看到瑞星2008發(fā)布了所謂”超越傳統(tǒng)HIPS”、“監(jiān)控功能比傳統(tǒng)HIPS的更全面"的功能，當時為之震驚，難道國產(chǎn)殺毒軟件終于開發(fā)出了強大的HIPS功能了？立刻下了測試版安裝，打算進行測試。起初考慮，發(fā)布文章中說得如此強大的主動防御技術，是不是需要逆向分析才能清楚呢？可惜，事實告訴我們，灰盒就夠了。使用Rootkit Unhooker/Gmer工具對安裝瑞星2008的機器進行掃描即可得出瑞星的保護究竟在哪了。

(1) SSDT HOOK: 使用了最原始也是最易恢復的SSDT掛鉤方式
掛鉤了入下函數(shù):
ZwCreateThread、ZwWriteProcessMemory:用于防止遠線程注入
ZwLoadDriver:攔截正規(guī)通過SCM的驅(qū)動加載
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于攔截注冊表操作
ZwTerminateProcess:保護進程不被結束

(2) ShadowTable掛鉤:
掛鉤了兩個GDI函數(shù): NtGdiSendInput、NtSetWindowsHookEx
分別用于攔截鍵盤鼠標模擬輸入 和全局鉤子

(3) Hook了TcpipNtfsFastFatCdfs等驅(qū)動的Dispatch Routine:
用于攔截網(wǎng)絡操作、文件操作

(4) Hook了fsd的iat上的上幾個函數(shù)，和主動防御基本無關

稍懂內(nèi)核技術者從上面就可以看出，這個所謂的主動防御體系不但不能說超越所謂HIPS（使用的都是過時的技術）、另外監(jiān)控非常的不足，可輕易突破，根本不具有主動防御的使用價值，可以說，根本不能稱之為一個完整的、可靠的主動防御體系，不能稱為IPS。

這里就來隨便說幾點這個體系的一些弱點：

弱點1 - 雞肋的自我進程保護：

瑞星在發(fā)布文章中說到“開啟了瑞星2008的自我保護后，使用Icesword也無法結束其進程”，這句話大家去江民論壇上看看，幾天前江民的2008測試版出來的時候，也是說了這么同樣一句話，但是，江民是貨真價實不能被結束，瑞星呢？
不用多說，拿ICESWORD測試一下可知，瑞星的所有進程都可以被輕易結束為什么呢？因為瑞星只掛鉤了ssdt上的NtTerminateProcess，這對于使用更底層的方式結束進程的Icesword是完全沒有作用的，同時，只要這個鉤子被恢復（在瑞星的全面保護下恢復此鉤子也是非常容易的，見后面的弱點分析），使用任務管理器即可結束其所有進程（大家可以使用一 些具有SSDT恢復功能的工具例如超級巡警、gmer等試試）。

弱點2 - 注冊表監(jiān)控的多個漏洞

(1) 注冊表監(jiān)控使用全路徑判斷注冊表寫入鍵名的方式，這種方式使用一個小技巧就可以饒過：
先打開想要寫入的鍵的上一層鍵，例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion，得到句柄后再使用這個句柄+Run來操作這個注冊表，即可完全饒過瑞星的所謂“注冊表監(jiān)控”，寫入注冊表。
(2) 沒有攔截ZwSaveKeyZwRestroeKey等方式寫入注冊表。該方法可以徹底饒過瑞星的注冊表監(jiān)控，SSM等專業(yè)的HIPS都已加入對這個寫入注冊表的保護，瑞星根本沒有攔截這個關鍵的地方，（CB注：此處省略若干字*******）。
(3) 沒有攔截直接操作HIVE注冊表方式。該方法和方法2一樣，SSM等也都有攔截。
雖然瑞星攔截了ZwLoadDriver來阻止驅(qū)動加載，但是木馬完全可以寫入一個BOOT0的驅(qū)動注冊表項，等待重啟后自然啟動，那就可以為所欲為了。

弱點3 - 這個最為致命：沒有攔截ZwSetSystemInformation和其他一些穿透主動防御的常用技術

入侵者可以通過ZwSetSystemInformation函數(shù)的LoadAndCallImage方法加載一個驅(qū)動，非常簡單的就可以做想做的操作，比如恢復瑞星那些非常容易被恢復的SSDT鉤子，這些網(wǎng)絡上都有現(xiàn)成的代碼，也有多個木馬使用了該技術進行主動防御穿透。

上面所說的只是一些已被廣泛公開的方法，其他的弱點就不說了，免得被木馬利用。

在我們HACKER界中木馬免殺也就那幾種模式,卡巴加個花就OK,NOD32和諾頓主要是輸入表敏感,處理下輸入表就OK了,瑞星的內(nèi)存查殺, MYCCL定定位就差不多了,前面的這幾種殺軟過了,國內(nèi)的殺毒也就基本過了,在這里不得不佩服微點,木馬類的病毒,普通的免殺方法是沒用的,而新的反隱藏引擎模式的木馬還在開發(fā)中,所以我可以這樣說,微點這個軟件的殺木馬能力絕對拉開我們國內(nèi)的殺毒軟件好幾個檔次,可以與國外的一流殺毒相抗衡,甚至有過之而無不及,最重要的消耗系統(tǒng)資源小,又是國產(chǎn), 升級方便,

總結

以上是生活随笔為你收集整理的瑞星2008主动防御技术分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。