PC-cillin 2011 云安全软件：趋势科技 - ZHQ评鉴【第二篇】

zhq445078388

趋势科技
一个老牌的杀软厂商
我对它的关注是从q管开始的
他当前的成熟+主打产品是“PC-cillin 2011 云安全软件”


这款软件 毫不例外的使用了当前风头正盛的“云安全”
那么 我们便来剖析这朵神秘的“云”

首先 我们知道 这朵云是一个“信誉云”

趋势将其的“云”服务器称为“文件信誉评级服务器”
但是我们知道。趋势不可能把以前的东西全丢掉 也就是说 云端肯定有“鉴定器”
趋势和其他云安全厂商一样 大打“占用”牌
认为自己将8成的病毒特征（散列值？）放在云端 本地只留高危流行性病毒库
这样大大减少了资源的占用
点评：本地特征库 还是有一部分特征 也就是说 原本是
将文件读到内存→逐条比对特征→符合特征→干掉
                                ↓
                           没有特征→进启发或虚拟机→出结果
现在是：
将文件读到内存→逐条比对特征（20%）→符合特征→干掉
                                ↓
                         没有本地特征→计算散列并上传→云端结果
                                                       ↓
                                              云端无结果→打包上传整个文件→等待信誉或云端鉴定评价
也就是说 虽然是减少了80%的特征 但是也要加载一个云端接口 进行比以前多的内存散列运算（如果是微特征 那更多）
这样看来 虽然内存的占用下来了70~80% 但是cpu的占用 可能并没有下来多少 顶天了减少一半（金山也差不多吧）
但是 扫描速度的优势就出来了 以前的特征库方式 如果玩多线程。。动不动就崩溃。。因为硬盘读写或堆栈处理不当等多重潜在因素 但是现在 不过是计算个散列值 或者逆向提取特征值 随意多线程。没有问题


趋势的安装包。100多mb啊。。没看出来哪里轻巧了。（解压速度比较快 没来得及截图）
额 还要自解压。。跟微点差不多大勒。。
注意一点 我在试用的安装过程发现的 和360不兼容

我们发现 趋势对新病毒的反应速度在国内大概在50分钟以上
跟官网宣传的30分钟差了一半还多

趋势的评级系统有个好处 就是不过他的反病毒实验室 类似诺顿的信誉云
与金山不同的是 他每天都要更新很少部分的流行广谱特征
与诺顿不同的是 他每天不是全部更新到本地 而是只更新20%不到 本地一直轻巧
点评：
趋势的病毒收集 按照官方说法 是“主动的” 根据我们看到的 所谓主动的 就是未知上传 就是我不认识的 全部上传
这样大大加快了云端的收集速度
并且 自动评级服务器 是根据用户对它的使用人数//信任人数的一个自动的百分比
并且 云端的启发部分也占了很大部分 似乎 启发报警的 即使有一半以上的人信任 仍然会暂时被报警
直到反病毒实验室人工介入修改
  

后记：
趋势的本地是很不错的 但是限于没有比特梵德那种速度超快的引擎 并且全球的病毒数量似乎压垮了他们的样本分析工程师 迫不得已 将本地转向云端
但是 其云端并没有什么出彩的地方 一个已经被识别的病毒样本 使用花指令之后 可以免杀趋势大概半个小时以上
一个使用加密壳免杀的 更是可以免杀接近一整天
由此我们可以知道 趋势在本地 似乎降低了虚拟机等组件的能力
这给了病毒制造者以机会

解决方案：
1、加强本地抗免杀能力
2、云端上报应当先经过本地的去免杀手段 而不是直接散列值（似乎不是散列 但是多改几处继续免杀的现象是存在的）

以上所有 为自行归纳总结

zhq445078388

额 虚拟机里面 截图成功
IE6会提示不兼容 这点不爽


补充：
在云端hash对比的过程中，重点会有三个权重作为判断依据，ip和web网址配合（这其中包含王网页脚本的判断）/垃圾邮件地址包含/文件黑白/
云信誉有一点很怪
比如 一个后门程序 特征已经免杀了
如果连接到一个经常改ip的网站（比如一些3322的动态域名）
就会接着报。。
如果是连接到静态的域名。。就不报

zhq445078388

然后是重头戏
趋势本地技术分析
首先是ssdt
我们看到 趋势主要用于ssdt的驱动是tmevtmgr.sys
看起来趋势对注册表的保护很严密：
NtCreateKey
NtSetValueKey
NtDeleteKey
NtDeleteValueKey
NtRenameKey
NtRestoreKey
-----------------------------------
然后是对驱动的
NtLoadDriver
NtSetSystemInformation
对远程注入的
NtCreateThread
NtWriteVirtualMemory
线程/进程部分的
NtCreateProcess
NtCreateProcessEx  ‘小疑问。。按理说 挂住ex不是就行了么？
NtOpenProcess  ’打开进程这个动作 勾他做什么？
NtTerminateProcess ’杀进程
NtTerminateThread ‘杀线程
其他的：
NtOpenSection 没太注意这个 额 你说 传递个null  会不会崩溃掉呢？
NtOpenThread 自保的？ 难道是保护窗口的？
NtDuplicateObject                  |
NtCreateMutant                    ｝这三不知道干嘛的。。顺便求教下
NtCreateSymbolicLinkObject     |

[ShadowSSDT]
NtUserSetWindowsHookAW  嘿嘿 在shadow里面挂这个 防止注入的么？
NtUserSetWindowsHookEx  这个也是啊  记得这俩 好久不见了


额 总之 趋势这部分 做监控和自保还行。。。做主防还不够。。貌似


被高亮了.这里就指出一点以前的误区:
NtOpenThread  自我保护 用于防止其他程序open自己的线程
NtOpenProcess  不让进程被open的话 可以有效防止远程线程注入和进程崩溃
NtCreateProcess 居MJ大大说 有些系统这个函数不查ssdt直接调用ex函数 所以除非对ex进行inline hook 否则需要都勾上
NtWriteVirtualMemory 写远程内存 这个函数可以任意读写使用特定权限open的进程内存

小仙仙

囧，

zhq445078388

逍遥郁闷小仙 发表于 2011-11-23 20:03
囧，

我知道了 马上改成doc  传到那个任务贴去
现在改标签先

wenjuner

支持技术贴，论道区的变化越来越喜人了~~

zhq445078388

没人看了~！

夜ㄝ殇

没觉得趋势很轻巧厄，，

悟心之道

论道区能看到这种文章很有喜感

zhq445078388

悟心之道 发表于 2011-11-24 14:40
论道区能看到这种文章很有喜感

感谢支持

PS：其实是屁颠转过来的