【科普】关于AV-Test这次自我保护测试的解读：此自我保护非彼自我保护

驭龙

很多人看完本次AVT的自我保护测试以后，彻底的被弄糊涂了，像姐夫这样的大神们又懒得解释，所以我就班门弄斧的说一下这次自我保护测试的情况吧。
实际上报告的原文已经说的很清楚了，我只是再简单的说一下。
原文：http://www.av-test.org/en/news/n ... antivirus-software/

首先说的是重点这次测试的自我保护不是我们说的那种技术，也就是保护杀毒软件自身不被病毒破坏的自我保护机制，这次AV-TEST测试的是安全软件的模块如EXE、DLL和驱动SYS是否支持Windows平台提供的两大保护技术DEP和ASLR，并不是我们说的自我进程保护等技术。
关于DEP和ASLR：

ASLR or Address Space Layout Randomization stands for a shuffling of memory sectors, making it more difficult to exploit security gaps in computer systems. Using ASLR, stack addresses are randomly allocated to applications. This is intended to prevent, or at least impede, attacks via a buffer overflow.

DEP or Data Execution Prevention is also referred to as NX-Bit (No eXecute). The protection is already based on the hardware. Chip producers AMD and Intel have already been implementing this technology for ten years under the proprietary names of EVP and XD-Bit in all their processors. It is intended to prevent programs from executing random data as programs and thus launching malicious code in this manner.

实际上以ASLR为例，使用这种技术的软件模块在内存中是随机的，即使是黑客知道某个杀毒软件的某个模块是存在漏洞的，但由于ASLR技术让模块在内存中是随机的，黑客很难针对该模块的漏洞发起攻击，这就是AV-TEST这次所为的自我保护测试。

我现在以我今天安装的MA产品为例，说一下ASLR的使用情况，要知道MA的模块使用ASLR率是百分之百（语言文件不支持ASLR），唯一能相提并论的真的只有ESET了，当然只是在使用ASLR方面。

MA的驱动


MA的MsMpEng进程


MA的NisSrv进程


MA的msseces进程


看MA家族的模块使用ASLR率是不是真的是百分之百，这个真的没有啥奇怪的，只是降低黑客攻击某个模块的漏洞概率而已。

另外说一个情况，现在ASLR技术是有办法被绕过的，完全不值得迷恋，只不过是提高了攻击和利用模块漏洞的难度而已。

jefffire

加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上，要绕过市面上的很多安全软件，根本不需要利用这种层次的漏洞。搞搞免杀，利用一下行为规则的盲点，用用白加黑就绰绰有余了。

那么，这个测试是不是就没有任何意义了呢？也不是。 黑客突破了普通的安全软件，但是依然被HIPS，组策略等权限控制所束缚时，这时候就需要一个跳板来提权，这样没有DEP和ASLR和其他漏洞缓解措施的模块就容易成为合适的跳板

OAKESS

据说第一个顶贴的有RQ

qq340496302

原来是这样的，不懂...

八连杀

顶大神啦

驭龙

OAKESS 发表于 2014-11-26 14:09
据说第一个顶贴的有RQ

哈，今天去已经没有人气了。
话说你为论坛设计了新logo，是不是应该去找老大要两个魅力啊，哈哈

墨家小子

jefffire 发表于 2014-11-26 14:13
加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上，要绕过市面上的很多安全软件，根本不需 ...

话不多 全说到了好像 高手啊请允许我致以最热烈的马屁 啪啪啪

驭龙

jefffire 发表于 2014-11-26 14:13
加持DEP和ASLR目的是提高对杀毒软件自身漏洞的利用难度。
实际上，要绕过市面上的很多安全软件，根本不需 ...

是啊，我也觉得没有太大的意义，实际上白加黑就能绕过一大批，而且现在连EMET都能被绕，更何况是单一的ASLR了。
这个我也觉得意义不大。

当然有还是比没有好很多的

Miostartos

驭龙 发表于 2014-11-26 14:17
是啊，我也觉得没有太大的意义，实际上白加黑就能绕过一大批，而且现在连EMET都能被绕，更何况是单一的 ...

这测试完全不是传统意义的自保测试
那边帖子评论太闹。不好玩

驭龙

STCn1000 发表于 2014-11-26 14:22
这测试完全不是传统意义的自保测试
那边帖子评论太闹。不好玩

是啊，那帖子我回复两次，效果不好，所以只能独立开帖了。