主動(dòng)防御機(jī)理探討

主動(dòng)防御機(jī)理探討主動(dòng)防御原理計(jì)算機(jī)病毒它就像潘多拉盒子里的惡魔，揮之不去，燒之不盡。打開(kāi)邪惡之種的人是一對(duì)巴基斯坦兄弟，從1987年C-Brain病毒誕生開(kāi)始，我們便開(kāi)始了漫漫反病毒之行?，F(xiàn)在計(jì)算機(jī)病毒頻繁變種，傳統(tǒng)病毒庫(kù)升級(jí)技術(shù)存在必然的缺陷。相對(duì)于新病毒，傳統(tǒng)病毒特征碼技術(shù)必然需要先截獲病毒再升級(jí)病毒庫(kù)，雖然現(xiàn)在反病毒廠商的反應(yīng)機(jī)制足夠快，但從截獲到用戶升級(jí)到最新病毒庫(kù)必然存在一個(gè)時(shí)間差，這還不包括許多因?yàn)榛ヂ?lián)互通的問(wèn)題導(dǎo)致無(wú)法及時(shí)升級(jí)的因素。病毒數(shù)量正在呈爆炸式的增長(zhǎng)，病毒更是變種層出不窮，再加上網(wǎng)上越來(lái)越多的所謂“免殺”病毒的出現(xiàn)，這不僅僅是依靠快速升級(jí)病毒庫(kù)的方法就能徹底根治。用戶需要一種能防范于未然的方法，一種能夠在未升級(jí)病毒庫(kù)的情況下也可以有效防范和處理病毒的技術(shù)和產(chǎn)品，主動(dòng)防御技術(shù)就應(yīng)運(yùn)而生?！爸鲃?dòng)防御”技術(shù)是基于通過(guò)對(duì)某些未知進(jìn)程的行為特征進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控、自動(dòng)跟蹤相關(guān)進(jìn)程的行為痕跡，如這些進(jìn)程是否表現(xiàn)為在系統(tǒng)文件夾中創(chuàng)建了可疑文件、向Windows注冊(cè)表注入了非法進(jìn)程及向外部發(fā)送了帶有敏感信息的電子郵件等反?！靶袨椤?，從而智能判斷病毒、木馬、黑客程序及間諜程序等是否存在的一種先進(jìn)安全防御技術(shù)，顯然它與傳統(tǒng)病毒特征庫(kù)比對(duì)查毒的“慢半拍”是有本質(zhì)區(qū)別的。實(shí)現(xiàn)機(jī)制目前實(shí)現(xiàn)了主動(dòng)防御技術(shù)的殺毒軟件主要有瑞星、江民、金山、卡巴斯基、諾頓個(gè)人版本等等。以瑞星主動(dòng)防御為例，下載安裝瑞星2010版本完成之后，通過(guò)一些安全檢測(cè)工具以及內(nèi)核調(diào)試工具，探查其主動(dòng)防御技術(shù)的大概原理實(shí)現(xiàn)，內(nèi)核修改如圖：

序號(hào)\函數(shù)名稱T當(dāng)前函數(shù)地址Hook麗貽函數(shù)地址T當(dāng)前函數(shù)地址所在模塊19MtAssigTLpr'jcessToJob...0xF9D08831ssdthuuk0x805CC162c^INBOtfS\sy￡tem32\drivers\H00KHELF.sys41MtCrea七辺町0xF9D089DEEE'lthijuk0x80619BB21:\WIUDOtfS\aystem32drivers\H00KHELP.sys43NtCreateMiit：=lTlt0xF9B088B5Eldthook0x8060CFSC1:\WINBOtfS\system32\drivers\H00KHELF.Sys47HtCreateFt□匚已呂￡0xF9D0899CEldthook0xS05C6CE8cMlfIKDOWS\syzt driver3\HD0KHELF.sys48N e；寶七eFrucessEx0xF9D0897BZSilthuuk0x805C6C32cWINDOWS\zy11em32\drivers\HOOKHELF.syS50NtCreatmEmcition0xF9D08D36EEilthuuk0x805A023EcWINDOWS\5yitem3$\driTere\HOOKHELF.sys521JtCrwteS^TTibulicLink...0xF9D089BDSEiltIluuk0x805BA410cXWIHBOWS\system32\dr1vers\HOOKHELF.sys53MtCreatEThrEsd0xF9D08663Esdthuuk0x805C6ABO1:'WINDOWS\ays.tem32\drivers\H00KHEU.sys57NtDebugActiveFi-ncess0xF9D08TADEEdthuuk0x60638AC4c\WIND0tfS\syitem32\drivers\H00KHELf.刃s63NtDeleteKey0xF9D08A4155dthook0x8061AD621:\WIWBOtfS\zystem寵^drivers\H00KHELF.sys65litDeleteV：mlu已ICey0xF9D08A20Eldthuuk0x8061A232c\WIHBOWS\system32\drivers\H09KHELF.sya66NtBeviceloControlFile0xF9D08852SSilthuuk0x8056E312cWINDOWSaystem3￡\drivers\HOOKHELF.sys68NtDupl1c注teLlbjmet0xF9D0895AEEilthuuk0x805B3iF0c^ISBOW^Eystem32\driverS\HOOKHELF.Sys97lltLuaidllriver0xF9D08621Esdthuuk0s805T932AcXWIHBOWS\?y51em32\driverb\HD0KHELP.sys103ITt.LuckVirtu：±lMemury0xF9D08T6BEsdthuuk0x805ABAlAcAWIWBOWS\Eystem32\drivers\HOOKHELF.sys119NtOperJCey0xF9D08AC5EEdthuuk0x8061AF681:^INDOtfSVsystem32\drivers\H00KHELF.sys122WtOperJ'roceee0xF9D088F7EEdthuukOxSOSCOETS1:XWIWDOtfS\syStem32\drivers\H00KHELF.Eys125HtOperiSecti皿OxF9DO0684EEdthook0x8059F2T4c\WIKDOWS\aystem32drivers\H00KHELF.sys13THtFrotectVirtu：=lLMemor70xF9D08T4AEldthook0X805AD4E2c^IHBOWS^ystem32\drivers\H00KHELF.Sys145NtQueryDirerturyFlie0xF9D08894SEilthijuk0x8056EF44cMlfIN110WS\system3^drivers\HOOKHELF.ays1T3NtQuerySyEtErTilrLforniSL...0xF9D08939Esdthuuk0x8060733EcWINDOWS\system32\drivers\HD0KHELF.177ITtQueryValuelvey0xF9D08810EsdtIluuk0x80617C8CcVWIffDOWS^ystem32\drivers\HOOKHELP.sys180HtQueueApcThr已a(bǔ)d0xF9D08T29Ssdthuuk0x805C6D2E1:XWINDOtfS\system32\dr1vsre\H00KHELF.sys192WtRen：EifTieIiey0xF9D08A62Eldthuuk0x806195J81:'WINDOWS\z73.tem32Xdrivers\H00KHEU.sys200litRequHit.WaitFLeplyF0r+0xF9D08TEFEldthook0xS0597BE0c\WIWD0tfS\syitem32\drivei-s\H00KHEL?.Eys204HtRes七口丁述：巧?0XF9IILIHAA4Eldthook0x8061TEDAc\Wim)OWS\zystem32^drivers\H00KHELF.sys213ITe+C口ntextThread0xF9D086E7SzdthuukLlx8U5C71F2c\WINI)OWS\syStem窣\driverz\HOOKHELF.sys228NtEetlrLturmat1orLpr0cess0xF9D08918EsdthuukOx805C3B36cWINDOWS\3731em3￡\driver3\HOOKHELF.sysHOOKHELP.SYS通過(guò)在ringO內(nèi)核層修改了SSDT關(guān)鍵函數(shù)地址，如：NtLoadDriver、NtSetSyetemInfomation、NtCreateKey、NtCreateProcess、NtCreateSection等函數(shù)，達(dá)到對(duì)系統(tǒng)的進(jìn)程活動(dòng)，文件操作，注冊(cè)表操作的行為進(jìn)行過(guò)濾監(jiān)控以及自身保護(hù)的目的；同時(shí)，為了減少誤殺的幾率，增加了可信任的白名單或者黑名單規(guī)則，以及簽名驗(yàn)證機(jī)制，如圖：設(shè)査+■■/：：＜查殺設(shè)置電腦防護(hù)1””i3 "'：國(guó):-S:…@■木馬行為防御設(shè)査+■■/：：＜查殺設(shè)置電腦防護(hù)1””i3 "'：國(guó):-S:…@■木馬行為防御：…g本馬入侵?jǐn)r截血?升級(jí)設(shè)置.+■■■-.高級(jí)設(shè)置文件監(jiān)控郵件監(jiān)控系統(tǒng)加固應(yīng)用程序加筍應(yīng)用程序控制推薦自動(dòng)處理現(xiàn)存有埶規(guī)則3條，黯躱警驟籬豔蠶勰翹析‘錐雌未知-_3- - 用琴r發(fā)現(xiàn)程序存在惡意行為時(shí)叼啟用危險(xiǎn)動(dòng)作另析切自動(dòng)放過(guò)簽名程序回記錄日志自國(guó)白名單程序 I吳筆蘇-溺C:'DOCUMENTSAMDSETTINGS\ABMIHISTRATOR\桌面\DB...安全C:'DOCUMENTSAMD.SETTINGS\A3MIHISTRAT0R\桌面猱K…安全C:\FRDGRAMFILES\36Q^350SArEASAFEM0B.V360TRAY.EXE 安全?配合病毒查殺技術(shù)，最終實(shí)現(xiàn)了整個(gè)立體的防御體系。在整個(gè)體系中，最重要的部分，是用戶行為規(guī)則合理的分析判斷，區(qū)分正常程序以及惡意程序。至于卡巴斯基的主動(dòng)防御，還增加了虛擬機(jī)技術(shù)，在虛擬內(nèi)存中執(zhí)行程序，對(duì)程序的行為活動(dòng)進(jìn)行分析判斷，區(qū)分正常程序以及惡意程序。探測(cè)主動(dòng)防御缺陷以及防范由于殺毒軟件基本都是在病毒執(zhí)行之前，已經(jīng)在系統(tǒng)中對(duì)系統(tǒng)進(jìn)行保護(hù)了，所以任何一個(gè)不良程序，都必須面對(duì)殺毒軟件的查殺以及殺毒軟件的主動(dòng)防御功能；而方法不是在ring3應(yīng)用層繞過(guò)殺毒軟件的查殺以及主動(dòng)防御，就是進(jìn)入ringO內(nèi)核層修復(fù)系統(tǒng)。目前主要有幾種方式，探測(cè)主防行為規(guī)則缺陷、逆向殺毒軟件模塊查找漏洞、利用系統(tǒng)或者第三方軟件漏洞。1）探測(cè)行為規(guī)則缺陷：以下是一個(gè)木馬的執(zhí)行過(guò)程，每執(zhí)行部分代碼，就會(huì)輸出一段調(diào)試信息，如果某些代碼執(zhí)行的過(guò)程中，觸發(fā)了主動(dòng)防御規(guī)則，瑞星2010主動(dòng)防御就會(huì)提示、如圖：經(jīng)過(guò)測(cè)試，發(fā)現(xiàn)在創(chuàng)建服務(wù)，寫注冊(cè)表關(guān)鍵位置，如：run、runonce、runservice、HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost下的鍵值會(huì)被主動(dòng)防御警告阻止。同時(shí)在往系統(tǒng)關(guān)鍵目錄寫、修改文件也會(huì)被報(bào)，如：windows、system32、drivers、系統(tǒng)啟動(dòng)目錄等位置。以注冊(cè)表為例子，是不是被監(jiān)控過(guò)濾的鍵值就不能寫入了呢？或者在應(yīng)用層就沒(méi)辦法寫入了呢？微軟在對(duì)注冊(cè)表的管理操作上，給我們提供了幾種方式，一種是界面的regedit.exe、或者regedt32.exe，一種是提供了API函數(shù)接口操作注冊(cè)表，還有一種是命令行的reg.exe。但是并不知道有沒(méi)有對(duì)這塊完整的過(guò)濾，經(jīng)過(guò)測(cè)試發(fā)現(xiàn)，使用regedit.exe將需要修改的內(nèi)容導(dǎo)入到注冊(cè)表，不會(huì)觸發(fā)瑞星2010主動(dòng)防御機(jī)制。從中我們可以得出結(jié)論，瑞星主動(dòng)防御的默認(rèn)規(guī)則并不是很完善的，其他殺毒軟件的也類似。關(guān)鍵代碼如圖：charni_Reg&ata[2Ji48]={'Xfi-};DUORDnRet;wsprintf(m_Reg^ata."WindowsRegistryEditorUersion5.&9\r\n\[HKEV_L0CAL_MACHINE\\SVSHANDLEnFileHanJle;mFileHandle=CreateFile(lpRegNanie,GENERICWRITE,FILESHAREWRITE,NULL,CREATEALWAYS,FiF(mFileHandle==INUfiLID_HANDLE_UfiLUE)returnfalse；WriteFile(mFileHanrneRegiJata,lstrlen(pReg^ata)，&nRet,fl)；ClcseHandle(!i)FileHandle);delete]]pHexPath；TCHARstrShellPath[MAXPfiTH]={?}；TCHARshellC!Hd[_MAX_PATH]；GetWindawsDirectory(strShellPath,MAXPfiTH).；lstrcat(strShellPath^'Wregedit.exe");wsprintf(shellCrit?,_T("\/sl&s").IpFtegNamE?)；ShellExecute(NULL,NULL,strShe