改exe文件名秒杀卡巴HIPS(包括Firewal)l

522586971

卡巴号称是全球第一款将HIPS融入传统杀软的安全软件（从6.0开始做主防，8.0开始搞了一个应用程序控制），HIPS防护深度仅次于毛豆（这条忘了哪里听说了的）。

下面我们就来看看卡巴的这种ring3与ring0结合的HIPS是怎么牛逼到改一下文件名就可以绕过的地步。
首先1.exe是一个测试程序，会往windows目录下放一个test.exe.
交互模式下运行这个程序，毫无疑问会被HIPS拦截。

下面我们把1.exe改一个名，改成那个啥（这里保密，文件名见附件），然后再鼠标运行，可以看到已经轻松绕过HIPS分组，进入11维超空间地带，不受任何控制，等同于进入超级信任组。

这种方法到底能绕过哪些卡巴的组件呢？我试了一下，至少有三个1.右键单独扫描。2.应用程序控制的启发式分组和后续的控制。3.后续的应用程序控制里面的防火墙。
哪些组件绕不过呢？fileav不能绕过，PDM（包括sw）不能绕过。有趣的是PDM是要早于应用程序控制设计的。

发现这个问题时我没有看源代码。不过可以猜到，高手看下源代码就可以立刻发现这个问题。而且连我都能发现这个问题，肯定早就有人发现了，只是没公布。

本来不想发这个贴的，只是怕这个存在3年的要烂掉的bug万一到了2013还不修复咋办，所以干脆发出来了。 1.rar (87.44 KB, 下载次数: 27)

2011-8-7 18:13 上传

点击文件名下载附件
阅读权限: 200

飘落的泪

不清楚楼主所提供的这个样本，具体有那些行为。
这个附件只能对指定的用户下载。
================================
卡巴斯基的主动防御也隶属于 HIPS（早期的卡巴斯基主防只有部分RD和少量的AD），不是卡巴斯基PDM比HIPS出现的早。而是 卡巴斯基 应用程序分组（即HIPS分组）组件 比 主动防御组件 出现的晚而已。
楼主所说，在交互模式 毫无疑问会被HIPS 拦截，表明 在卡巴斯基自动模式下，卡巴斯基不会作出反应。
请楼主了解一点当卡巴斯基应用程序工作在 自动保护模式 时，主动防御 组件默认对所检测到的任何的可疑系统行为都会按照卡巴斯基实验室的设定进行自动处理，当卡巴斯基认为需要弹出对话框要求用户进行选择的，就会弹窗提示用户做出裁决，当卡巴斯基认为不需要弹出对话框要求用户进行选择的，则就会允许这个可疑的系统行为发生并且记录在 已检测到的威胁 标签内。
所以，卡巴斯基本地强大的防御并不是体现在自动模式下，而是在 交互模式下。

sfzjn

飘落的泪 发表于 2011-8-7 18:54
不清楚楼主所提供的这个样本，具体有那些行为。
这个附件只能对指定的用户下载。
====================== ...

自动模式会使用户更加危险？

飘落的泪

sfzjn 发表于 2011-8-7 18:57
自动模式会使用户更加危险？

自动模式下，卡巴斯基的防御效果没有交互模式 下好

z13667152750

楼主没有说清楚，改名后是绕过的交互模式手动分组还是自动模式？

黑羽

楼主能不能告诉我在windows目录下创建一个无法运行的程序是什么可疑行为？

黑羽

飘落的泪 发表于 2011-8-7 18:54
不清楚楼主所提供的这个样本，具体有那些行为。
这个附件只能对指定的用户下载。
====================== ...

这个样本的行为只是创建一个无法运行的程序，根本不可能触发主防规则

sfzjn

黑羽 发表于 2011-8-7 19:11
楼主能不能告诉我在windows目录下创建一个无法运行的程序是什么可疑行为？

释放垃圾程序

飘落的泪

黑羽 发表于 2011-8-7 19:12
这个样本的行为只是创建一个无法运行的程序，根本不可能触发主防规则

难怪不能触发 卡巴斯基的PDM

黑羽

sfzjn 发表于 2011-8-7 19:27
释放垃圾程序

哪有只释放一个0KB的垃圾程序