卡巴斯基6.0安全防护机制的相关分析！！！

wangjay1980

著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6（简称KIS6）以及 Kaspersky AntiVirus 6.0（简称KAV6）。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫（包括进程行为监控，监视各类代码注入、安装全局钩子、加载驱动/服务等行为；文件完整性检查；检查各类运用RK技术的文件/进程/端口/注册表隐藏；Office宏保护等）；反间谍软件、防火墙、反垃圾邮件等功能。KAV6比KIS6缺少了防火墙模块。
    整体来说，KIS6非常强大。 Руткит 讨论组里，我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英，实力雄厚，许多东西都运用的Undocumented技术，导致我上一版本的WinDbg一进入内核调试状态就崩溃。KIS6的注册表监控的非常全：NoWinodwsApp，ShellServiceObjectDelayLoad，ShellExcuteHooks，SharedTaskScheduler，SafeBoot，\Winlogon\Notify，AppInit_DLLs，开关机脚本等其他安全软件较少监控的自启动键值他都监控了；另外KIS6监控了各类代码注入，包括SetThreadContext的方法；监控了加载驱动、服务加载、通过\\Device\\PhysicalMemory对象进Ring0等；监控全局钩子的安装；文件完整性检查；反Rootkit，检测隐藏文件隐藏进程隐藏端口隐藏注册表；值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细，不像国内的个人防火墙是以进程为最小控管单位，KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口，比如默认情况下只允许Explorer.exe访问HTTP80端口，而不是完全允许Explorer.exe进程访问网络。
    夸KIS6夸完了，现在来说说他的弱点：关于KIS6监控采用远程线程代码注入的行为时，他只对注入IE等进程有反映，而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口，那木马程序只要用远程线程的方法注入svchost等进程，就能完完全全逃过卡巴了。
    再来看在KIS6下怎样实现自启动。KIS6监控注册表确实监控得很全，而且还监控服务之类的，初看你在自启动方面是无处下手。不过可爱的卡巴斯基又犯了让我悲哀的低级错误，开始菜单里的启动文件夹他竟然没监控。免得被人说这样做太猥琐，那就再说个方法，因为可爱的卡巴在监控远程线程代码注入时只IE等进程进行提示，从而我们可以注入Winlogon，注入Winlogon后我们就可以Defeat SFP，然后感染文件实现自启动，虽然卡巴有文件完整性检查，不过问题不大，你自己试了就明白为什么了，呵呵。
    再说点底层的，KIS6监控加载驱动监控得不全，嘿嘿，使用ZwSetSystemInformation我们照样可以加载驱动了，能加载驱动了天下还不是我们的了？恢复SSDT表呀，DKOM，Miniport NDIS Hook，任我们玩了。
    vxk的补充：
    除了XYZREG说的几个地方，卡巴斯基在面对BOOT.INI+NTOSKRNL.EXE改写大法（这个方法很无耻），还有HOTPATCH（几乎通吃FireWall）大法时都很脆弱啊！
    hotPatch能够动态的改写某些dll的，比如kernel32.dll，我就不多说了。你在kernel32.dll里做一个code injection然后在适当的进程内部加载我们的DLL，好了，一切搞定。

sunbi12345

学习

ALEXBLAIR

这个好像很早就有了，307年代的东西。

wuzhu100

发现LZ打错了一个字
著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6（简称KIS6）以及 Kaspersky AntiVirus 6.0（简称KAV6）。KIS6/KAV6比卡罢以前的产品有了质的提高.

巴字打错了

yahoo121

分析得很全面，长见识了……

wangjay1980

是早的拉，不过我们论坛应该发一贴

songgao421

我同学的一个机子装了卡巴后就种了一个广告软件，怎么都删不尽，哎

wangjay1980

杀广告请用专业杀流氓的

jpzy

嗯~~的确是早就看过了~~~~似乎是XYZREG那个高手写的！！
对个人用户来说，问题不是很大！
况且，卡巴还有特征码呢~~~~~

kbsjaqtz

而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口

卡巴防火墙默认的规则应该删除？
应对这些缺陷，我们该怎么修改设置？

[ 本帖最后由 kbsjaqtz 于 2007-5-3 14:33 编辑 ]