瑞星卡卡安全论坛瑞星2008全功能体验杀毒软件[已关闭] 瑞星08的自我保护形同虚设?请兄弟们帮忙做个试验

1   1  /  1  页   跳转

瑞星08的自我保护形同虚设?请兄弟们帮忙做个试验

瑞星08的自我保护形同虚设?请兄弟们帮忙做个试验

小弟昨天晚上结束了对瑞星08的测试,写了一份建议给瑞星公司,
今天在某某网站上看到有关“用冰刃可以结束瑞星2008进程”的内容。
因为已经卸载了瑞星,不方便再折腾机器。所以,请大家帮我做个试验
看看瑞星2008的进程是否能被冰刃强行结束?谢谢。

补充一下,这只是网上传言,本人是瑞星的忠实用户,仅仅是想求证一下这种说法的真实性,别无他意。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
最后编辑2007-08-16 20:38:32.153000000
分享到:
gototop
 

以下是网络上指出的部分“瑞星08的弱点”仅供参考,如情况属实,请瑞星公司,适当作出相应调整。


(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式
挂钩了入下函数:
ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入
ZwLoadDriver:拦截正规通过SCM的驱动加载
ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey:
用于拦截注册表操作
ZwTerminateProcess:保护进程不被结束

(2) ShadowTable挂钩:
挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx
分别用于拦截键盘鼠标模拟输入 和全局钩子

(3) Hook了TcpipNtfsFastFatCdfs等驱动的Dispatch Routine:
用于拦截网络操作、文件操作

(4) Hook了fsd的iat上的上几个函数,和主动防御基本无关

稍懂内核技术者从上面就可以看出,这个所谓的主动防御体系不但不能说超越所谓HIPS(使用的都是过时

的技术)、另外监控非常的不足,可轻易突破,根本不具有主动防御的使用价值,可以说,根本不能称之

为一个完整的、可靠的主动防御体系,不能称为IPS。

这里就来随便说几点这个体系的一些弱点:

弱点1 - 鸡肋的自我进程保护:

瑞星在发布文章中说到“开启了瑞星2008的自我保护后,使用Icesword也无法结束其进程”,这句话大家

去江民论坛上看看,几天前江民的2008测试版出来的时候,也是说了这么同样一句话,但是,江民是货真

价实不能被结束,瑞星呢?
不用多说,拿ICESWORD测试一下可知,瑞星的所有进程都可以被轻易结束为什么呢?因为瑞星只挂钩了

ssdt上的NtTerminateProcess,这对于使用更底层的方式结束进程的Icesword是完全没有作用的,同时,

只要这个钩子被恢复(在瑞星的全面保护下恢复此钩子也是非常容易的,见后面的弱点分析),使用任务

管理器即可结束其所有进程(大家可以使用一 些具有SSDT恢复功能的工具例如超级巡警、gmer等试试)



弱点2 - 注册表监控的多个漏洞

(1) 注册表监控使用全路径判断注册表写入键名的方式,这种方式使用一个小技巧就可以饶过:
先打开想要写入的键的上一层键,例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows |

CurrentVersion,得到句柄后再使用这个句柄+Run来操作这个注册表,即可完全饶过瑞星的所谓“注册表

监控”,写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控,SSM等

专业的HIPS都已加入对这个写入注册表的保护,瑞星根本没有拦截这个关键的地方,(CB注:此处省略若

干字*******)。
(3) 没有拦截直接操作HIVE注册表方式。该方法和方法2一样,SSM等也都有拦截。
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载,但是木马完全可以写入一个BOOT0的驱动注册表项,等待

重启后自然启动,那就可以为所欲为了。

弱点3 - 这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术

入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动,非常简单的就可以

做想做的操作,比如恢复瑞星那些非常容易被恢复的SSDT钩子,这些网络上都有现成的代码,也有多个木

马使用了该技术进行主动防御穿透。

上面所说的只是一些已被广泛公开的方法,其他的弱点就不说了,免得被木马利用。
gototop
 

可以
gototop
 

可以
gototop
 

昨天已经试过了,可以。据说自我保护还在完善中,正式版应该就能好了吧
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT