1   1  /  1  页   跳转

[RAV] 瑞星自我保护分析及测试!!!

收藏
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2009-07-05 06:26 | 只看楼主 短消息 资料
字号: 1楼

瑞星自我保护分析及测试!!!

      瑞星的自我保护比09版增强很多,但还是存在很多弱点!!!若使用“家庭模式”,那么瑞星极有可能被病毒废掉,因为“家庭模式”未拦截驱动的加载,而行为引擎并不能100发现病毒啊!本贴分为两部分:一部分对瑞星挂钩的函数进行分析,二部分用工具测试瑞星自保强度!!!


一部分:


瑞星挂接的函数



38    NtAlpcSendWaitReceivePort       
42    NtAssignProcessToJobObject   
48    NtClose   
64    NtCreateKey   
72    NtCreateProcess   
73    NtCreateProcessEx   
75    NtCreateSection   
78    NtCreateThread   
116    NtDebugActiveProcess   
123    NtDeleteKey   
126    NtDeleteValueKey   
127    NtDeviceIoControlFile   
165    NtLoadDriver   
172    NtLockVirtualMemory   
189    NtOpenKey   
194    NtOpenProcess
197    NtOpenSection   
210    NtProtectVirtualMemory   
218    NtQueryDirectoryFile   
248    NtQuerySystemInformation       
252    NtQueryValueKey    0x822402A2   
255    NtQueueApcThread   
261    NtReadVirtualMemory       
267    NtRenameKey   
276    NtRequestWaitReplyPort
280    NtRestoreKey   
289    NtSetContextThread   
305    NtSetInformationProcess
314    NtSetSecurityObject   
317    NtSetSystemInformation   
319    NtSetSystemTime   
324    NtSetValueKey   
331    NtSuspendThread   
332    NtSystemDebugControl   
335    NtTerminateThread   
348    NtUnmapViewOfSection   
358    NtWriteVirtualMemory   
382    NtCreateThreadEx   


      分析瑞星挂钩的函数,发现若在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序, 可以秒杀瑞星的进程,因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时,瑞星的主动防御会有提示。请不要在SSDT上挂钩函数来保护自己.从本质上说,进程终结的本质是进程的线程被全部终结,线程终结的本质是被插入了APC。所以,挂钩KiInsertQueueApc是最好的选择,瑞星为何不挂钩此函数呢。当然,DKOM也可以。其它的手段,比如擦掉自己在Csrss中的句柄,挂钩ObpCreateHandle,没有漏洞的驱动防火墙,也是必须的。
      其实瑞星防杀只是停留在Ring 3下的,一旦病毒进了Ring 0,就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死,因为在驱动中调用NT系列函数是不经过SSDT的。

      而江民挂钩了几个很底层的函数并注册了DPC,一旦发现自己的钩子被恢复,马上又补钩上!,分别是:ObOpenObjectByPointerObpCreateHandle、PspTerminateProcessKiInsertQueueApc KeInsertQueueApc 建议瑞星能在公测期间修改自身的驱动,挂钩上述函数,增强自我保护,这样即使“家庭模式”,也不怕病毒加载驱动干掉瑞星进程!!!
      以前看过一篇帖子,用SetParent方法干掉窗体(而帖子未说明如何实现的),帖子说:“成功干掉窗体接着重新启动之,用WndSpy来查看窗体,竟然能够得到窗体的句柄,尝试发送WM_CLOSE,成功!看来瑞星的驱动没有挂钩SSDT Shadow表上相应的函数(具体函数未列出!)”。具体实现方法,请工程师评估并测试,以便改进!!!










二部分:






        用工具测试,瑞星的进程自保强度!!!

发现瑞星的自保不稳定,用冰刃 和 狙剑结束瑞星的进程,重复结束个2--3次,进程就会挂掉
1.大名鼎鼎冰刃用冰刃结束瑞星进程!




2.狙剑用狙剑结束瑞星进程



上述软件


3.malware defender结束瑞星进程




瑞星进程被成功结束。







瑞星的句柄被成功结束。







在内核中,瑞星驱动中的线程能被成功挂起。


4.用XueTr结束瑞星进程。





用此工具能成功结束瑞星的进程。(在这里 用‘结束’---- ‘强制结束’ 都可以实现。)





用此工具能成功卸载瑞星的模块。



对文件保护的测试!!!

 创建硬连接 恩... Demo 的效果是把瑞星英文语言下的主界面 Home 标签改成 KSDB


工具放在最下面了(Demo.zip)!!!

希望工程师能认真阅读我的帖子,也希望能重视自我保护并改进瑞星!!!









用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件附件:

文件名:IceSword.rar
下载次数:145
文件类型:application/octet-stream
文件大小:
上传时间:2009-7-5 6:26:24
描述:rar

附件附件:

文件名:SnipeSword.rar
下载次数:205
文件类型:application/octet-stream
文件大小:
上传时间:2009-7-5 6:26:24
描述:rar

附件附件:

下载次数:181
文件类型:application/x-rar-compressed
文件大小:
上传时间:2009-7-5 8:04:10
描述:rar

附件附件:

文件名:XueTr.rar
下载次数:170
文件类型:application/x-rar-compressed
文件大小:
上传时间:2009-7-5 8:04:10
描述:rar

附件附件:

文件名:Demo.zip
下载次数:238
文件类型:application/zip
文件大小:
上传时间:2009-7-5 8:10:00
描述:zip

最后编辑shulun743 最后编辑于 2009-07-05 08:10:00
分享到:
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2009-07-05 06:28 | 只看楼主 短消息 资料
字号: 2楼

回复:瑞星自我保护分析及测试!!!

编辑留白
最后编辑shulun743 最后编辑于 2009-07-05 08:10:36
gototop
 
CPU_ringO
头像
拙长孩提狮
  • 帖子:168
  • 注册: 2009-06-22
  • 来自:Tehon Team
发表于: 2009-07-05 09:08 | 短消息 资料
字号: 3楼

回复: 瑞星自我保护分析及测试!!!

分析不错,就是根本不用那么多工具来结束瑞星,从分析来看就知道必然被结束。

瑞星总是说安全工具不防御,我倒要问下病毒咋也不防御了?关了行为防御,随便找个病毒都能干掉瑞星。即使不关行为防御,找个未知病毒也可以干掉瑞星。

瑞星的工程师喜欢说:上传这样的样本!
可是可以干掉瑞星的病毒在RS的已知病毒库里几乎都是,根本没有处理好,只要病毒抢先了,瑞星一准被干掉。

工程师们,麻烦您们重视一下,这是自己用自己的血来做的杀软,不能忽视这些问题。



强烈建议,在公司里专门找出一个人来每天专门负责运行样本,看看瑞星会不会被杀。
最后编辑CPU_ringO 最后编辑于 2009-07-05 09:10:50
请时刻记住:微软是我们不共戴天的敌人,要找准时机彻底消灭它!
gototop
 
ris2010
头像
在线工程师
  • 帖子:215
  • 注册: 2009-06-27
  • 来自:
发表于: 2009-07-05 09:42 | 短消息 资料
字号: 4楼

回复:瑞星自我保护分析及测试!!!

您的建议我们已收集,感谢您对瑞星的支持!
gototop
 
万年寒冰
头像
快乐黄口狮
  • 帖子:223
  • 注册: 2007-08-16
  • 来自:
发表于: 2009-07-05 09:55 | 短消息 资料
字号: 5楼

回复:瑞星自我保护分析及测试!!!

好贴,一定要顶顶。让瑞星引起重视
gototop
 
★蓝色羽毛★
头像
版主
  • 帖子:4322
  • 注册: 2004-02-22
  • 来自:
论坛8周年活动礼物幸运草论坛9周年纪念09欢乐圣诞10温馨圣诞
发表于: 2009-07-05 10:26 | 短消息 资料
字号: 6楼

回复: 瑞星自我保护分析及测试!!!



太底层了毕竟不是很稳定,慢慢来吧,还是要考虑大多是普通用户的

附件附件:

文件名:未命名1.JPG
下载次数:895
文件类型:image/pjpeg
文件大小:
上传时间:2009-7-5 10:26:06
描述:jpg



堕入黑暗里的可怜影子啊!诋毁伤害他人!
充满罪恶的灵魂!想死一次吗?
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-07-05 10:34 | 短消息 资料
字号: 7楼

回复:瑞星自我保护分析及测试!!!

其一 关于自我保护的问题, 其实这个是软件的策略问题 不是技术上的问题 你自我保护做的多厉害 挂的多深 也会有病毒能干掉你 进了ring0层 大家权限都一样 看谁更猥琐 谁就更占先 但往往病毒更猥琐 且杀软不能那么猥琐 
其二 由于要避免过多的提示用户 所以系统加固中去掉了加载驱动 安装驱动的拦截 这些目前都在木马行为防御中做 木马行为防御也不是对所有驱动都拦截 需要对驱动进行判断 这就需要大家多多上传那些能干掉瑞星的病毒 分析病毒释放驱动的过程或者病毒释放的驱动和正常软件释放的驱动的不同 在避免过多的提示用户的基础上最大限度的拦截病毒加载恶意驱动的行为
其三 从2009版本已经可以看出 瑞星的策略逐步转向了“不让病毒进来”这样的理念
2010加了应用程序加固 对于某些利用系统漏洞进来的病毒也是个“震慑” 当然不可避免病毒还是可以通过某些途径进来 这还需要更加智能的“木马行为防御”来加以判断 目前行为防御在完善 同时也需要大家的支持 多多上传能绕过行为防御以及干掉瑞星的病毒上来
最后编辑newcenturymoon 最后编辑于 2009-07-05 10:38:39
gototop
 
CPU_ringO
头像
拙长孩提狮
  • 帖子:168
  • 注册: 2009-06-22
  • 来自:Tehon Team
发表于: 2009-07-05 12:29 | 短消息 资料
字号: 8楼

回复: 瑞星自我保护分析及测试!!!

阳光:

对于3:我很赞同瑞星转型向“不让病毒进来”,但是如果是伪装软件方法被用户下载到本地运行,绕过瑞星把瑞星干掉怎么办?

当然如果木马行为防御强大了也行,可是现在还不是很强大,希望2010版正式发布时变得强大,永远支持瑞星。
请时刻记住:微软是我们不共戴天的敌人,要找准时机彻底消灭它!
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-07-05 13:07 | 短消息 资料
字号: 9楼

回复: 瑞星自我保护分析及测试!!!



引用:
原帖由 CPU_ringO 于 2009-7-5 12:29:00 发表
阳光:

对于3:我很赞同瑞星转型向“不让病毒进来”,但是如果是伪装软件方法被用户下载到本地运行,绕过瑞星把瑞星干掉怎么办?

当然如果木马行为防御强大了也行,可是现在还不是很强大,希望2010版正式发布时变得强大,永远支持瑞星。


那应该 也有办法检测的 软件安装 和病毒的安装是不同的 这点需要做更为细致的规则
gototop
 
哎烦的很
头像
健康舞勺狮
  • 帖子:251
  • 注册: 2009-02-06
  • 来自:
论坛8周年活动礼物
发表于: 2009-07-05 14:17 | 短消息 资料
字号: 10楼

回复:瑞星自我保护分析及测试!!!

顶。。。希望瑞星自我保护能做到江民那样强大就好了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT