驳eva的《有关主动防御》
eva的原文引自 http://hi.baidu.com/zzzevazzz/blog/item/13f3bc2f84cc61391e308936.html
所谓的主动防御技术,目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题,但是,应用主动防御之后,仍然是杀毒软件在明,病毒/木马在暗。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件,然后慢慢研究,不用费多少时间,无法“主动防御”的病毒/木马就会诞生。所以,说主动防御能解决AV软件杀毒能力滞后的问题,只是一种炒作。据我所知,主动防御或行为检测的概念,在DOS时代就有了,只是没有明确提出来而已。国内的AV要么是买国外的引擎(以至于没有版权,不能深入开发,甚至不能修正bug),要么烂得可以。只好搞点“新概念”吸引眼球,特别是在市场已经被瓜分完毕,新的AV想分杯羹的情况。我前段时间见到一个据说是国内最早(比江民早)搞AV的人,在他看来,国内的查杀毒技术,10几年来就没有大的进步,搞来搞去就那一套。
主动防御依赖于行为检测,即所谓的“病毒行为动作特征库”。显然,这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为,正常与否取决于注册表键值,没有一劳永逸的办法,只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns,它们能列出系统中各种能实现自启动的地方,尤其是注册表特别多。随版本的升级,自启动项还在不多增加。再比如,我在《深入挖掘Windows脚本技术》中提到的WMI永久事件,这也是自启动,不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的,再举个极端的例子,ACPI是可编程的,仍然写在注册表中(HKEY_LOCAL_MACHINE/HARDWARE/ACPI),有AV想到了吗?还有,写个dll取名和系统常用dll一样,导出的函数也一样,放在WINNT目录,当explorer.exe启动时,先加载的是这个Trojan Dll。有AV管这个吗?仅仅一个自启动,行为就层出不穷,再来个文件感染行为呢?
如果说,从病毒特征值检测到行为检测,一定程度上减少了“特征库”更新的频率,这是个进步。那么另一方面,误报率恐怕反而会增加。仔细想想就会知道,“擦边球”实在太多了。比如金山词霸(消息钩子、远程线程),Serv-U(安装服务),SoftIce和VMWare(安装驱动),BT和eMule(修改防火墙规则)等等。当然,AV会采取加权方式,只有行为的权值累积到某个阈值才报警。再复杂点的算法是把行为分组,一些普通的行为连贯起来就有了权值。这类方案算不上创新,任谁来设计都能想到。且不论该方案本身的复杂度,即使实现了,离“智能”还差得远着呢。当行为检测碰上QQ——自启动、安装驱动、监听端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告,这么多“恶意行为”集中在一个程序里,是木马吗??我开发安全产品的经验告诉我,控制粒度越精细,例外越多。QQ特例处理了,MSN呢?Skype呢?3721算不算木马?yahoo助手、网易泡泡,IE插件何其多。假设AV记录某个程序的各种行为,列成一张表,隐去文件名等信息后,交给“专家”来判断,能确定该程序是否木马吗?我看难说得很。人做不了的事,程序更搞不定了。
最后,我统计了一下我的电脑(刚安装不久)上Program File下的30个软件,一半以上具有至少一个“恶意行为”,1/3具有两个或两个以上“恶意行为”。从概率上说,全世界有1/3的程序可能被拦截并提示用户,行为拦截机制多数情况在制造麻烦。要知道,多数AV用户是不熟悉计算机的,别指望拦截行为后给出提示,交给用户判断,就能“明辨是非”。而且,不是由用户自己装的就一定是正常的软件,也许是文件捆绑、伪装、欺骗用户执行,或者漏洞溢出执行,或者黑客入侵并像正常用户一般执行程序。当然,这种问题稍稍超出主动防御的范畴了。
总之,我认为目前的主动防御技术,仅仅是原有技术的补充(很多AV已经这么做了),再往多的说就是炒作了。
以下是转自驱网上的[url]http://forum.eviloctal.com/viewthread.php?tid=15522&extra=&page=3[/url]
第54楼
既然你认为“事实胜于雄辩”,那我就用事实说话好了。
在Win2kProSP4虚拟机安装微点后重启,一登陆就有提示:
发现未知间谍软件,是否删除?
程序:
C:/PROGRAM FILES/VMWARE/VMWARE TOOLS/VMWAREUSER.EXE
是否删除木马程序及其衍生物
那是VMWare的一个程序,会安装鼠标钩子,用于实现虚拟机内外拖放文件。(好吧,当我没看到,不算误报)
主要关心查杀能力,所以其他功能简单路过。
系统自启动信息中,把fltmgr.sys和agp440.sys两个能通过系统文件签证的正常Windows系统文件显示为其他软件。
自启动信息的详细程度,与工具autoruns的结果还有不少差距。
模块/进程信息中,把wups.dll、wups2.dll和wuaueng.dll三个能通过系统文件签证的正常Windows系统文件显示为其他软件。
编了个小程序,改写磁盘0磁道0、1、2扇区,微点没反映。
运行WinEggDrop写的WebServer(一个微型web服务器,可以用来临时从某主机“偷”东西),微点没反映。
运行IceSword1.10(加载驱动和安装消息钩子),还是没反映。
用w2k_load.exe加载内核级键盘记录工具klog.sys,仍然没反映。
是不是自己主动运行的程序,微点认为是安全的呢?下面搞文件捆绑!
首先绑定两个无害的文件:WinObj.exe和MD5.exe。为避免干扰,用的是自己写的捆绑程序(普通技术,没考虑反杀),结果当然没事。
然后捆绑WinObj.exe和WebServer.exe,不管是双击执行,还是在命令行运行,微点都没反映。
直接在虚拟机里运行捆绑程序进行捆绑,也一样pass。
看来微点的策略是“宁可放过一万,绝不错杀一个”。
再试试古董级的木马winshell,这个要是还不能查杀,可以直接把微点扔进拉圾箱了。
还好,winshell监听端口时微点弹出提示了。但是,并没有提示用户删除winshell的服务。
微点宣传的“重大技术创新”之一是“发现新病毒后……自动清除病毒,并自动修复注册表”。
winshell启动后一共两类“恶意行为”——添加服务(本质是修改注册表)和监听端口,微点在拦截后者并由用户确认后,却不能自动(至少应该提示用户)回滚前者。
功能实在有点简陋啊。仅仅是拦截的话,不如用诺顿,它做的更全面更彻底。
接下来测试黑客之门,这个也是必须查杀的“硬指标”。
在黑客之门开始感染文件时,微点报警了。这应该是黑客之门安装时的第一个“恶意行为”。(这么“积极”的查杀会增加误报率)
我估计微点拦截黑客之门是因为它编辑了PE文件的导入表。那么如果我就是要用PE工具编辑文件呢?
当我用Stud_PE.EXE准备打开一个文件时,通过鼠标选择或拖放文件没有问题。但通过键入首字母让Windows提示并自动完成时,微点报警了。
同一个程序,仅仅因为用户操作不同,被区别对待,这显然存在误报问题。(应该要么都deny,要么都pass)
根据前面的测试,我认为,微点对利用注册表自启动的程序(winshell)采取较严格的控制。
对于不是自启动(包括文件捆绑)的程序,不管是监听端口(WebServer)、安装钩子(IS)还是加载驱动(Klog),统统不理会。
为验证我的想法,我安装了金山的词霸豆豆(一种在线字典)。
安装和使用过程中,微点都没有报警。但是,重启系统后,词霸豆豆自启动,当它要上网时,微点拦截了。
这种策略实在是...怎么说呢...有点...白痴。
如果运行的程序是木马,那微点的提示将成为马后炮。
如果是正常的程序,系统重启后仍然免不了要提示。而且用户会想:“我昨天也用过这个程序,微点怎就没报警,是不是这个程序刚刚被感染了啊?”
所以,还不如像传统防火墙那样,一开始就给用户明确提示。等程序自启动了才提示,只会让普通用户感到困惑。
另外,我测试的微点(程序版本:1.2.10289,特征版本:1.3.69.060428)有个严重BUG。
当我执行 nc.exe -l -p 4444 时,微点提示:
发现可疑程序
C:/DOCUMENTS AND SETTINGS/ADMINISTRATOR/桌面/NC.EXE
是否阻止该进程继续运行?
默认选项为“阻止”,点“确定”。然后nc进程就僵死了。用IS无法终止nc进程。
最糟糕的是,系统关机时,系统也无法终止这个nc进程,以致于系统无法正常关机。
以上测试,完全感觉不到任何“智能”的成分。实在没兴趣多研究了。
最后,列出微点挂钩的系统服务:
nt!NtClose
nt!NtCreateKey
nt!NtCreateProcess
nt!NtCreateSection
nt!NtCreateThread
nt!NtOpenKey
nt!NtOpenProcess
nt!NtOpenThread
nt!NtQueryDirectoryFile
nt!NtSetValueKey
nt!NtWriteVirtualMemory
win32k!NtUserCreateWindowEx
win32k!NtUserDestroyWindow
win32k!NtUserFindWindowEx
win32k!NtUserMoveWindow
win32k!NtUserSendInput
win32k!NtUserSetWindowPos
win32k!NtUserSetWindowsHookEx
win32k!NtUserShowWindow
顺便说一下,当我手动把SSDT复原后,微点没有任何提示说“xxx已被篡改”,也没有重新挂钩。
想必,其它的API/TDI/NDIS Hook(如果有的话)也没有防止被解除挂钩。整个防御机制之薄弱可见一斑。
第55楼
说白了 微点这种软件就是一个小小的APIHOOK 稍微有些编程能力的都能轻易写出 这种软件最多可以发现一些动作比较大的 如使用敏感WIN32API的程序 并且误报率极高 ~更说白了 它只会对木马类型的东东有反映 对病毒类的操作是完全没有效果的 比如我用一个一个BAT文件删除D盘上的全部文件 或说直接格式化 它都不能对其作出反映
第二点就是它不具有对系统内核的保护能力 紧紧是从API的等级去保护 如果我的病毒属于是引导扇区加载的或是感染BIOS的 它可以说是形同虚设 或是早期的文件型病毒或是像欢乐时光那样的......
所以说用微点的一般都是目前病毒形式不是很了解的用户罢了 如果说主动防御真的有效的化 那也许不是在WIN32这个平台上的!
以下是我的回复:
我非常仔细看了整篇文章,发现了诸多错误。简单说下,如果有错误,还请指正。
1.编了个小程序,改写磁盘0磁道0、1、2扇区,微点没反映。事实上,底层磁盘操作微点会直接报警。
2.运行WinEggDrop写的WebServer(一个微型web服务器,可以用来临时从某主机“偷”东西),微点没反映。微点当然没反应,正规工具怎么用是你的事。难道我把东西卖你之前还要问问你干什么?
3.运行IceSword1.10(加载驱动和安装消息钩子),还是没反映。这个是处于微点白名单之内。但是无法结束微点。
4.用w2k_load.exe加载内核级键盘记录工具klog.sys,仍然没反映。这个还得麻烦你做个录像,担心样本不同。
5.首先绑定两个无害的文件:WinObj.exe和MD5.exe。为避免干扰,用的是自己写的捆绑程序(普通技术,没考虑反杀),结果当然没事。无害文件,莫非还要微点报警?
6.微点宣传的“重大技术创新”之一是“发现新病毒后……自动清除病毒,并自动修复注册表”。这项功能确实有问题,防御还不完整。
7.当我用Stud_PE.EXE准备打开一个文件时,通过鼠标选择或拖放文件没有问题。但通过键入首字母让Windows提示并自动完成时,微点报警了。建议原作者学习下父子进程关系。
8.根据前面的测试,我认为,微点对利用注册表自启动的程序(winshell)采取较严格的控制。
对于不是自启动(包括文件捆绑)的程序,不管是监听端口(WebServer)、安装钩子(IS)还是加载驱动(Klog),统统不理会。对于微点原理了解还不够透彻,请等待黑防5期我分析微点的文章。
9.为验证我的想法,我安装了金山的词霸豆豆(一种在线字典)。
安装和使用过程中,微点都没有报警。但是,重启系统后,词霸豆豆自启动,当它要上网时,微点拦截了。貌似微点默认防火墙关闭,请楼主详细描述你的测试过程!
10.当我执行 nc.exe -l -p 4444 时,微点提示:
发现可疑程序
C:/DOCUMENTS AND SETTINGS/ADMINISTRATOR/桌面/NC.EXE
是否阻止该进程继续运行?
默认选项为“阻止”,点“确定”。然后nc进程就僵死了。用IS无法终止nc进程。
最糟糕的是,系统关机时,系统也无法终止这个nc进程,以致于系统无法正常关机。RPWT,我这完全正常。
11.当我手动把SSDT复原后,微点没有任何提示说“xxx已被篡改”,也没有重新挂钩。测试版会自动恢复,预升级根本不允许重置SSDT,我在黑防3期已经做了说明。
12.说白了 微点这种软件就是一个小小的APIHOOK 稍微有些编程能力的都能轻易写出。烦请作者也写一个看看,没准一不小心成就了另一个刘旭。有作者在,中关村五杰全得下岗。
13. 这种软件最多可以发现一些动作比较大的 如使用敏感WIN32API的程序 并且误报率极高 ~更说白了 它只会对木马类型的东东有反映 对病毒类的操作是完全没有效果的。这点不置可否,只当痴人说梦。
14.比如我用一个一个BAT文件删除D盘上的全部文件 或说直接格式化 它都不能对其作出反映。微点会报警。
15.第二点就是它不具有对系统内核的保护能力 紧紧是从API的等级去保护 如果我的病毒属于是引导扇区加载的或是感染BIOS的 它可以说是形同虚设 或是早期的文件型病毒或是像欢乐时光那样的......
微点在守护,你如何感染?想法不错,可惜实现不了。
16.所以说用微点的一般都是目前病毒形式不是很了解的用户罢了; 如果说主动防御真的有效的化 那也许不是在WIN32这个平台上的!这个打击面是不是太广了。毕竟像我这种“白痴”还是很乐于用微点的。
综上所述:原作者纯属个人臆断,所做测试完全站不住脚,有吹毛求疵的嫌疑!我们欢迎深入测试,坚决打击任何不实言论。
如果对我上面的回复有任何疑问,请随时联系我!欢迎拍砖。
驳eva的《有关主动防御》相关推荐
- 《预训练周刊》第20期:EVA:包含28亿参数的中文预训练对话模型、基于知识融入提示词的文本分类...
No.20 智源社区 预训练组 预 训 练 研究 观点 资源 活动 关于周刊 超大规模预训练模型是当前人工智能领域研究的热点,为了帮助研究与工程人员了解这一领域的进展和资讯,智源社区整理了第20期&l ...
- “AI就是统计学”?阿里AI负责人金榕逐条驳诺奖得主萨金特
"AI就是统计学"?阿里AI负责人金榕逐条驳诺奖得主萨金特 https://blog.csdn.net/yH0VLDe8VG8ep9VGe/article/details/8211 ...
- 驳“永远不要对一个外行聊你的专业”【十全十美】
为何要驳:观点相斥,我要表达我自己的观点. 理由:何为精而通? 文章地址: 永远不要对一个外行聊你的专业 http://lusongsong.blog.51cto.com/2490924/108037 ...
- 问题解决:jmeter+java+beanshell : org.apache.jorphan.util.JMeterException: Error invoking bsh method: eva
问题解决:jmeter+java+beanshell : org.apache.jorphan.util.JMeterException: Error invoking bsh method: eva ...
- EVA 4400存储数据恢复报告
EVA系列存储是一款以虚拟化存储为实现目的的HP中高端存储设备,平时数据会不断的迁移,加上任务通常较为繁重,所以磁盘的负载相对是较重的,也是很容易出现故障的.EVA是依靠大量磁盘的冗余空间,以及故障后 ...
- 鲁迅散文——狗的驳诘
狗的驳诘 我梦见自己在隘巷中行走,衣履破碎,像乞食者. 一条狗在背后叫起来了. 我傲慢地回顾,叱咤说: "呔!住口!你这势力的狗!" "嘻嘻!"他笑了,还接着说 ...
- Qt学习笔记,再次分析EVA源码之后得出的结论-QListView,QListViewItem(Qt3);Q3ListView,Q3ListViewItem(Qt4)...
Qt学习笔记,再次分析EVA源码之后得出的结论-QListView,QListViewItem(Qt3);Q3ListView,Q3ListViewItem(Qt4) 今天再次分析了Eva的源码,也看 ...
- 零式机器人_最帅机器人作品“EVA”“天元突破”谁才是男人真正的浪漫
说道机器人,那首先要提到的肯定是高达了!高达从1979年诞生开始一直是动漫中机器人的代表,从"高达0079"到最新的电影"高达UC",40年的时间让高达成为大家 ...
- 信安教程第二版-第15章网络安全主动防御技术与应用
第15章 网络安全主动防御技术与应用 15.1 入侵阻断技术与应用 296 15.1.1 入侵阻断技术原理 296 15.1.2 入侵阻断技术应用 297 15.2 软件白名单技术与应用 297 15 ...
最新文章
- CSS 学习笔记——CSS Selector
- centos 修改shm
- MIT科学家首次发现只对歌唱有反应的神经元,对,只能人声带伴奏的那种歌
- IBM磁带库中更换磁带的步骤
- 【2017-02-19】数据类型、类型转换、常量、变量、转义符。
- [转]订制CentOS自安装光盘
- GraphQL 的前世今生
- HIVE攻略 JFK_Hive安装及使用攻略
- php命令行(cli)下相对路径的问题
- imail PHP,NT下基于邮件服务软件(IMAIL)的邮件发送程序–(本地版)-PHP教程,邮件处理...
- [Note] FrameFab Interesting Cut Results
- Android通知,PendingIntent示例
- 解决vmware“二进制转换和长模式与此平台兼容.....”问题
- HTML5 学习笔记(一)——HTML5概要与新增标签
- transmit video
- 学术之声 | 专访北航教授洪晟:区块链应该管也能够管,而且要学会管
- 架构师的工作都干些什么?!想做架构师必看!
- 【动态规划】字符串类型动态规划
- 【单调栈】洛谷_2947 向右看齐Look Up
- android 会话通讯插件,Android版添加phonegap--融云即时通讯插件教程