由McAfee 8.5i最新版的弱点看交互式保护的重要性

cnalex

总体来说8.5i拿8.0i还是有不少有价值的改进，其中访问保护功能的增加对应对如今新式的各种安全威胁有一定的作用。

不过我习惯了追求完美，习惯挑刺，谈谈McAfee 8.5i的弱点。当然McAfee 8.5i比最近刚出来的诺顿网络网络安全特警2007好的多，诺顿太“中规中矩”，没什么亮点，更无法防御如今日新月异的各种网络安全威胁。

McAfee 8.5i具有了禁止其他程序写自启动项、写服务、加载驱动、向Windows目录以及系统目录写如可执行文件等功能。这些功能对防御恶意程序有着一定的作用。但是McAfee 8.5i设计时从可用性以及易用性的角度引入的白名单设计，比如允许名为setup.exe的进程写服务、加载驱动、向系统目录里写文件，从而使后门木马编写者突破McAfee 8.5i的访问保护变得很容易。原本我们还得写驱动直接与FSD打交道直接发IRP写文件至系统目录，现在都不用烦了。比如可以这样：先释放真正的后门文件到C:\setup.exe，然后就bypass了，因为setup.exe写服务、加载驱动、写服务到系统目录McAfee不报。

从信息安全产品设计的角度，应慎用白名单，即使使用的话最起码得要配合HASH效验等的措施。但是McAfee 8.5i白名单仅仅依靠进程名称判断，此方案使其本具有的强大威力大减……

当然，还是可以理解McAfee 8.5i的初衷的，设计时考虑到了易用性，以及可能使用在服务器上，从而没有应用交互式询问用户的方法，但是，如果光光依靠“智能判断”，整体安全强度不会达到我们满意的高度。

=========
补充，值得一提的是，McAfee 8.5i 对摘除文件系统过滤驱动有了防范，摘除时会BSOD，嘿嘿~~~

思亭

学习，+了MD5值等校验，麦咖啡似乎无敌了....

anee

太高深了
看了不很明白

aribeth199

这是绅博版主XYZREG去年写的，转载也不注明。

bioinfo

加上路径就可以解决

cnalex

我的标题中注明是【转载】了，

starfish

呵呵，我也没有看到转了……还以为又多一个高手了，尽说些看不太懂的东西

下一个永远

还没用过8.5，现在用着8.0感觉还不错

remind_me

加上 hash 校验。。。咖啡就真成了  HIPS 了

thelord

智能？规则墙谈不上智能吧，微点倒可以算上。

原本我们还得写驱动直接与FSD打交道直接发IRP写文件至系统目录，现在都不用烦了。

意思是这样可以突破咖啡的访问保护么？