|
最近越来越感觉现阶段的各类安全系统设计上都存在一定的不足,没把各种可能的安全威胁考虑进去,在 Cever Hackers 面前就无能为力了。为了帮助各类安全软件设计上更完善,我决定写这一系列文章,内容涉及防火墙、杀毒软件、HIPS、NIDS等,以各大主流产品为例,逐个描述对付他们的方法,以及怎样完善他们的安全设计。其实Information System Designer更应该站在Attacker的角度来设计产品~
其实,引领安全发展方向的感觉很不错的。非常希望早日看到非常完善的安全产品,以解救广大各类深受信息/网络安全威胁的人们,呵呵。
击败安全系统系列(1)之 Kaspersky Internet Security / Kaspersky AntiVirus 6.0
2006年 5月15日,著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6(简称KIS6)以及 Kaspersky AntiVirus 6.0(简称KAV6)。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫(包括进程行为监控,监视各类代码注入、安装全局钩子、加载驱动/服务等行为;文件完整性检查;检查各类运用RK技术的文件/进程/端口/注册表隐藏;Office宏保护等);反间谍软件、防火墙、反LJ邮件等功能。KAV6比KIS6缺少了防火墙模块。
整体来说,KIS6非常强大。 Руткит 讨论组里,我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英,实力雄厚,许多东西都运用的Undocumented技术,导致我上一版本的WinDbg一进入内核调试状态就崩溃~ KIS6的注册表监控的非常全:NoWinodwsApp,ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,\\Winlogon\\Notify,AppInit_DLLs,开关机脚本等其他安全软件较少监控的自启动键值他都监控了;另外KIS6监控了各类代码注入,包括SetThreadContext的方法;监控了加载驱动、服务加载、通过\\\\Device\\\\PhysicalMemory对象进Ring0等;监控全局钩子的安装;文件完整性检查;反Rootkit,检测隐藏文件隐藏进程隐藏端口隐藏注册表;值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细,不像国内的个人防火墙是以进程为最小控管单位,KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口,比如默认情况下只允许Explorer.exe访问HTTP80端口,而不是完全允许Explorer.exe进程访问网络。
夸KIS6夸完了,现在来说说他的弱点。呵呵,真不知卡巴实验室那帮人怎么想法,不好说他们弱智,说他们粗心吧:关于KIS6监控采用远程线程代码注入的行为时,他只对注入IE等进程有反映,而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口,那木马程序只要用远程线程的方法注入svchost等进程,就能完完全全逃过卡吧了,唉,真悲哀!(当时研究到这里时我真想撞个豆腐试试看能否撞死....)~
再来看在KIS6下怎样实现自启动。KIS6监控注册表确实监控得很全,而且还监控服务之类的,初看你在自启动方面是无处下手。不过可爱的卡巴斯基又犯了让我悲哀的低级错误,开始菜单里的启动文件夹他竟然没监控.... 免得被人说这样做太猥琐,那就再说个方法,因为可爱的卡巴在监控远程线程代码注入时只IE等进程进行提示,从而我们可以注入Winlogon,注入Winlogon后我们就可以Defeat SFP,然后感染文件实现自启动,虽然卡巴有文件完整性检查,不过问题不大,你自己试了就明白为什么了,呵呵。
再说点底层的,KIS6监控加载驱动监控的不全,嘿嘿,使用ZwSetSystemInformation我们照样可以加载驱动了~ 能加载驱动了天下还不是我们的了? 恢复SSDT表呀,DKOM,Miniport NDIS Hook,任我们玩了,呵呵...
哈,调侃卡巴就此停笔,有空继续调侃其他的安全产品,呵呵,下回见:)
文章作者:xyzreg [E.S.T]
URL : http://www.xyzreg.net
信息来源:转 邪恶八进制信息安全团队 |
|