【还是入的问题】安全软件做内核对抗是否有意义？

莉塔林Rita

你千万别告诉我，你希望你的监控摄像头去殴打小偷。

一些人对反病毒软件可能存在某些误解，他们希望反病毒软件和已经根植于操作系统的rootkit来一场惊险刺激的厮杀（戴维斯脸）。

（梗 - 泰坦陨落2边境防御 - 戴维斯开场白：小子们，准备好展开惊险刺激的厮杀了吗？）

我先帮这些人翻译一下他们的需求：他们在脑补的是自己家的摄像头会伸出来一挺40MM追踪榴弹发射器，全自动殴打已经成功进入自己家（操作系统）且已经抓着家里配电盘（内核）不放手的小偷。

我们先不说这个想法会有多爆笑，先继续论证为什么这么做不可行。





这里暂时不区分已经根植于操作系统的内核Rootkit和使用漏洞内核驱动加载到内核特权的恶意软件，因为在原理上它们都属于Rootkit。
（我们假定恶意软件已经在系统中站稳了脚跟，并且加载了恶意的内核模块/内核驱动来维持最高特权）

Rootkit（也称隐匿软件）是指主要为隐藏其他程序进程或维持最高特权访问的软件，可能是一种或以上软件的组合；广义而言，Rootkit也可视为一项技术。

Rootkit一词最早出现在Unix系统上。入侵者为了获取系统管理员级的root权限，或者为了清除有系统纪录的入侵痕迹，会重新汇编ps、netstat、w、passwd等软件工具（术语称为kit），这些软件即称作Rootkit。

其后类似的入侵技术或概念也发展到其他操作系统，主要是隐藏文件、行程、系统纪录的技术，以及拦截网络数据包、键盘输入的窃听技术等，许多木马程序都用了这些技术，也可视为一种Rootkit。

于原理层面而言，当Rootkit成功的在你的操作系统加载后，你的任何补救措施就都太迟（橘前辈，你为什么只是看着？）。

在你的反击措施展开之前，攻击者就已经可以通过内核特权做任何事：此时它可以直接利用内核特权盗窃你的数据、或者在内核态执行无法被拦截的恶意软件（例：2017年的SMB 1.0协议内核驱动安全漏洞可以实现让攻击者直接在srv.sys上下文里执行任意代码，在其他内核态软件眼里，就是你的smb驱动在做这件事）。

对于反病毒软件而言，在这种攻击者已经拿到最高特权的情况下，展开反击的意义只剩下了“用户因为某些原因不希望执行最彻底的补救措施，那就是重装系统”；因此对于反病毒软件而言这根本来说属于“没办法的办法”。

而反病毒软件对位并不是“响应”这个位置，无论是NGAV EPP EDR 还是传统反病毒软件，她们的对位是“检测”（检查系统遭到入侵的迹象并警告使用者潜在的入侵活动）；因此希望反病毒软件去和Rootkit展开对抗，本质是你在希望自己家的摄像头伸出40MM榴弹发射器殴打已经成功拿到你家配电盘操作权的小偷。

同样的，Rootkit作者非常精通于如何防止自己的软件被你移除（1.Rootkit就是用来让攻击者维持最高特权访问的工具 2.参考主页保安）；希望反病毒软件去研究怎么跟他们在内核里来一场激情的battle，差不多是在说让一整个公司的安全研究员去研究在（精通如何维持权限的）攻击者拿到本地最高特权的情况下如何展开反击。

而这只是因为用户不想执行真正有效的处置方式（重新安装整个操作系统，如果是固件Rootkit还需要重刷硬件固件或者更换硬件）——你觉得合理么？

Rootkit 检测起来相当困难，因为 Rootkit 皆在颠覆试图找到它的软件的眼睛（技术性翻译：Rootkit以颠覆整个操作系统的信任为手段，因此操作系统已经不再可信。在操作系统不可信任的前提下，任何检测和移除手段都已经不可靠）。

检测方法包括使用从另一个位置启动的（代替主操作系统的）可信操作系统、基于行为的检查、代码签名扫描、二进制差异扫描和内存转储分析。

移除可能很复杂或实际上不可能，特别是在Rootkit 位于内核/硬件固件的情况中；重新安装操作系统在大多数情况下是解决问题的唯一可行方案。

处理固件 rootkit 时，移除它可能需要更换硬件或使用专用设备（例如编程器）。

既然你都没希望监控摄像头去帮你殴打渗透到自己家的小偷，为什么你还要反病毒软件去帮你殴打已经拿到你家钥匙和配电盘控制权的恶意软件呢？




因此，在最后做个结语：

如果你的家已经被一个不知道哪里来的小偷撬了锁，小偷还拿到了你家的户型图、配电盘和户口本（还顺手在你家里又开了个门），那么你应该要考虑的是把这个家拆了重建（重装整个操作系统）而不是寄希望于你家的监控摄像头会伸出榴弹发射器。


还有，急救箱之类的也属于反病毒软件，因此存在同样的问题（以有限的精力应对无限的“权限维持”技术）。

你不如思考反病毒软件警告你电脑上存在Rootkit时如何在一小时内备份整个C盘的重要文件然后重装系统，真的。

莉塔林Rita

pal家族 发表于 2025-2-13 11:01
说句可能有点得罪的话，，，，
我来卡饭并不是学习哲学。。。。

但我对一些人的想法感到有点过于震惊，他们在认真思考一个本就不合理的事情的样子让我觉得太过生草（）

外加，检测到Rootkit直接选择重新安装系统是非常合理且符合现实的行为（在操作系统已经被攻击者完全颠覆的前提下，任何检测和移除手段都已经不再可靠）。而试图在不重新安装操作系统的前提下移除它反而是属于“被迫”。

https://en.wikipedia.org/wiki/Rootkit#Removal



最后利益相关：我最初考的是CISO认证。

CISO证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

莉塔林Rita

StarlitFuture 发表于 2025-2-13 19:22
预防Rootkit的最好办法就是不要让它取得权限，一旦取得近乎无限的权限，就有一万种办法活下来，整个系统就 ...

对的。

Rootkit做了什么不重要，重要的是：它已经颠覆了整个信任链。

pal家族

说句可能有点得罪的话，，，，
我来卡饭并不是学习哲学。。。。

pal家族

莉塔林Rita 发表于 2025-2-13 11:03
但我对一些人的想法感到有点过于震惊，他们在认真思考一个本就不合理的事情的样子让我觉得太过生草（）
...

我觉得你平时可以多想些开心的事情

莉塔林Rita

pal家族 发表于 2025-2-13 11:27
我觉得你平时可以多想些开心的事情

@神龟Turmi 因为昨天有个人被我物理意义玩坏了，然后今天我刚打开卡饭就看到某个帖子（）

这属于乐极生悲阴阳对冲（？）

momli

我可以不用，但你不能没有

驭龙

昨天在电脑上手机拍的图，没开灯，拍歪了，将就看吧。


固件级的rootkit，也就这种硬件级的功能才能防御了，其他怎么可能干掉固件威胁。

不过安全软件的检测rootkit功能还是不可或缺的，不然如果没发现rootkit的方法，你如何知道感染rootkit？何谈重新安装系统？

所以我的看法是要有检测rootkit的手段，安全软件的ARK功能还是有必要的，是否可以清除威胁，并不是绝对的，可起码让用户知道感染rootkit了，如果安全软件没有ARK功能，何谈如何发现已感染rootkit呢？

钟哥

驭龙 发表于 2025-2-13 13:29
昨天在电脑上手机拍的图，没开灯，拍歪了，将就看吧。

硬件级的功能普通电脑有吗？还是需要什么配置？

驭龙

钟哥 发表于 2025-2-13 16:48
硬件级的功能普通电脑有吗？还是需要什么配置？

只要买对应的商用电脑就有，但仅限特定品牌的商用产品，价格跟品牌机差不多

superLYT

确实，中毒了之后最好的方法就是重装系统，谁知道病毒在你电脑里面留了什么