查看: 30585|回复: 63
收起左侧

[瑞星] 星星究竟对数字签名病毒无视到什么程度

  [复制链接]
expensive6688
发表于 2011-7-12 10:04:38 | 显示全部楼层 |阅读模式
本帖最后由 expensive6688 于 2011-7-12 14:12 编辑

昨天某人发了这样的帖子:现在瑞星拦截带签名的病毒吗 大家都说要去掉“不检测程序”中的“带数字签名的程序”的勾

这数字签名是什么,做了什么,为什么引起群众的唾弃

数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。

数字签名了的文件的完整性是很容易验证的(不需要骑缝章,骑缝签名,也不需要笔迹专家),而且数字签名具有不可抵赖性(不需要笔迹专家来验证)。

中国大陆,数字签名是具法律效力的,正在被普遍使用。2000年中华人民共和国的新《合同法》首次确认了电子合同、电子签名的法律效力。2005年4月1日起,中华人民共和国首部《电子签名法》正式实施。

看完数字签名的个人介绍,貌似他不是坏人嘛,还是帮助我们保密数据和验证数据的好人。因此正规的软件安装包都有数字签名。下面看看他的PP(用了微软的Windows Live 2011安装包)

但是,就因为如此,很多坏淫利用了数字签名,从伪造数字签名,自创建数字签名到偷正规公司的合法数字签名,利用数字签名骗过安全软件。真是一大悲剧。

更杯具的是某人抢了我的SF,对星星的测试到3L看 有意见的欢迎提出

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4经验 +30 人气 +3 收起 理由
黑猫、警长 + 1 迟来的奖励
zmzcy + 1 感谢解答: )
涩涩的猪 + 1 人气刚恢复,恭喜你置顶
heaven888 + 30 版区有你更精彩: )

查看全部评分

Ventureminking
发表于 2011-7-12 10:15:44 | 显示全部楼层
沙发抢到了
LZ图文并茂好啊好
expensive6688
 楼主| 发表于 2011-7-12 10:41:53 | 显示全部楼层
本帖最后由 expensive6688 于 2011-7-12 20:53 编辑

刚才偶说过
很多坏淫利用了数字签名,从伪造数字签名,自创建数字签名到偷正规公司的合法数字签名,利用数字签名骗过安全软件。

既然发到星星区,当然是测试星星对数字签名病毒无视到什么程度啦。
严重警告,以下帖子包含超过20张PP。如果乃不是电信用户(或者上卡饭很卡的),请注意保护好你的猫
声明:星星对于数字签名的设置只在木马防御和系统加固。文件监控和查杀方面星星对所有程序(有无数字签名)都一视同仁。 所以此次测试只针对木马防御和系统加固。

首先是系统属性,星星版本和设置(全部防御开启且等级最高,放行数字签名)







开始测试。
(1)首先是没有数字签名的样本





星星通过!

(2)通过特定工具伪造微软数字签名的样本





星星继续通过

(3)通过微软工具创建的测试数字证书(根证书不受信任),然后通过微软工具签署数字签名的程序





OMG,防火墙居然放行???木马防御自动处理???实机的ESET已经报警了


(4)通过微软工具创建的测试数字证书(根证书受信任),然后通过微软工具签署数字签名的程序





结果和(3)一样,ESET又报警了


(5)不过要是把有数字签名的病毒【文件来自(4)】改一下MD5









星星复活了

最后,用官人一句话来总结


什么看不明白?那我们来做个比喻。
把星星比作在小区里的保安,样本比作要进入小区供电设备的A,数字签名比作维修员的证件。相片就是文件哈希。
(1)A打开了门刚要进去,保安出现并说:“乃的证件呢?”,A:“今天忘带了,大哥通融通融”,保安二话不说把A抓住了

(2)A出示了证件,但是那个证件的相片根本不是AA又一次被抓住了
(3)A出示了证件,上面贴了A的相片。保安放行。全然不知上面的证件颁发部门根本是没执照的
(4)A出示了证件,上面贴了A的相片,证件颁发部门也是合法的。保安笑眯眯的放行。谁不知证书颁发部门就是A开的
(5)A出示了证件,上面贴了A的相片,证件颁发部门也是合法的可惜A整容了……保安又把A抓住了

不知这样比喻恰不恰当
样本来自卡饭评测区的Kafan VirList [2011.7.11]里面的某个小样本,在这里不提供签名工具(伪造的和真正的):不说。为什么?利用Bug的成本太低了,简直为零。从创建证书到签署文件一分钟都不用
在此感谢提出测试的涩涩的猪

偶都忘了还要总结和提建议:
(1)星星对伪造的数字签名和正规数字签名程序的篡改(就是情况2)有防御 ,但是对证书的合法性没有防御(情况3和4)
(2)要知道世界上正规的证书颁发机构屈指可数,建议增加对签名证书的根证书的白名单验证(独立于系统的证书体系,利用云和本地数据库)
(3)有时正规的证书也会被别人盗用,建议增加对签名证书的黑名单过滤(继续独立于系统的证书体系,利用云和本地数据库,话说被盗用的证书应该不多吧)和证书ocsp(联网证书状态协议)
(4)为了防止病毒对系统证书体系的篡改,建议学习金山对“受信任的根证书颁发机构”的保护(加到“系统加固”?)
(5)检测到非法的证书(根证书不在白名单,签名证书在黑名单,ocsp表示是吊销的证书)签名的程序要提出警报,并自动上传
(6)在检测数字签名合法性的期间,把程序放到虚拟机(偶想说沙盘,可是星星说过不做)观察,其他防御机制继续工作
要是嫌麻烦,索性不理数字签名把

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
ahhh + 1 抱歉,纯表情回复
dongsheng01 + 1 版区有你更精彩: )

查看全部评分

expensive6688
 楼主| 发表于 2011-7-12 10:42:33 | 显示全部楼层
Ventureminking 发表于 2011-7-12 10:15
沙发抢到了
LZ图文并茂好啊好

你抢我的SF干嘛,还没发完呢
Ventureminking
发表于 2011-7-12 10:45:07 | 显示全部楼层
expensive6688 发表于 2011-7-12 10:42
你抢我的SF干嘛,还没发完呢

这么拽?板凳我也拿了。支持测试。
涩涩的猪
发表于 2011-7-12 10:45:44 | 显示全部楼层
结果如何?
expensive6688
 楼主| 发表于 2011-7-12 10:47:17 | 显示全部楼层
涩涩的猪 发表于 2011-7-12 10:45
结果如何?

看3L
hw090807
发表于 2011-7-12 10:52:02 | 显示全部楼层
星星有待进步。
涩涩的猪
发表于 2011-7-12 10:55:37 | 显示全部楼层
expensive6688 发表于 2011-7-12 10:47
看3L

很形象吗! 下次锁帖编辑,再开帖.
expensive6688
 楼主| 发表于 2011-7-12 10:56:56 | 显示全部楼层
涩涩的猪 发表于 2011-7-12 10:55
很形象吗! 下次锁帖编辑,再开帖.

偶加255了不知为何又自动清除了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 01:26 , Processed in 0.136658 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表