下“主動防禦”的實現技術。大家都寫過程序,知道在一個程序裏如果要實現自己的功能就必須要通過接口調用操作係統提供的功能函數,在 DOS裏幾乎所有的係統功能或第三方插件都是通過中斷提供的,在WINDOWS裏一般是通過DLL裏的API提供,也有少數通過INT

  2E或SYSENTER提供。一個進程有怎麽樣的行爲,通過看它調用了什麽樣的API就大概清楚了,比如它要讀寫文件就必然要調用 CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數,要訪問網絡就必然要使用Socket函數。因此只要挂接係統API(盡量挂接RING0層的API,如果挂接RING3層的API將有可能被繞過),就可以知道一個進程將有什麽動作,如果有危害係統的動作該怎麽樣處理等等。例如瑞星殺毒,大家可以在它的安裝目錄裏找到幾個驅動文件,其實這些驅動就是挂接了ntoskrnl.exe,ndis.sys等係統關鍵模塊裏的API,從而對進程的普通行爲,網絡行爲,注冊表行爲進行監視的。

  最後讓我們設想一下一個“主動防禦”型殺毒軟件的一般流程:通過挂接係統建立進程的API,殺毒軟件就在一個進程建立前對進程的代碼進行掃描,如果發現SGDT,SIDT,自定位指令(一般正常軟件不會有這些指令),就提示,如果用戶放行,就讓進程繼續運行;接下來監視進程調用API的情況,如果發現以讀寫方式打開一個EXE文件,可能進程的線程想感染PE文件,就發出警告;如果收發數據違反了規則,發出提示;如果進程調用了CreateRemoteThread(),則發出警告(因爲 CreateRemoteThread()是一個非常危險的API,正常進程很少用到,倒是被病毒木馬用得最多)。...。可以想象,未來我們運行程序可能要被提示多次,訪問網絡也被提示多次,各種各樣的提示將大多數人搞的昏頭轉向。想安全就要管嚴,放松就不安全了!



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-03 23:00 |
jack1984yw
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x95 鮮花 x150
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

謝謝樓主的分享
讓我學到一些知識


獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2007-12-13 23:24 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.093038 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言