查看: 5177|回复: 22
收起左侧

[讨论] 关于McAfee和白加黑的几点想法

  [复制链接]
大猫熊
发表于 2012-4-17 21:52:12 | 显示全部楼层 |阅读模式
本帖最后由 大猫熊 于 2013-7-29 18:05 编辑

近日所谓国产的“白加黑”比较流行,很多人都在说,这次国外的杀软算是万马齐喑,查杀跟不上,主防又怕大大增加误报,所以都无法实现有效的防御,于是乎国产的两款软件又有了免费宣传噱头,事先说明,我不对这些软件有任何评价,就想谈谈自己对白加黑的一点理解和对个人安全防护的看法。

首先我们再来重现一下“白加黑”的基本入侵方法。

(1) 用户获得了一个可执行文件,途径可能有:
(a) 上网遇上漏洞,后台自动下载可执行文件(A.exe)或动态链接库文件(X.dll),如果是后者会直接将X.dll文件放入特定目录
(b) 在非官方网站上下载安装程序(多为盗版破解版)、注册机或破解程序,其中包含了可执行文件A.exe,在运行这些破解软件时释放出来
(c) 接受好友从QQ传过来的文件A.exe
(d) U盘里的A.exe

(2) 这个特殊的可执行文件A.exe里面包含一个干净的可执行文件B.exe,和一个加了恶意代码的动态链接库文件X.dll,这个干净的可执行文件可以有完好无损的数字签名,而X.dll如果单独放在电脑里是无害的,而世界上的dll文件如此众多,几乎所有杀毒软件厂商都没有也没可能去一一照顾,他们主要都将精力集中在对exe文件的查杀上,所以,这个X.dll,在所有杀软眼里是“干净”的

(3) 用户运行A.exe,释放B.exe和X.dll,含有效数字签名的B.exe开始运行并加载一个不起眼的X.dll,这一切是多么的正常,所有杀软都没有理由阻止,因为阻止了这个行为,就等于说所有系统活动都有问题。

(4) 受到X.dll文件的干扰,原本正常的B.exe会出现反常行为,比如记录键盘,修改注册表,等等。但是杀毒软件和防火墙对于有有效数字签名的程序处于信任的状态,因此没有拦截。因为很多系统自身的进程,也会做出这样的动作,如果忽略数字签名进行拦截,将会造成大量误报,严重影响用户使用。至此,整个电脑防御体系濒于崩溃,杀毒软件和防火墙形同虚设。

(5) 我不知道这一步骤目前的“白加黑”木马有没有,但理论上肯定可以,就是直接将X.dll放入特定目录,让已经安装在电脑中的程序甚至是系统进程直接调用,连B.exe都不需要,这样主防会有更大的困难。


以上这些很多人可能都知道了,但我们不能仅局限于了解“是什么”,更要深究“为什么”,那就是,在现有防御体系中,究竟有哪些结构上的漏洞,导致“白加黑”的入侵成为可能?

(1) 杀软对于动态链接库文件(.dll)缺乏有效侦测手段,是白加黑类木马得以入侵的前提。的确,现有的可执行文件就已经够杀毒软件公司头疼的了,这才有了云杀毒的市场,现在又加入了.dll文件,一个单独来讲无害的文件,杀软的病毒分析师需要分析的样本数量顿时呈几何级数增加,即使有云恐怕也无济于事。最近国内两款软件能够在一定程度上拦截白加黑入侵,也是依靠定点迅速分析和云部署才勉强可以,但依旧有滞后性,如果白加黑的模式泛滥开来,恐怕这些公司也很难迅速反应。对于国外公司,定位恶意代码可能更加困难,因为他们大多找不到主程序B.exe,无法在虚拟机中运行,无法发现恶意行为,这就是为什么有些样本即使送到国外的实验室,也被定义为“安全”的原因。

(2) 现有防御体系对含数字签名的进程的信任,成为白加黑类木马得以入侵的关键。究其原因,还是现有主防系统遇到的系统事件过于复杂,无法准确有效区分正常的系统操作和病毒行为。因此,杀软大多将含有有效数字签名的文件特殊对待,因为这表明了该文件本身不是恶意文件。另外,许多含有数字签名的程序其实就是系统程序,而系统程序的权限高,行为复杂,更加难以和病毒行为区分开来。为了避免过度干扰用户和造成系统不稳定,主防不敢将这类程序限制的太死。

(3) 用户对软件A.exe的信任,是白加黑类木马得以入侵的根本原因。如果A.exe无法执行,那么所有后续的入侵将成为不可能,除非是漏洞导致的自动执行,否则必须有人为因素,才能让白加黑的入侵开始。

在以上三个原因中,头两个是目前我们无法控制的,恐怕也是目前国内外杀软都无法从根本上控制的,因为它们是结构性的矛盾,是杀毒软件和病毒较量的历史上一个注定要经历的矛盾。也许随着时间推移,主防能真正智能到辨别系统正常操作和病毒的操作,减少误报,白加黑的入侵方式可能才会有所遏制,而到这个时候,恐怕病毒这边也发展出更加诡异所思的入侵方式了。

作为用户,我们能够控制也是必须控制的就是第三个因素——信任。

可能其他杀软的用户并不太清楚信任对于电脑安全的重要意义,但是McAfee的用户对此并不陌生。我们制定规则,激活规则,碰到触红,判断排除。这些基本功实际上就是我们对不同软件的一个信任过程。另外对于大多数规则,安装大型软件时需要关闭规则,此时也正表明用户对于该软件的信任。规则编写者一再强调,规则不是万能的,必须配合良好的电脑使用习惯,才能真正使电脑安全起来。

比如,对于之前所说的四种让A.exe运行起来的方式,我们可以通过及时打补丁避免漏洞执行;我们可以通过在官方网站下载安装程序,少用或不用来历不明的注册机和破解软件,来避免接触到A.exe;我们可以不运行自己不熟悉的程序,哪怕是来自我们的朋友;我们可以多个心眼,取消U盘自动运行。方法有很多,而且都是说了无数遍的老生常谈。但就是这些看似陈词滥调的东西,却能从根本上防御最新最诡异的入侵。

至于McAfee,我们也可以通过一些规则设定,防止不小心或者无意中运行病毒造成的影响。比如。设定所有非信任区程序禁止创建.dll文件,防止所有程序在程序安装目录和系统目录创建和修改.dll文件,防止浏览器下载.exe和.dll文件,防止U盘程序运行,等等等,目前所有流行的规则包,包括墨池和叶版的,都已经可以做到。我们所要做的就是睁大眼睛,谨慎小心,在使用电脑的过程中保持良好使用习惯,信任那些可信赖的程序。如此这般,白加黑也就只能治治感冒了吧?

欢迎访问我的博客:http://www.alexyang.me

评分

参与人数 2人气 +2 收起 理由
storyhare + 1 版区有你更精彩: )
imut + 1 精品文章

查看全部评分

imut
头像被屏蔽
发表于 2012-4-17 22:22:13 | 显示全部楼层
很精辟
shiyuelaohu
发表于 2012-4-17 22:57:07 | 显示全部楼层
感谢版主分析,对白加黑有些了解了。这个时候靠智能安软已无能为力了,也只能靠咖啡和hips了,但仍未免会有疏漏,谁会去关注那个dll文件呢?看来只能从源头遏制了。
storyhare 该用户已被删除
发表于 2012-4-17 22:58:01 | 显示全部楼层
本帖最后由 storyhare 于 2012-4-17 23:02 编辑

该类,对于咖啡规则,并没有丝毫挑战——至今,所以,本人无视该“可能利用的病毒入侵手段”!




一、默认规则的“前瞻性”

禁止在 Windows 文件夹中创建新的可执行文件

禁止在 Program Files 文件夹中创建新的可执行文件


以上,2个默认规则,其保护内容:限制系统区域对于 “.dll” “.exe” 的创建操作——一定程度上,拦截了很大部分的病毒入侵行为!

即使所谓的“白加黑”,一般的话,也应该是会被以上规则拦截!!

#另,对于临时释放 “.dll” 而后执行“白加黑”,也有规则拦截:禁止所有程序从 Temp 文件夹运行文件(程序运行时,释放的文件,一般均释放至Temp文件夹,而后执行)


二、简单的全局封锁(自定义规则)

要包含的进程:*
要排除的进程:FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入


在以上一个【简单】的限制下,所谓的“白加黑”,便没有了生存之所!!!






当然,有一个前提:你使用了咖啡规则......

评分

参与人数 1人气 +1 收起 理由
大猫熊 + 1 绿色的亮了:)

查看全部评分

shiyuelaohu
发表于 2012-4-17 23:01:27 | 显示全部楼层
storyhare 发表于 2012-4-17 22:58
该类,对于咖啡规则,并没有丝毫挑战——至今,所以,本人无视该“可能利用的病毒入侵手段”!



问一下,A.exe和B.exe一般都是安全文件,到时候不小心排除了怎么办?
大猫熊
 楼主| 发表于 2012-4-17 23:02:48 | 显示全部楼层
storyhare 发表于 2012-4-17 22:58
该类,对于咖啡规则,并没有丝毫挑战——至今,所以,本人无视该“可能利用的病毒入侵手段”!



默认来说肯定没问题~~怕还是怕用户乱装软件,关掉了防护,等dll一就位,再拦就难了~~
storyhare 该用户已被删除
发表于 2012-4-17 23:08:15 | 显示全部楼层
本帖最后由 storyhare 于 2012-4-18 17:09 编辑
shiyuelaohu 发表于 2012-4-17 23:01
问一下,A.exe和B.exe一般都是安全文件,到时候不小心排除了怎么办?


该类规则的排除,极其严格,除了极少数的系统进程,不会给予“多余”的排除!(否则,那是放弃规则......)

更重要的是:A.exe,B.exe 是如何进入本地文件系统的?  如何被执行的??    在一套完整的规则面前,“.exe”都是被严格控制的:从创建,到被修改、最后的执行.......

放行的话,只有一个可能:规则被人为关闭!(话说,“自作孽,不可活”.......)

storyhare 该用户已被删除
发表于 2012-4-17 23:11:21 | 显示全部楼层
alexyangjie 发表于 2012-4-17 23:02
默认来说肯定没问题~~怕还是怕用户乱装软件,关掉了防护,等dll一就位,再拦就难了~~

恩,用规则的人,应该要有一个意识:规则一旦开启,便不能够轻易关闭!(否则,规则存在的价值也就不大了)

个人的倾向是,在必要的时候,仅关闭部分规则,而非规则整体!——这样至少可以拥有“保底”防御
shiyuelaohu
发表于 2012-4-17 23:13:10 | 显示全部楼层
storyhare 发表于 2012-4-17 23:08
该类规则的排出,极其严格,除了极少数的系统进程,不会给予“多余”的排出!(否则,那是放弃规则...... ...

谢谢解答,感觉最好的方法还是从正规渠道下载软件,不使用不明软件,安装软件的时候总会要关闭咖啡规则的。另外,规则中再加入vxd文件是不是要更好一些?
大猫熊
 楼主| 发表于 2012-4-17 23:14:37 | 显示全部楼层
storyhare 发表于 2012-4-17 23:11
恩,用规则的人,应该要有一个意识:规则一旦开启,便不能够轻易关闭!(否则,规则存在的价值也就不大了 ...

是滴~~

还是感觉咖啡的理念比其他软件更靠谱,有时候“死”的东西比“活”的东西更有用~规矩就是规矩~~不管签不签名,都得遵守~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:10 , Processed in 0.131935 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表