卡巴斯基6.0安全防護機制的相關分析

2006年 5月15日，著名的反病毒安全軟件廠商KasperskyLab發布了劃時代的安全軟件套裝Kaspersky Internet Security 6（簡稱KIS6）以及 Kaspersky AntiVirus 6.0（簡稱KAV6）。KIS6/KAV6比卡罷以前的産品有了質的提高。KIS6包含了文件防毒、郵件防毒、網頁防毒、事前防衛（包括進程行爲監控，監視各類代碼注入、安裝全局鈎子、加載驅動/服務等行爲；文件完整性檢查；檢查各類運用RK技術的文件/進程/端口/注冊表隱藏；Office宏保護等）；反間諜軟件、防火牆、反垃圾郵件等功能。KAV6比KIS6缺少了防火牆模塊。

整體來說，KIS6非常強大。 Руткит 討論組裏，我們一致公認KIS6是目前最強的個人類安全套裝。卡巴實驗室裏的確實都是精英，實力雄厚，許多東西都運用的Undocumented技術，導致我上一版本的WinDbg一進入內核調試狀態就崩潰。KIS6的注冊表監控的非常全：NoWinodwsApp，ShellServiceObjectDelayLoad，ShellExcuteHooks，SharedTaskScheduler，SafeBoot，\Winlogon\Notify，AppInit_DLLs，開關機腳本等其他安全軟件較少監控的自啓動鍵值他都監控了；另外KIS6監控了各類代碼注入，包括SetThreadContext的方法；監控了加載驅動、服務加載、通過\\Device\\PhysicalMemory對象進Ring0等；監控全局鈎子的安裝；文件完整性檢查；反Rootkit，檢測隱藏文件隱藏進程隱藏端口隱藏注冊表；值的一提的是塗改PspIdTable方法隱藏進程的方法KIS6也能查。另外KIS6的防火牆的控管規則也比較細，不像國內的個人防火牆是以進程爲最小控管單位，KIS6如國外的其他一些防火牆把控制策略細化到具體進程的某個端口，比如默認情況下只允許Explorer.exe訪問HTTP80端口，而不是完全允許Explorer.exe進程訪問網絡。

誇KIS6誇完了，現在來說說他的弱點：關於KIS6監控采用遠程線程代碼注入的行爲時，他只對注入IE等進程有反映，而他防火牆默認的控管規則裏卻允許Svchost等進程訪問HTTP等端口，那木馬程序只要用遠程線程的方法注入svchost等進程，就能完完全全逃過卡巴了。

再來看在KIS6下怎樣實現自啓動。KIS6監控注冊表確實監控得很全，而且還監控服務之類的，初看你在自啓動方面是無處下手。不過可愛的卡巴斯基又犯了讓我悲哀的低級錯誤，開始菜單裏的啓動文件夾他竟然沒監控。免得被人說這樣做太猥瑣，那就再說個方法，因爲可愛的卡巴在監控遠程線程代碼注入時只IE等進程進行提示，從而我們可以注入Winlogon，注入Winlogon後我們就可以Defeat SFP，然後感染文件實現自啓動，雖然卡巴有文件完整性檢查，不過問題不大，你自己試了就明白爲什麽了，呵呵。

再說點底層的，KIS6監控加載驅動監控得不全，嘿嘿，使用ZwSetSystemInformation我們照樣可以加載驅動了，能加載驅動了天下還不是我們的了？ 恢複SSDT表呀，DKOM，Miniport NDIS Hook，任我們玩了。

vxk的補充：

除了XYZREG說的幾個地方，卡巴斯基在面對BOOT.INI+NTOSKRNL.EXE改寫大法（這個方法很無恥），還有HOTPATCH（幾乎通吃FireWall）大法時都很脆弱啊！

hotPatch能夠動態的改寫某些dll的，比如kernel32.dll，我就不多說了。你在kernel32.dll裏做一個code injection然後在適當的進程內部加載我們的DLL，好了，一切搞定。