真相：杀毒软件本身的抵抗力“弱爆了”

lindeng1988

为什么反病毒软件对比浏览器等软件反而更容易被获得漏洞并利用？
这个问题可以简化成三个子问题：
杀毒软件的哪些构造可能存在可利用的漏洞？
为什么通过浏览器就能入侵系统？
为什么取道杀软比浏览器更容易获得漏洞并利用？

我们先来分析杀毒软件中存在漏洞的潜在机会。
杀毒软件不只要对抗病毒，还要能检测木马程序、间谍软件、具备反Rootkit能力，现代杀毒软件还要确保浏览器不被安装恶意插件、扫描你的邮箱中潜在的病毒、以及智能化地分析恶意软件的行为等。其中杀毒软件检测病毒的方式有两种常用手段：特征码识别和启发式识别。特征码识别的原理是检测病毒文件中某种恶意代码的存在，但这种检测方式很笨拙，病毒制作者在病毒程序中随意加入一些无关代码就能扰乱杀毒软件对齐识别的能力。并且不同语言、不同编译器、甚至32位和64位平台下编译出来的代码都不同，靠特征码识别只能亡羊补牢，先发现后补救。而这也是数十年前，电脑病毒甚是流行的原因之一。而启发式的识别则会在一个虚拟空间内检测病毒程序的行为，解剖病毒程序的结构，从而判定是否会对系统造成威胁。熊猫烧香病毒流行的时候，微点就做到了不升级病毒库就能查杀该病毒。
杀毒软件会提供“实时防护”，也就是当你打开程序、下载文件时，杀毒软件都会对当前操作的程序进行一次扫描，如果发现可以文件还可能进行一次启发式分析，当然这些都发生在从你双击程序到程序打开前的几秒空白时间里。短短几秒钟，从杀毒软件在后台默默运行的服务到正在被监视的explorer.exe进程，从双击操作的消息被转发到user32.dll，再从CreateProcess操作跳转到杀毒软件设下的SSDT HOOK中，再从鉴定病毒到删除、处理病毒程序，每个环节都涉及高权限的操作。进入内核态之后，无论是杀毒软件，还是系统代码、驱动程序，大家都在内核态中各自穿行，一点点的不稳定因素都可以导致蓝屏，内核态的代码被注入、篡改，都能导致丢掉整个系统的控制权。
杀毒软件所安装的驱动程序、内核钩子，所启动的服务、守护进程，都可以视作对原系统的修改。如果它们自身存在缺陷而被替换的系统组件固若金汤，那么安装了杀毒软件的系统反而更容易遭到入侵。
总结一下就是杀毒软件本身具备高权限，如果被病毒附体，那看门人就变成了大强盗。那么普普通通的浏览器为何也能被入侵呢？
以Chrome为例，Chrome本身具备一些安全措施，保证恶意程序不会通过浏览器释放到系统环境中。这些技术包括ASLR、DEP和沙盒等。其中ASLR全程即Address Space Layout Randomization（地址空间布局随机化），每次打开Chrome时其核心组件都位于内存中不同的位置，就基本消除了通过在特定位置注入恶意代码来入侵浏览器的可能。DEP即Data Execution Protection（数据执行保护），可以帮助避免Chrome在保留用于不可执行代码的内存区域中插入恶意代码。而Chrome的沙盒技术则利用了Windows所提供的安全机制来实现：

• 受限的Token
• Job机制
• 窗口站隔离
• 桌面隔离
• 一致性级别（Integrity Level）
篇幅所限就不在这里一一解释所有概念，大家可以自行查阅维基百科。
除此之外，随着HTML5技术的发展，网页应用所能获取的本地权限也越来越多，此前Chrome就出现过授权给网页应用一次以录音权限、该应用就能持续监听用户声音的事件（Speech recognition hack turns Google Chrome into advanced bugging device）。本地缓存、硬件绘图等新组件也为浏览器带来了潜在的被入侵机会。
现在我们可以讨论正题了，为什么说现如今取道杀软比浏览器更容易获取漏洞并利用？
1、相比浏览器，杀毒软件本身具备的高权限，使病毒一旦侵入，可以获得更大的自由和活动空间，进行更大范围的监听或造成更大范围的破坏；
2、现代浏览器提供了完善的机制来对网页应用进行限制，而系统对应用程序的限制主要靠UAC和杀毒软件来保证，对高权限应用程序的需求一直存在（QQ为了防止输入密码时按键被记录，就需要部分代码运行在内核态）而网页应用理论上是绝对不能获取高权限的；
3、杀毒软件的更新频率要高于浏览器的更新频率，其中存在更多分析杀毒软件行为的机会。
虽然Chrome的安全机制也有被攻破的时候（Google Chrome hacked with sophisticated exploit），但即便被攻破，也只能获得中等的执行权限，要想对系统造成破坏，仍然需要经过UAC和杀毒软件的关卡。费尽心机却不能获得最高权限，作为病毒制造者，为什么不直接从杀毒软件下手呢？
事实上，真正盯上卡巴斯基的人，不是盗号软件的作者们，也不是白帽黑帽黑客们，而是像NSA和英国GCHQ这样的情报集团。而卡巴斯基自曝的入侵事件，也被声明是“国家级的入侵”。
其实漏洞这种东西，你永远不知道正在被利用、没有被公开的有多少，因为建立在软件上的绝对安全，是不存在的。

驭龙

说到ASLR有几个杀毒软件能做到全部模块和驱动百分百支持？目前我只知道三款杀毒软件（是我自己的观察，并不是权威说法，或许其他也有，只是我没发现而已）的驱动完全支持ASLR技术

BryanLaw

这不是知乎上的文章吗？

paul_guo

驭龙 发表于 2015-6-28 19:28
说到ASLR有几个杀毒软件能做到全部模块和驱动百分百支持？目前我只知道三款杀毒软件（是我自己的观察，并不 ...

大概是、、、MSE诺顿和谁？

莱薇

驭龙 发表于 2015-6-28 19:28
说到ASLR有几个杀毒软件能做到全部模块和驱动百分百支持？目前我只知道三款杀毒软件（是我自己的观察，并不 ...

哪三款

莱薇

江民做得到多少

shulun743

此文 有点 那啥了

1、若 杀软 不获取系统最高权限，难道 系统控制权 放在那 ，要拱手相让吗？

2、更新快 ，给了更多分析杀软的机会 ，这个观点 ，我不敢苟同

.Evangelion.

我记得Sandboxie有支持ASLR的

kfpe23

我怎么觉得胡言乱语，危言耸听呢？（一看是知乎的，我就理解了）kafan就专门欣赏这种文章吧。赶紧把加的20分去掉，这篇文章太伪科学了。没几句对的。。。
。

反病毒软件对比浏览器等软件反而更容易被获得漏洞并利用

连远程漏洞本地漏洞都说不清就在这耸人听闻。。
杀毒软件有漏洞也多是本地漏洞吧？远程漏洞不会有多少吧？有也多是扫描解析文件格式的吧？怎么能和浏览器漏洞放到一起比的?人家IE一年被人找多少漏洞，我怎么没见人找几百个杀软漏洞。。
再说了如果不是用远程漏洞，而是已经进入本地了，病毒肯定有管理员权限了（大家用电脑都是管理员登录的嘛），干嘛还脱裤子放屁借助杀毒的高权限干事。（当然用卫士来各种过高级别的UAC还是挺好玩的）。即使为了绕过很严密的防御，而不得已利用本地漏洞，一般也是用系统的，或者其他软件的吧，谁会去用杀软驱动的。
只要杀毒软件自己没什么远程漏洞，不破坏系统、浏览器什么的安全机制，造成远程执行，远程泄密风险更大，我感觉没什么大不了。

就算杀软有100个远程漏洞，利用他们可以远程执行，被获得系统权限，这也没什么嘛。杀软又不是人手一个，全用一个牌子。。。搞杀软划不来啊，自己还容易死的快。

知乎这文章还扯什么卡巴公司被攻破，卡巴公司被攻破也是人家用了windows漏洞。哪里用了卡巴漏洞了?
顶多是在运行过程中绕过防御。


评分

参与人数 1        经验 +200 收起理由
Ultraman        + 200        kfpe23喷的很有道理： ）

驭龙

paul_guo 发表于 2015-6-28 19:51
大概是、、、MSE诺顿和谁？

诺顿？看我这里32位的诺顿22.5版本驱动，有ASLR吗？