查看: 10319|回复: 60
收起左侧

[分享] 【科普】关于AV-Test这次自我保护测试的解读:此自我保护非彼自我保护

  [复制链接]
驭龙
发表于 2014-11-26 14:03:17 | 显示全部楼层 |阅读模式
很多人看完本次AVT的自我保护测试以后,彻底的被弄糊涂了,像姐夫这样的大神们又懒得解释,所以我就班门弄斧的说一下这次自我保护测试的情况吧。
实际上报告的原文已经说的很清楚了,我只是再简单的说一下。
原文:http://www.av-test.org/en/news/n ... antivirus-software/

首先说的是重点这次测试的自我保护不是我们说的那种技术,也就是保护杀毒软件自身不被病毒破坏的自我保护机制,这次AV-TEST测试的是安全软件的模块如EXE、DLL和驱动SYS是否支持Windows平台提供的两大保护技术DEP和ASLR,并不是我们说的自我进程保护等技术。
关于DEP和ASLR:
ASLR or Address Space Layout Randomization stands for a shuffling of memory sectors, making it more difficult to exploit security gaps in computer systems. Using ASLR, stack addresses are randomly allocated to applications. This is intended to prevent, or at least impede, attacks via a buffer overflow.

DEP or Data Execution Prevention is also referred to as NX-Bit (No eXecute). The protection is already based on the hardware. Chip producers AMD and Intel have already been implementing this technology for ten years under the proprietary names of EVP and XD-Bit in all their processors. It is intended to prevent programs from executing random data as programs and thus launching malicious code in this manner.

实际上以ASLR为例,使用这种技术的软件模块在内存中是随机的,即使是黑客知道某个杀毒软件的某个模块是存在漏洞的,但由于ASLR技术让模块在内存中是随机的,黑客很难针对该模块的漏洞发起攻击,这就是AV-TEST这次所为的自我保护测试。

我现在以我今天安装的MA产品为例,说一下ASLR的使用情况,要知道MA的模块使用ASLR率是百分之百(语言文件不支持ASLR),唯一能相提并论的真的只有ESET了,当然只是在使用ASLR方面。

MA的驱动


MA的MsMpEng进程


MA的NisSrv进程


MA的msseces进程


看MA家族的模块使用ASLR率是不是真的是百分之百,这个真的没有啥奇怪的,只是降低黑客攻击某个模块的漏洞概率而已。

另外说一个情况,现在ASLR技术是有办法被绕过的,完全不值得迷恋,只不过是提高了攻击和利用模块漏洞的难度而已。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +2 人气 +2 收起 理由
OAKESS + 1 版区有你更精彩: )
HEMM + 1 版区有你更经踩: )踩一爪子~
屁颠屁颠 + 2 版区有你更精彩: )

查看全部评分

本帖被以下淘专辑推荐:

jefffire
头像被屏蔽
发表于 2014-11-26 14:13:22 | 显示全部楼层
本帖最后由 jefffire 于 2014-11-26 14:26 编辑

加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上,要绕过市面上的很多安全软件,根本不需要利用这种层次的漏洞。搞搞免杀,利用一下行为规则的盲点,用用白加黑就绰绰有余了。

那么,这个测试是不是就没有任何意义了呢?也不是。 黑客突破了普通的安全软件,但是依然被HIPS,组策略等权限控制所束缚时,这时候就需要一个跳板来提权,这样没有DEP和ASLR和其他漏洞缓解措施的模块就容易成为合适的跳板

评分

参与人数 2人气 +2 收起 理由
daojianwuhen + 1 感谢解答: )
HEMM + 1 版区有你更经踩: )踩一爪子~

查看全部评分

OAKESS
发表于 2014-11-26 14:09:55 | 显示全部楼层
据说第一个顶贴的有RQ
qq340496302
发表于 2014-11-26 14:10:46 | 显示全部楼层
原来是这样的,不懂...
八连杀
发表于 2014-11-26 14:11:40 | 显示全部楼层
顶大神啦
驭龙
 楼主| 发表于 2014-11-26 14:13:40 | 显示全部楼层
OAKESS 发表于 2014-11-26 14:09
据说第一个顶贴的有RQ

哈,今天去已经没有人气了。
话说你为论坛设计了新logo,是不是应该去找老大要两个魅力啊,哈哈
墨家小子
发表于 2014-11-26 14:16:15 | 显示全部楼层
jefffire 发表于 2014-11-26 14:13
加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上,要绕过市面上的很多安全软件,根本不需 ...

话不多 全说到了好像 高手啊请允许我致以最热烈的马屁 啪啪啪

评分

参与人数 1人气 +1 收起 理由
jefffire + 1

查看全部评分

驭龙
 楼主| 发表于 2014-11-26 14:17:30 | 显示全部楼层
本帖最后由 驭龙 于 2014-11-26 14:19 编辑
jefffire 发表于 2014-11-26 14:13
加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上,要绕过市面上的很多安全软件,根本不需 ...


是啊,我也觉得没有太大的意义,实际上白加黑就能绕过一大批,而且现在连EMET都能被绕,更何况是单一的ASLR了。
这个我也觉得意义不大。

当然有还是比没有好很多的

评分

参与人数 1人气 +1 收起 理由
jefffire + 1 抱歉,求助请到求助区

查看全部评分

Miostartos
发表于 2014-11-26 14:22:03 | 显示全部楼层
驭龙 发表于 2014-11-26 14:17
是啊,我也觉得没有太大的意义,实际上白加黑就能绕过一大批,而且现在连EMET都能被绕,更何况是单一的 ...

这测试完全不是传统意义的自保测试
那边帖子评论太闹。不好玩
驭龙
 楼主| 发表于 2014-11-26 14:23:38 | 显示全部楼层
STCn1000 发表于 2014-11-26 14:22
这测试完全不是传统意义的自保测试
那边帖子评论太闹。不好玩

是啊,那帖子我回复两次,效果不好,所以只能独立开帖了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 21:33 , Processed in 0.140473 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表