关于McAfee和白加黑的几点想法

大猫熊

近日所谓国产的“白加黑”比较流行，很多人都在说，这次国外的杀软算是万马齐喑，查杀跟不上，主防又怕大大增加误报，所以都无法实现有效的防御，于是乎国产的两款软件又有了免费宣传噱头，事先说明，我不对这些软件有任何评价，就想谈谈自己对白加黑的一点理解和对个人安全防护的看法。

首先我们再来重现一下“白加黑”的基本入侵方法。

(1) 用户获得了一个可执行文件，途径可能有：
(a) 上网遇上漏洞，后台自动下载可执行文件(A.exe)或动态链接库文件(X.dll)，如果是后者会直接将X.dll文件放入特定目录
(b) 在非官方网站上下载安装程序（多为盗版破解版）、注册机或破解程序，其中包含了可执行文件A.exe，在运行这些破解软件时释放出来
(c) 接受好友从QQ传过来的文件A.exe
(d) U盘里的A.exe

(2) 这个特殊的可执行文件A.exe里面包含一个干净的可执行文件B.exe，和一个加了恶意代码的动态链接库文件X.dll，这个干净的可执行文件可以有完好无损的数字签名，而X.dll如果单独放在电脑里是无害的，而世界上的dll文件如此众多，几乎所有杀毒软件厂商都没有也没可能去一一照顾，他们主要都将精力集中在对exe文件的查杀上，所以，这个X.dll，在所有杀软眼里是“干净”的

(3) 用户运行A.exe，释放B.exe和X.dll，含有效数字签名的B.exe开始运行并加载一个不起眼的X.dll，这一切是多么的正常，所有杀软都没有理由阻止，因为阻止了这个行为，就等于说所有系统活动都有问题。

(4) 受到X.dll文件的干扰，原本正常的B.exe会出现反常行为，比如记录键盘，修改注册表，等等。但是杀毒软件和防火墙对于有有效数字签名的程序处于信任的状态，因此没有拦截。因为很多系统自身的进程，也会做出这样的动作，如果忽略数字签名进行拦截，将会造成大量误报，严重影响用户使用。至此，整个电脑防御体系濒于崩溃，杀毒软件和防火墙形同虚设。

(5) 我不知道这一步骤目前的“白加黑”木马有没有，但理论上肯定可以，就是直接将X.dll放入特定目录，让已经安装在电脑中的程序甚至是系统进程直接调用，连B.exe都不需要，这样主防会有更大的困难。


以上这些很多人可能都知道了，但我们不能仅局限于了解“是什么”，更要深究“为什么”，那就是，在现有防御体系中，究竟有哪些结构上的漏洞，导致“白加黑”的入侵成为可能？

(1) 杀软对于动态链接库文件(.dll)缺乏有效侦测手段，是白加黑类木马得以入侵的前提。的确，现有的可执行文件就已经够杀毒软件公司头疼的了，这才有了云杀毒的市场，现在又加入了.dll文件，一个单独来讲无害的文件，杀软的病毒分析师需要分析的样本数量顿时呈几何级数增加，即使有云恐怕也无济于事。最近国内两款软件能够在一定程度上拦截白加黑入侵，也是依靠定点迅速分析和云部署才勉强可以，但依旧有滞后性，如果白加黑的模式泛滥开来，恐怕这些公司也很难迅速反应。对于国外公司，定位恶意代码可能更加困难，因为他们大多找不到主程序B.exe，无法在虚拟机中运行，无法发现恶意行为，这就是为什么有些样本即使送到国外的实验室，也被定义为“安全”的原因。

(2) 现有防御体系对含数字签名的进程的信任，成为白加黑类木马得以入侵的关键。究其原因，还是现有主防系统遇到的系统事件过于复杂，无法准确有效区分正常的系统操作和病毒行为。因此，杀软大多将含有有效数字签名的文件特殊对待，因为这表明了该文件本身不是恶意文件。另外，许多含有数字签名的程序其实就是系统程序，而系统程序的权限高，行为复杂，更加难以和病毒行为区分开来。为了避免过度干扰用户和造成系统不稳定，主防不敢将这类程序限制的太死。

(3) 用户对软件A.exe的信任，是白加黑类木马得以入侵的根本原因。如果A.exe无法执行，那么所有后续的入侵将成为不可能，除非是漏洞导致的自动执行，否则必须有人为因素，才能让白加黑的入侵开始。

在以上三个原因中，头两个是目前我们无法控制的，恐怕也是目前国内外杀软都无法从根本上控制的，因为它们是结构性的矛盾，是杀毒软件和病毒较量的历史上一个注定要经历的矛盾。也许随着时间推移，主防能真正智能到辨别系统正常操作和病毒的操作，减少误报，白加黑的入侵方式可能才会有所遏制，而到这个时候，恐怕病毒这边也发展出更加诡异所思的入侵方式了。

作为用户，我们能够控制也是必须控制的就是第三个因素——信任。

可能其他杀软的用户并不太清楚信任对于电脑安全的重要意义，但是McAfee的用户对此并不陌生。我们制定规则，激活规则，碰到触红，判断排除。这些基本功实际上就是我们对不同软件的一个信任过程。另外对于大多数规则，安装大型软件时需要关闭规则，此时也正表明用户对于该软件的信任。规则编写者一再强调，规则不是万能的，必须配合良好的电脑使用习惯，才能真正使电脑安全起来。

比如，对于之前所说的四种让A.exe运行起来的方式，我们可以通过及时打补丁避免漏洞执行；我们可以通过在官方网站下载安装程序，少用或不用来历不明的注册机和破解软件，来避免接触到A.exe；我们可以不运行自己不熟悉的程序，哪怕是来自我们的朋友；我们可以多个心眼，取消U盘自动运行。方法有很多，而且都是说了无数遍的老生常谈。但就是这些看似陈词滥调的东西，却能从根本上防御最新最诡异的入侵。

至于McAfee，我们也可以通过一些规则设定，防止不小心或者无意中运行病毒造成的影响。比如。设定所有非信任区程序禁止创建.dll文件，防止所有程序在程序安装目录和系统目录创建和修改.dll文件，防止浏览器下载.exe和.dll文件，防止U盘程序运行，等等等，目前所有流行的规则包，包括墨池和叶版的，都已经可以做到。我们所要做的就是睁大眼睛，谨慎小心，在使用电脑的过程中保持良好使用习惯，信任那些可信赖的程序。如此这般，白加黑也就只能治治感冒了吧？

欢迎访问我的博客：http://www.alexyang.me

imut

很精辟

shiyuelaohu

感谢版主分析，对白加黑有些了解了。这个时候靠智能安软已无能为力了，也只能靠咖啡和hips了，但仍未免会有疏漏，谁会去关注那个dll文件呢？看来只能从源头遏制了。

该类，对于咖啡规则，并没有丝毫挑战——至今，所以，本人无视该“可能利用的病毒入侵手段”！

---

一、默认规则的“前瞻性”

禁止在 Windows 文件夹中创建新的可执行文件

禁止在 Program Files 文件夹中创建新的可执行文件

以上，2个默认规则，其保护内容：限制系统区域对于 “.dll” “.exe” 的创建操作——一定程度上，拦截了很大部分的病毒入侵行为！

即使所谓的“白加黑”，一般的话，也应该是会被以上规则拦截！！

#另，对于临时释放 “.dll” 而后执行“白加黑”，也有规则拦截：禁止所有程序从 Temp 文件夹运行文件（程序运行时，释放的文件，一般均释放至Temp文件夹，而后执行）


二、简单的全局封锁（自定义规则）

要包含的进程：*
要排除的进程：FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：创建 写入

在以上一个【简单】的限制下，所谓的“白加黑”，便没有了生存之所！！！

---

当然，有一个前提：你使用了咖啡规则......

shiyuelaohu

storyhare 发表于 2012-4-17 22:58
该类，对于咖啡规则，并没有丝毫挑战——至今，所以，本人无视该“可能利用的病毒入侵手段”！

---

问一下，A.exe和B.exe一般都是安全文件，到时候不小心排除了怎么办？

大猫熊

storyhare 发表于 2012-4-17 22:58
该类，对于咖啡规则，并没有丝毫挑战——至今，所以，本人无视该“可能利用的病毒入侵手段”！

---

默认来说肯定没问题~~怕还是怕用户乱装软件，关掉了防护，等dll一就位，再拦就难了~~

shiyuelaohu 发表于 2012-4-17 23:01
问一下，A.exe和B.exe一般都是安全文件，到时候不小心排除了怎么办？

该类规则的排除，极其严格，除了极少数的系统进程，不会给予“多余”的排除！（否则，那是放弃规则......）

更重要的是：A.exe，B.exe 是如何进入本地文件系统的？  如何被执行的？？    在一套完整的规则面前，“.exe”都是被严格控制的：从创建，到被修改、最后的执行.......

放行的话，只有一个可能：规则被人为关闭！（话说，“自作孽，不可活”.......）

alexyangjie 发表于 2012-4-17 23:02
默认来说肯定没问题~~怕还是怕用户乱装软件，关掉了防护，等dll一就位，再拦就难了~~

恩，用规则的人，应该要有一个意识：规则一旦开启，便不能够轻易关闭！（否则，规则存在的价值也就不大了）

个人的倾向是，在必要的时候，仅关闭部分规则，而非规则整体！——这样至少可以拥有“保底”防御

shiyuelaohu

storyhare 发表于 2012-4-17 23:08
该类规则的排出，极其严格，除了极少数的系统进程，不会给予“多余”的排出！（否则，那是放弃规则...... ...

谢谢解答，感觉最好的方法还是从正规渠道下载软件，不使用不明软件，安装软件的时候总会要关闭咖啡规则的。另外，规则中再加入vxd文件是不是要更好一些？

大猫熊

storyhare 发表于 2012-4-17 23:11
恩，用规则的人，应该要有一个意识：规则一旦开启，便不能够轻易关闭！（否则，规则存在的价值也就不大了 ...

是滴~~

还是感觉咖啡的理念比其他软件更靠谱，有时候“死”的东西比“活”的东西更有用~规矩就是规矩~~不管签不签名，都得遵守~