火影迷一個 2008-6-9 00:40
不堪一击的瑞星2008
這是在其他地方轉的~~!!LZ無罪!!:em017
=========================================
到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?
立刻下了测试版安装,打算进行测试
起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?
可惜,事实告诉我们,灰盒就够了
使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了
(1)SSDT HOOK :使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束
(2)ShadowTable挂钩:挂钩了两个GDI函数:
NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入 和全局钩子
(3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作
(4)Hook了fsd的iat上的上几个函数,和主动防御基本无关
稍懂内核技术者
从上面就可以看出,这个所谓的保护全面、超越传统HIPS的所谓主动防御是多么的弱、多么的不足,多么的容易穿透、多么的可笑了
这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完整的、可@@的主动防御体系,不能称为IPS
这里就来随便说几点这个体系的一些弱点:
弱点1:鸡肋的自我进程保护:
瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真价实不能被结束,瑞星呢?
不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束
为什么呢?因为瑞星只挂钩了ssdt上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器即可结束其所有进程(大家可以使用一些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)
这就是所谓强大的“自我保护”
弱点2:注册表监控的多个漏洞
(1)注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过:
先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表
(2)没有拦截ZwSaveKey\ZwRestroeKey等方式写入注册表
该方法可以彻底饶过瑞星的注册表监控,SSM等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,居然还敢号称超越传统HIPS,实在是厚颜
(3)没有拦截直接操作HIVE注册表方式
该方法和方法2一样,SSM等也都有拦截
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了
弱点3:这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术
入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动
非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透
其他的弱点就不说了,免得被木马利用(上面所说的只是一些已被广泛公开的方法)
这么多缺点,保护极其薄弱的一个所谓的“主动防御”体系,瑞星也好意思说超越其他主动防御软件,国内杀毒软件厂商的浅薄及浮躁,不言自喻。奉劝瑞星还是好好做好技术,不要再等微点出完主动防御后几年,才出来吹这么一个根本算不上“主动防御”的东西
青空下の羽毛 2008-6-9 00:54
貌似很有道理,咱计算机知识不行哈...也不知道LZ说得对不对`
PS:
咱不用瑞星的说...:yem23
火影迷一個 2008-6-9 01:08
[quote]原帖由 [i]青空下の羽毛[/i] 于 2008-6-9 00:54 发表 [url=http://bbs.kaicn.com/redirect.php?goto=findpost&pid=1276845&ptid=342986][img]http://bbs.kaicn.com/images/common/back.gif[/img][/url]
貌似很有道理,咱计算机知识不行哈...也不知道LZ说得对不对`
PS:
咱不用瑞星的说...:yem23 [/quote]
不用瑞星介紹一個比較好的軟件給你吧~~:
======================================
30天免費試用
[url]http://www.nod32tw.com/html/44/42/[/url]
碧海炎砂 2008-6-9 02:58
从没用过瑞星,只用卡巴的人飘过~~~~loli48 loli48
linxubinxt 2008-6-17 19:35
以前用瑞星被害惨了.........杀个蠕虫都杀不干净.......
现在用nod32,世界清静晒~
7588089 2008-7-11 20:25
就是因为江民进程不能被结束的原因,我的江民2008出现bug之后那个痛苦啊~~~只能重启!
只怪买了正版江民,不用对不起RMB,用了就心烦!:em029 :em029 :em029
不弃0 2008-7-11 20:28
用瑞星的飘过 不上H的网站的没啥大问题...:yem30
qq641489181 2008-8-26 21:39
我从不信国产杀软~~其实装上杀软才烦·我是换了一个又一个·(20+个了吧)·现在干脆裸奔·反正电脑很好修·
风之流浪 2008-9-1 13:50
曾经用过次瑞星,感觉很差,后来一直用的NOD32的EAV到现在基本没啥大问题
ygy820816 2008-11-1 10:50
:em012 不堪一击的瑞星2008
我也是用不堪一击的瑞星2008,真的不好用啊,没事的话很正常,一到要用就。。哎
那个NOD32很好用吗?KS好象很多人用啊:em011
秋枫残梦 2008-11-2 13:14
用瑞星才能高枕无忧冲浪
永远也不用为知道电脑中了多少毒而烦恼loli52
qq641489181 2008-11-2 22:20
国产的..loli15 偶从没报希望..
zhin12 2008-11-2 22:44
我是用NOD32的。。。
瑞星2008没有多大的希望呢?
Butterfly.Flies 2008-11-4 17:29
我觉得还好啦。。。
瑞星也是有优点的。。简单易用。。。很多选项都清晰明了。。。这是很多杀毒软件做不到滴呀。。例如卡巴。。卡巴经常阻止一个进程后找不到地方还原。。超级郁闷的说。。。。。。
而且一般不是专门搞病毒的 或者去病毒网站的 瑞星足够日常应用了。。。。。。 不乱上网站来说 瑞星还是很不错的了。。。
虽然相对其他的产品可能稍微差点。。。
补充下。。。 NOD32 好像杀毒比较厉害 防御方面比较弱吧。。。
[[i] 本帖最后由 Butterfly.Flies 于 2008-11-4 17:33 编辑 [/i]]
碧海炎砂 2008-11-10 16:04
不用瑞星好多年啊~~~~~loli14 loli14