查看: 2157|回复: 9
收起左侧

[转帖] 由McAfee 8.5i最新版的弱点看交互式保护的重要性

[复制链接]
cnalex
发表于 2007-5-28 09:02:33 | 显示全部楼层 |阅读模式
总体来说8.5i拿8.0i还是有不少有价值的改进,其中访问保护功能的增加对应对如今新式的各种安全威胁有一定的作用。

不过我习惯了追求完美,习惯挑刺,谈谈McAfee 8.5i的弱点。当然McAfee 8.5i比最近刚出来的诺顿网络网络安全特警2007好的多,诺顿太“中规中矩”,没什么亮点,更无法防御如今日新月异的各种网络安全威胁。

McAfee 8.5i具有了禁止其他程序写自启动项、写服务、加载驱动、向Windows目录以及系统目录写如可执行文件等功能。这些功能对防御恶意程序有着一定的作用。但是McAfee 8.5i设计时从可用性以及易用性的角度引入的白名单设计,比如允许名为setup.exe的进程写服务、加载驱动、向系统目录里写文件,从而使后门木马编写者突破McAfee 8.5i的访问保护变得很容易。原本我们还得写驱动直接与FSD打交道直接发IRP写文件至系统目录,现在都不用烦了。比如可以这样:先释放真正的后门文件到C:\setup.exe,然后就bypass了,因为setup.exe写服务、加载驱动、写服务到系统目录McAfee不报。

从信息安全产品设计的角度,应慎用白名单,即使使用的话最起码得要配合HASH效验等的措施。但是McAfee 8.5i白名单仅仅依靠进程名称判断,此方案使其本具有的强大威力大减……

当然,还是可以理解McAfee 8.5i的初衷的,设计时考虑到了易用性,以及可能使用在服务器上,从而没有应用交互式询问用户的方法,但是,如果光光依靠“智能判断”,整体安全强度不会达到我们满意的高度。

=========
补充,值得一提的是,McAfee 8.5i 对摘除文件系统过滤驱动有了防范,摘除时会BSOD,嘿嘿~~~
思亭
发表于 2007-5-28 09:09:31 | 显示全部楼层
学习,+了MD5值等校验,麦咖啡似乎无敌了....
anee
发表于 2007-5-28 09:23:43 | 显示全部楼层
太高深了
看了不很明白
aribeth199
发表于 2007-5-28 10:25:03 | 显示全部楼层
这是绅博版主XYZREG去年写的,转载也不注明。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bioinfo
发表于 2007-5-28 11:11:57 | 显示全部楼层
加上路径就可以解决
cnalex
 楼主| 发表于 2007-5-28 11:19:20 | 显示全部楼层
我的标题中注明是【转载】了,
starfish
发表于 2007-5-28 11:50:46 | 显示全部楼层
呵呵,我也没有看到转了……还以为又多一个高手了,尽说些看不太懂的东西
下一个永远
发表于 2007-5-28 16:00:53 | 显示全部楼层
还没用过8.5,现在用着8.0感觉还不错
remind_me
发表于 2007-5-28 16:14:07 | 显示全部楼层
加上 hash 校验。。。咖啡就真成了  HIPS 了
thelord
发表于 2007-5-29 02:36:53 | 显示全部楼层
智能?规则墙谈不上智能吧,微点倒可以算上。
原本我们还得写驱动直接与FSD打交道直接发IRP写文件至系统目录,现在都不用烦了。
意思是这样可以突破咖啡的访问保护么?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 00:53 , Processed in 0.129056 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表