主動防御機理探討

主動防御機理探討主動防御原理計算機病毒它就像潘多拉盒子里的惡魔，揮之不去，燒之不盡。打開邪惡之種的人是一對巴基斯坦兄弟，從1987年C-Brain病毒誕生開始，我們便開始了漫漫反病毒之行?，F(xiàn)在計算機病毒頻繁變種，傳統(tǒng)病毒庫升級技術存在必然的缺陷。相對于新病毒，傳統(tǒng)病毒特征碼技術必然需要先截獲病毒再升級病毒庫，雖然現(xiàn)在反病毒廠商的反應機制足夠快，但從截獲到用戶升級到最新病毒庫必然存在一個時間差，這還不包括許多因為互聯(lián)互通的問題導致無法及時升級的因素。病毒數(shù)量正在呈爆炸式的增長，病毒更是變種層出不窮，再加上網(wǎng)上越來越多的所謂“免殺”病毒的出現(xiàn)，這不僅僅是依靠快速升級病毒庫的方法就能徹底根治。用戶需要一種能防范于未然的方法，一種能夠在未升級病毒庫的情況下也可以有效防范和處理病毒的技術和產(chǎn)品，主動防御技術就應運而生。“主動防御”技術是基于通過對某些未知進程的行為特征進行動態(tài)實時監(jiān)控、自動跟蹤相關進程的行為痕跡，如這些進程是否表現(xiàn)為在系統(tǒng)文件夾中創(chuàng)建了可疑文件、向Windows注冊表注入了非法進程及向外部發(fā)送了帶有敏感信息的電子郵件等反?！靶袨椤?，從而智能判斷病毒、木馬、黑客程序及間諜程序等是否存在的一種先進安全防御技術，顯然它與傳統(tǒng)病毒特征庫比對查毒的“慢半拍”是有本質(zhì)區(qū)別的。實現(xiàn)機制目前實現(xiàn)了主動防御技術的殺毒軟件主要有瑞星、江民、金山、卡巴斯基、諾頓個人版本等等。以瑞星主動防御為例，下載安裝瑞星2010版本完成之后，通過一些安全檢測工具以及內(nèi)核調(diào)試工具，探查其主動防御技術的大概原理實現(xiàn)，內(nèi)核修改如圖：

序號\函數(shù)名稱T當前函數(shù)地址Hook麗貽函數(shù)地址T當前函數(shù)地址所在模塊19MtAssigTLpr'jcessToJob...0xF9D08831ssdthuuk0x805CC162c^INBOtfS\sy￡tem32\drivers\H00KHELF.sys41MtCrea七辺町0xF9D089DEEE'lthijuk0x80619BB21:\WIUDOtfS\aystem32drivers\H00KHELP.sys43NtCreateMiit：=lTlt0xF9B088B5Eldthook0x8060CFSC1:\WINBOtfS\system32\drivers\H00KHELF.Sys47HtCreateFt□匚已呂￡0xF9D0899CEldthook0xS05C6CE8cMlfIKDOWS\syzt driver3\HD0KHELF.sys48N e；寶七eFrucessEx0xF9D0897BZSilthuuk0x805C6C32cWINDOWS\zy11em32\drivers\HOOKHELF.syS50NtCreatmEmcition0xF9D08D36EEilthuuk0x805A023EcWINDOWS\5yitem3$\driTere\HOOKHELF.sys521JtCrwteS^TTibulicLink...0xF9D089BDSEiltIluuk0x805BA410cXWIHBOWS\system32\dr1vers\HOOKHELF.sys53MtCreatEThrEsd0xF9D08663Esdthuuk0x805C6ABO1:'WINDOWS\ays.tem32\drivers\H00KHEU.sys57NtDebugActiveFi-ncess0xF9D08TADEEdthuuk0x60638AC4c\WIND0tfS\syitem32\drivers\H00KHELf.刃s63NtDeleteKey0xF9D08A4155dthook0x8061AD621:\WIWBOtfS\zystem寵^drivers\H00KHELF.sys65litDeleteV：mlu已ICey0xF9D08A20Eldthuuk0x8061A232c\WIHBOWS\system32\drivers\H09KHELF.sya66NtBeviceloControlFile0xF9D08852SSilthuuk0x8056E312cWINDOWSaystem3￡\drivers\HOOKHELF.sys68NtDupl1c注teLlbjmet0xF9D0895AEEilthuuk0x805B3iF0c^ISBOW^Eystem32\driverS\HOOKHELF.Sys97lltLuaidllriver0xF9D08621Esdthuuk0s805T932AcXWIHBOWS\?y51em32\driverb\HD0KHELP.sys103ITt.LuckVirtu：±lMemury0xF9D08T6BEsdthuuk0x805ABAlAcAWIWBOWS\Eystem32\drivers\HOOKHELF.sys119NtOperJCey0xF9D08AC5EEdthuuk0x8061AF681:^INDOtfSVsystem32\drivers\H00KHELF.sys122WtOperJ'roceee0xF9D088F7EEdthuukOxSOSCOETS1:XWIWDOtfS\syStem32\drivers\H00KHELF.Eys125HtOperiSecti皿OxF9DO0684EEdthook0x8059F2T4c\WIKDOWS\aystem32drivers\H00KHELF.sys13THtFrotectVirtu：=lLMemor70xF9D08T4AEldthook0X805AD4E2c^IHBOWS^ystem32\drivers\H00KHELF.Sys145NtQueryDirerturyFlie0xF9D08894SEilthijuk0x8056EF44cMlfIN110WS\system3^drivers\HOOKHELF.ays1T3NtQuerySyEtErTilrLforniSL...0xF9D08939Esdthuuk0x8060733EcWINDOWS\system32\drivers\HD0KHELF.177ITtQueryValuelvey0xF9D08810EsdtIluuk0x80617C8CcVWIffDOWS^ystem32\drivers\HOOKHELP.sys180HtQueueApcThr已ad0xF9D08T29Ssdthuuk0x805C6D2E1:XWINDOtfS\system32\dr1vsre\H00KHELF.sys192WtRen：EifTieIiey0xF9D08A62Eldthuuk0x806195J81:'WINDOWS\z73.tem32Xdrivers\H00KHEU.sys200litRequHit.WaitFLeplyF0r+0xF9D08TEFEldthook0xS0597BE0c\WIWD0tfS\syitem32\drivei-s\H00KHEL?.Eys204HtRes七口丁述：巧?0XF9IILIHAA4Eldthook0x8061TEDAc\Wim)OWS\zystem32^drivers\H00KHELF.sys213ITe+C口ntextThread0xF9D086E7SzdthuukLlx8U5C71F2c\WINI)OWS\syStem窣\driverz\HOOKHELF.sys228NtEetlrLturmat1orLpr0cess0xF9D08918EsdthuukOx805C3B36cWINDOWS\3731em3￡\driver3\HOOKHELF.sysHOOKHELP.SYS通過在ringO內(nèi)核層修改了SSDT關鍵函數(shù)地址，如：NtLoadDriver、NtSetSyetemInfomation、NtCreateKey、NtCreateProcess、NtCreateSection等函數(shù)，達到對系統(tǒng)的進程活動，文件操作，注冊表操作的行為進行過濾監(jiān)控以及自身保護的目的；同時，為了減少誤殺的幾率，增加了可信任的白名單或者黑名單規(guī)則，以及簽名驗證機制，如圖：設査+■■/：：＜查殺設置電腦防護1””i3 "'：國:-S:…@■木馬行為防御設査+■■/：：＜查殺設置電腦防護1””i3 "'：國:-S:…@■木馬行為防御：…g本馬入侵攔截血?升級設置.+■■■-.高級設置文件監(jiān)控郵件監(jiān)控系統(tǒng)加固應用程序加筍應用程序控制推薦自動處理現(xiàn)存有埶規(guī)則3條，黯躱警驟籬豔蠶勰翹析‘錐雌未知-_3- - 用琴r發(fā)現(xiàn)程序存在惡意行為時叼啟用危險動作另析切自動放過簽名程序回記錄日志自國白名單程序 I吳筆蘇-溺C:'DOCUMENTSAMDSETTINGS\ABMIHISTRATOR\桌面\DB...安全C:'DOCUMENTSAMD.SETTINGS\A3MIHISTRAT0R\桌面猱K…安全C:\FRDGRAMFILES\36Q^350SArEASAFEM0B.V360TRAY.EXE 安全?配合病毒查殺技術，最終實現(xiàn)了整個立體的防御體系。在整個體系中，最重要的部分，是用戶行為規(guī)則合理的分析判斷，區(qū)分正常程序以及惡意程序。至于卡巴斯基的主動防御，還增加了虛擬機技術，在虛擬內(nèi)存中執(zhí)行程序，對程序的行為活動進行分析判斷，區(qū)分正常程序以及惡意程序。探測主動防御缺陷以及防范由于殺毒軟件基本都是在病毒執(zhí)行之前，已經(jīng)在系統(tǒng)中對系統(tǒng)進行保護了，所以任何一個不良程序，都必須面對殺毒軟件的查殺以及殺毒軟件的主動防御功能；而方法不是在ring3應用層繞過殺毒軟件的查殺以及主動防御，就是進入ringO內(nèi)核層修復系統(tǒng)。目前主要有幾種方式，探測主防行為規(guī)則缺陷、逆向殺毒軟件模塊查找漏洞、利用系統(tǒng)或者第三方軟件漏洞。1）探測行為規(guī)則缺陷：以下是一個木馬的執(zhí)行過程，每執(zhí)行部分代碼，就會輸出一段調(diào)試信息，如果某些代碼執(zhí)行的過程中，觸發(fā)了主動防御規(guī)則，瑞星2010主動防御就會提示、如圖：經(jīng)過測試，發(fā)現(xiàn)在創(chuàng)建服務，寫注冊表關鍵位置，如：run、runonce、runservice、HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost下的鍵值會被主動防御警告阻止。同時在往系統(tǒng)關鍵目錄寫、修改文件也會被報，如：windows、system32、drivers、系統(tǒng)啟動目錄等位置。以注冊表為例子，是不是被監(jiān)控過濾的鍵值就不能寫入了呢？或者在應用層就沒辦法寫入了呢？微軟在對注冊表的管理操作上，給我們提供了幾種方式，一種是界面的regedit.exe、或者regedt32.exe，一種是提供了API函數(shù)接口操作注冊表，還有一種是命令行的reg.exe。但是并不知道有沒有對這塊完整的過濾，經(jīng)過測試發(fā)現(xiàn)，使用regedit.exe將需要修改的內(nèi)容導入到注冊表，不會觸發(fā)瑞星2010主動防御機制。從中我們可以得出結論，瑞星主動防御的默認規(guī)則并不是很完善的，其他殺毒軟件的也類似。關鍵代碼如圖：charni_Reg&ata[2Ji48]={'Xfi-};DUORDnRet;wsprintf(m_Reg^ata."WindowsRegistryEditorUersion5.&9\r\n\[HKEV_L0CAL_MACHINE\\SVSHANDLEnFileHanJle;mFileHandle=CreateFile(lpRegNanie,GENERICWRITE,FILESHAREWRITE,NULL,CREATEALWAYS,FiF(mFileHandle==INUfiLID_HANDLE_UfiLUE)returnfalse；WriteFile(mFileHanrneRegiJata,lstrlen(pReg^ata)，&nRet,fl)；ClcseHandle(!i)FileHandle);delete]]pHexPath；TCHARstrShellPath[MAXPfiTH]={?}；TCHARshellC!Hd[_MAX_PATH]；GetWindawsDirectory(strShellPath,MAXPfiTH).；lstrcat(strShellPath^'Wregedit.exe");wsprintf(shellCrit?,_T("\/sl&s").IpFtegNamE?)；ShellExecute(NULL,NULL,strShe