让我们摒弃一些浮躁:对Norton误报WinXP事件的技术分析

九棒歪打

转载自cnbeta

今天在CSDN上看到了王开源先生的一篇文章，“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后，首先，我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。任何时候，都让我们摒弃一些浮躁，扎扎实实的从技术做起，这样对我们的软件产业才最有好处。

下面给大家分析一下Norton这次事件技术细节。

                首先，Norton误报的这两个系统文件分别是：

Netapi32.dll，这是Windows系统用来提供基本的网络功能API的系统文件。
Lsasrv.dll，这是Windows系统用来提供本地安全功能，如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。

这两个文件都是非常重要的系统文件，一旦被破坏，系统将不能正常启动。

其次，我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串，对程序特定区域的一个Hash，仿真运行（Emulation）时的一段特定指令，等等。

那么，特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠，不会有误报的话，那么最安全的特征代码就是对整个病毒文件的一个HASH，如MD5或SHA1。但是这样的话，这个特征码就只能检测到这一个特定的病毒文件，而不能检测到任何的变种。如果想提高特征码的普遍性的话，就只能对病毒文件某一特定区域提取，例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是，也就有可能发生误报。

所以说，防病毒产品的误报（False Positive），并不是一个新闻。Symantec发生过，McAfee发生过，微软的Onecare也发生过。

第三，为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史，看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明，由于我并不在Symantec工作，以下的我个人的估计，也有可能与事实有所出入。

这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。

Windows Local Security Authority Service Remote Buffer Overflow
http://research.eeye.com/html/advisories/published/AD20040413C.html

要想利用这个安全漏洞，需要一个定制的DsRoleUpgradeDownlevelServer（Lsasrv.dll中的一个函数）的实现。为了做到这一点，攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此，利用MS04-011的病毒往往会包括三个程序，

病毒的主体（网络扫描和发送Shell Code）
一个修改过的Lsasrv.dll实现
一个修改过的Netapi32.dll实现

反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办，对于后两个文件，也就是修改过的Lsasrv.dll和Netapi32.dll，特征码的提取就要非常非常小心了。这是因为，这两个文件，和原始版本的真正的系统文件，差别非常小，只在很少几个地方修改过。如果不注意的话，特征代码提取到了没有修改过的文件部分，这个特定代码，就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改，提取特征代码不注意的话，那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。

最后，我想说两句题外话，如果你想要了解操作系统的工作原理（现代操作系统的工作原理和体系结构都是类似的，不管是Linux还是Windows），网上的资料，公开的Symbol文件，一个好的debugger，如WinDBG，一个好的反汇编程序，如IDA，可以告诉你想知道的所有信息，只要你花时间钻研技术。

        Emuman 发表于 2007-06-15 11:45:05           "从诺顿误杀WinXP后门误猜国家机密被窃取"这篇文章一看就是粪青写的，从头到尾充斥无确切根据的臆想，没有任何技术分析来支持，但是这种文章在宣扬爱国主义的中国很容易引起共鸣。

        Emuman 发表于 2007-06-15 12:35:59"此前，一位美国科学家称微软公司在它的 Windows软件中加上秘密“后门”，以便美国国家安全局（NSA)可以随意进入用户的操作系统并偷看用户的敏感电脑资料。" 美国科学家是谁? 原文出处? 如何证明?引用道听途说的、骇人听闻的或者恶意篡改的国外专家言论也是粪青的惯用伎俩之一。

换句话说，王XX自己也不能证明美帝的微软做了后门要颠覆中国政府，对不能证明的事情就妄下结论是思维方式的幼稚，当然即使这样也擦亮了很多文明用语的眼睛。

转一下，真受不了还有人深信那是后门，半点证据也没有，只凭yy，诺顿都承认误杀了。真爱国倒是有空学点编程/反编译用技术说话啊

287669789

为什么只有简体中文版xp使用者受害

seamonkey

难道其他版本的Windows中没有这两个文件还是诺顿的中国病毒库与其他地区不同？

nyk1986

转的好，某些人应该清醒点了，关于MS有后门的文章通篇都是猜测也有人信 ，只要沾上爱国，就能把国人骗的一愣一愣的。

chow2006

原帖由 287669789 于 2007-6-16 08:12 发表
为什么只有简体中文版xp使用者受害

这个就是焦点. 诺顿没解释为什么单杀简体中文版的?是病毒库不同还是什么?微软也没解释说这两个文件与其它语言版本的不同. 为什么不同?
作为世界著名的两大厂商, 既然那么多不利自己的言论, 为什么都不解释, 选择沉默?

PS: 上升到爱不爱国只是被某些人,某些公司借题发挥,图谋一已私利,但真正需要明了的反而在一片爱国声中忽略了
诺顿虽然承认误杀, 但为什么只误杀简体中文版就没解释清楚

nyk1986

或许symantec和MS觉得没必要对为何是简体中文版做出解释，或者没考虑到这个也要解释，本身简体版的XP就不同于原版XP。symantec认错了，迄今未知也没人（高举着证据）跳出来说，这2个文件确实是木马或后门，就说明确实没问题。

jpzy

只杀简体中文版应该说明，这两个文件跟其它语言版本的windows存在一些不同~！
因为中文编码的原因，中文系统比其它外文系统容易出现问题是客观存在的~！
微软毕竟是商业公司，跟我们国家的很多企业掌握在政府手中不同的~！用我们自己的想法来妄自揣度，自然会得出荒谬的结论~！

tiantian

楼主说的也有道理

yinxuchina

重要部门是不用windows的，美国做出这种事并不奇怪，