查看: 3879|回复: 11
收起左侧

卡巴斯基6.0安全防护机制的相关分析!!!

[复制链接]
wangjay1980
发表于 2007-5-2 22:07:42 | 显示全部楼层 |阅读模式
著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6(简称KIS6)以及 Kaspersky AntiVirus 6.0(简称KAV6)。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫(包括进程行为监控,监视各类代码注入、安装全局钩子、加载驱动/服务等行为;文件完整性检查;检查各类运用RK技术的文件/进程/端口/注册表隐藏;Office宏保护等);反间谍软件、防火墙、反垃圾邮件等功能。KAV6比KIS6缺少了防火墙模块。
    整体来说,KIS6非常强大。 Руткит 讨论组里,我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英,实力雄厚,许多东西都运用的Undocumented技术,导致我上一版本的WinDbg一进入内核调试状态就崩溃。KIS6的注册表监控的非常全:NoWinodwsApp,ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,\Winlogon\Notify,AppInit_DLLs,开关机脚本等其他安全软件较少监控的自启动键值他都监控了;另外KIS6监控了各类代码注入,包括SetThreadContext的方法;监控了加载驱动、服务加载、通过\\Device\\PhysicalMemory对象进Ring0等;监控全局钩子的安装;文件完整性检查;反Rootkit,检测隐藏文件隐藏进程隐藏端口隐藏注册表;值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细,不像国内的个人防火墙是以进程为最小控管单位,KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口,比如默认情况下只允许Explorer.exe访问HTTP80端口,而不是完全允许Explorer.exe进程访问网络。
    夸KIS6夸完了,现在来说说他的弱点:关于KIS6监控采用远程线程代码注入的行为时,他只对注入IE等进程有反映,而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口,那木马程序只要用远程线程的方法注入svchost等进程,就能完完全全逃过卡巴了。
    再来看在KIS6下怎样实现自启动。KIS6监控注册表确实监控得很全,而且还监控服务之类的,初看你在自启动方面是无处下手。不过可爱的卡巴斯基又犯了让我悲哀的低级错误,开始菜单里的启动文件夹他竟然没监控。免得被人说这样做太猥琐,那就再说个方法,因为可爱的卡巴在监控远程线程代码注入时只IE等进程进行提示,从而我们可以注入Winlogon,注入Winlogon后我们就可以Defeat SFP,然后感染文件实现自启动,虽然卡巴有文件完整性检查,不过问题不大,你自己试了就明白为什么了,呵呵。
    再说点底层的,KIS6监控加载驱动监控得不全,嘿嘿,使用ZwSetSystemInformation我们照样可以加载驱动了,能加载驱动了天下还不是我们的了?恢复SSDT表呀,DKOM,Miniport NDIS Hook,任我们玩了。
    vxk的补充:
    除了XYZREG说的几个地方,卡巴斯基在面对BOOT.INI+NTOSKRNL.EXE改写大法(这个方法很无耻),还有HOTPATCH(几乎通吃FireWall)大法时都很脆弱啊!
    hotPatch能够动态的改写某些dll的,比如kernel32.dll,我就不多说了。你在kernel32.dll里做一个code injection然后在适当的进程内部加载我们的DLL,好了,一切搞定。
sunbi12345
发表于 2007-5-2 22:17:27 | 显示全部楼层
学习
ALEXBLAIR
发表于 2007-5-2 22:18:02 | 显示全部楼层
这个好像很早就有了,307年代的东西。
wuzhu100
发表于 2007-5-2 22:20:08 | 显示全部楼层
发现LZ打错了一个字
著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6(简称KIS6)以及 Kaspersky AntiVirus 6.0(简称KAV6)。KIS6/KAV6比卡罢以前的产品有了质的提高.

巴字打错了
yahoo121
发表于 2007-5-2 22:54:42 | 显示全部楼层
分析得很全面,长见识了……
wangjay1980
 楼主| 发表于 2007-5-2 23:08:26 | 显示全部楼层

回复 #3 ALEXBLAIR 的帖子

是早的拉,不过我们论坛应该发一贴
songgao421
发表于 2007-5-3 07:32:03 | 显示全部楼层
我同学的一个机子装了卡巴后就种了一个广告软件,怎么都删不尽,哎
wangjay1980
 楼主| 发表于 2007-5-3 09:12:16 | 显示全部楼层

回复 #7 songgao421 的帖子

杀广告请用专业杀流氓的
jpzy
发表于 2007-5-3 09:29:15 | 显示全部楼层
嗯~~的确是早就看过了~~~~似乎是XYZREG那个高手写的!!
对个人用户来说,问题不是很大!
况且,卡巴还有特征码呢~~~~~
kbsjaqtz
发表于 2007-5-3 14:05:56 | 显示全部楼层
而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口


卡巴防火墙默认的规则应该删除?
应对这些缺陷,我们该怎么修改设置?

[ 本帖最后由 kbsjaqtz 于 2007-5-3 14:33 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:47 , Processed in 0.130929 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表