瑞星2008主动防御技术分析
From:Internet
看到瑞星2008发布了所谓“超越传统HIPS”、“监控功能比传统HIPS的更全面”的功能,当时为之震惊,难道国产杀毒软件终于开发出了强大的HIPS功能了?立刻下了测试版安装,打算进行测试。起初考虑,发布文章中说得如此强大的主动防御技术,是不是需要逆向分析才能清楚呢?可惜,事实告诉我们,灰盒就够了。使用Rootkit Unhooker或者Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了。
(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束
(2) ShadowTable挂钩:
挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入 和全局钩子
(3) Hook了TcpipNtfsFastFatCdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作
(4) Hook了Fsd的iat上的上几个函数,和主动防御基本无关
稍懂内核技术者从上面就可以看出,这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之为一个完整的、可靠的主动防御体系,不能称为IPS。
这里就来随便说几点这个体系的一些弱点:
弱点1 - 鸡肋的自我进程保护:
瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真价实不能被结束,瑞星呢?
不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束为什么呢?因为瑞星只挂钩了SSDT上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务管理器即可结束其所有进程(大家可以使用一 些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)。
弱点2 - 注册表监控的多个漏洞
(1) 注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过:
先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表监控”,写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控,SSM等专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方。
(3) 没有拦截直接操作HIVE注册表方式。该方法和方法2一样,SSM等也都有拦截。
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待重启后自然启动,那就可以为所欲为了。
弱点3 - 这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术
入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动,非常简单的就可以做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木马使用了该技术进行主动防御穿透。
分享到:
相关推荐
标题中的“2010最新全免杀双过主动”指的是该压缩包内可能包含的是一种针对2010年安全环境的免杀技术,它声称可以避开两种或以上的主动防御系统,特别是“过瑞星主动防御”,意味着它可以绕过瑞星这款知名杀毒软件的...
主动防御技术的核心在于行为分析,它不仅仅依赖于病毒签名库进行检测,而是通过分析程序的行为模式来判断是否具有恶意意图。这种技术可以有效应对零日攻击,即那些尚未被发现并列入签名库的新颖恶意软件。主动防御...
瑞星的主动防御系统可能包括行为分析、启发式检测以及实时监控等功能,以防止未知病毒和木马的入侵。 2. 补丁管理:补丁是用来修复软件漏洞、增强功能或优化性能的小型软件更新。对于瑞星2010的用户来说,及时安装...
描述中的“过瑞星主动防御和其他主流软件”意味着这个免杀壳技术已经成功地避开了瑞星主动防御系统以及市场上其他常见的安全软件。瑞星是中国知名的反病毒软件,其主动防御功能能够监控并阻止潜在的恶意活动。提到它...
标题和描述中提到的"免杀过主动瑞星金山江民卡巴NOD防御最新版",这通常指的是一个黑客或安全研究者针对特定反病毒软件(如瑞星、金山、江民、卡巴斯基NOD)的主动防御机制创建的规避技术。主动防御是现代杀毒软件的...
【标题】"GH0ST源码过瑞星主动"指的是一个针对瑞星主动防御机制的规避技术,涉及到了恶意软件的开发与反病毒软件的绕过策略。GH0ST是一种远程访问工具(RAT),通常被用作恶意软件,允许攻击者在目标计算机上进行...
描述中提到的“可以过掉瑞星主动”,意味着这个免杀壳对于瑞星的主动防御功能有很好的规避效果。主动防御是反病毒软件的一项功能,它能够实时监控系统行为,检测并阻止潜在的恶意活动。如果一个免杀壳能成功绕过这一...
2、木马行为判断与拦截:基于强大的"智能主动防御"技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。 3、自动在线...
木马防御:基于瑞星虚拟化引擎和“智能云安全”,在操作系统内核运用瑞星动态行为分析技术,实时拦截特种未知木马、后门、病毒等恶意程序。 U盘防护:在插入U盘、移动硬盘、智能手机等移动设备时,将自动拦截并查杀...
瑞星在此过程中,不断研发并应用了多种反病毒技术,包括静态检测和动态检测,如静态数据特征检测、动态数据特征检测、基于监控和虚拟机实现的防御技术等。这些技术的发展反映了瑞星在主机防御和检测上的进步,但仅靠...
《Gh0st源码实战免杀瑞星主动加360提示》 在网络安全领域,恶意软件的检测与防御是一场永无止境的博弈。Gh0st,一个著名的远程控制木马,因其强大的功能和隐蔽性,常常被黑客用于非法活动。本文将深入探讨如何基于...
基于瑞星虚拟化引擎和“智能云安全”,在操作系统内核运用瑞星动态行为分析技术,实时拦截特种未知木马、后门、病毒等恶意程序。 •U盘防护: 在插入U盘、移动硬盘、智能手机等移动设备时,将自动拦截并查杀木马、...
2、木马行为判断与拦截:基于强大的"智能主动防御"技术,当木马和可疑程序启动、加载时,瑞星卡卡立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。...
2. **功能解锁**:未激活的瑞星杀毒软件可能只能提供部分基础功能,而完整的安全保护服务(如实时防护、主动防御等)则需要通过序列号来解锁。 3. **技术支持**:拥有有效序列号的用户可以获得来自瑞星官方的技术...
内核加固本质上是一种主动防御机制,它能够实时监控系统动作、注册表、关键进程和系统文件等核心组件,并阻止未经授权的操作。具体来说,内核加固功能通过以下方式实现: 1. **监控系统动作**:监测系统中的关键...
采用单步加多步的主动防御(HIPS)技术; 访问控制,允许机主将计算机调整到更合适的访客使用状态; 安全工具 程序内附有安全工具,其中包含有弹窗拦截工具; 无任何流氓行为; 软件精简,对系统资源的占用低。 功能...
\n- **主动防御**:通过对程序行为的分析,预测潜在威胁。\n- **云安全**:利用云端大数据,快速更新病毒库,增强对新型威胁的响应能力。\n- **自我修复**:在病毒或恶意软件破坏系统文件后,能恢复或替换受损文件。...
这一过程极大地提高了病毒查杀的效率和准确性,将安全防护从被动防御转变为积极主动。 王梓璇在其研究中指出,云安全的实施策略包括利用大规模的用户群体和充足的服务器资源。企业如瑞星、江民、金山、360等已纷纷...
值得注意的是,这里提到了“主动”,可能意味着这款免杀壳不仅能对抗静态扫描,还能应对基于行为分析的主动防御系统。同时,描述中的强烈推荐和免费分享,表明这款工具在某些社区内可能存在一定的受欢迎程度,但用户...