卡巴6安全防护机制的点滴

原创 2006年06月19日 11:09:00

感谢vxk,xyzreg的文章。

击败安全系统系列(1)之 Kaspersky Internet Security / Kaspersky AntiVirus 6.0

         2006年 5月15日,著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装Kaspersky Internet Security 6(简称KIS6)以及 Kaspersky AntiVirus 6.0(简称KAV6)。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫(包括进程行为监控,监视各类代码注入、安装全局钩子、加载驱动/服务等行为;文件完整性检查;检查各类运用RK技术的文件/进程/端口/注册表隐藏;Office宏保护等);反间谍软件、防火墙、反垃圾邮件等功能。KAV6比KIS6缺少了防火墙模块。

          整体来说,KIS6非常强大。 Руткит 讨论组里,我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英,实力雄厚,许多东西都运用的Undocumented技术,导致我上一版本的WinDbg一进入内核调试状态就崩溃~   KIS6的注册表监控的非常全:NoWinodwsApp,ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,/Winlogon/Notify,AppInit_DLLs,开关机脚本等其他安全软件较少监控的自启动键值他都监控了;另外KIS6监控了各类代码注入,包括SetThreadContext的方法;监控了加载驱动、服务加载、通过//Device//PhysicalMemory对象进Ring0等;监控全局钩子的安装;文件完整性检查;反Rootkit,检测隐藏文件隐藏进程隐藏端口隐藏注册表;值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细,不像国内的个人防火墙是以进程为最小控管单位,KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口,比如默认情况下只允许Explorer.exe访问HTTP80端口,而不是完全允许Explorer.exe进程访问网络。

         夸KIS6夸完了,现在来说说他的弱点。呵呵,真不知卡巴实验室那帮人怎么想法,不好说他们弱智,说他们粗心吧:关于KIS6监控采用远程线程代码注入的行为时,他只对注入IE等进程有反映,而他防火墙默认的控管规则里却允许Svchost等进程访问HTTP等端口,那木马程序只要用远程线程的方法注入svchost等进程,就能完完全全逃过卡吧了,唉,真悲哀!(当时研究到这里时我真想撞个豆腐试试看能否撞死....)~ 
        
         再来看在KIS6下怎样实现自启动。KIS6监控注册表确实监控得很全,而且还监控服务之类的,初看你在自启动方面是无处下手。不过可爱的卡巴斯基又犯了让我悲哀的低级错误,开始菜单里的启动文件夹他竟然没监控....    免得被人说这样做太猥琐,那就再说个方法,因为可爱的卡巴在监控远程线程代码注入时只IE等进程进行提示,从而我们可以注入Winlogon,注入Winlogon后我们就可以Defeat SFP,然后感染文件实现自启动,虽然卡巴有文件完整性检查,不过问题不大,你自己试了就明白为什么了,呵呵。

          再说点底层的,KIS6监控加载驱动监控得不全,嘿嘿,使用ZwSetSystemInformation我们照样可以加载驱动了~ 能加载驱动了天下还不是我们的了? 恢复SSDT表呀,DKOM,Miniport NDIS Hook,任我们玩了,呵呵...

==

vxk:

除了XYZREG说的几个地方,卡巴斯基在面对BOOT.INI+NTOSKRNL.EXE改写大法(这个方法无耻~),还有HOTPATCH(几乎通吃FireWall~)大法时脆弱阿脆弱~~

hotPatch能够动态的改写某些dll的,比如kernel32.dll,我就不多说了吧~你在kernel32.dll里做一个code injection然后在适当的进程内部加载我们的DLL,不就完事了么~~哈哈~~

感谢微软提供的锋利宝剑hotpatch~~

PS:正式版的卡巴6.0对IE的规则有点宽松了~~呵呵,大家自己尝试一下~~

6个常见的php安全攻击

1、SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对...
  • czh0423
  • czh0423
  • 2013年07月31日 22:07
  • 2564

通用 CentOS 6 服务器安全配置指南

Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息。不...
  • aqzwss
  • aqzwss
  • 2016年03月28日 11:40
  • 1168

Docker的安全问题以及一些预防方案

这篇文章算是《Using Docker:Chapter13. Security and Limiting Containers》的读书笔记。
  • Ruidu_Doer
  • Ruidu_Doer
  • 2016年11月29日 22:37
  • 2086

RootKits——windows内核的安全防护(6)

驱动程序的入口很简单,仅仅设置好相应的Unload函数,并调用Hook函数。  PFILE_OBJECT pFile_tcp;PDEVICE_OBJECT pDev_tcp;PDRIVER_O...
  • dayenglish
  • dayenglish
  • 2014年03月29日 14:33
  • 874

黑客基地VIP培训资料-6模拟黑客攻击和安全防护hacksec

  • 2008年09月09日 13:33
  • 13.73MB
  • 下载

三、Android安全机制之Apk防护

1、代码和资源混淆 1. 代码混淆 Android使用的ProGuard,起到压缩,混淆,预检,优化的作用,用法就是在build.gradle文件中minifyEnabled设置属性为true,然后在...
  • u012874222
  • u012874222
  • 2017年11月28日 15:19
  • 1094

FastDFS分布式文件系统点滴记录6 -- download下载机制剖析

关于下载,其实和上传文件很相似。这里我们暂时先不考虑nginx httpd的方式,只通过client api 方式与FastDFS 交互。 首先,我们看fdfs_download_file.c ,这...
  • fd315063004
  • fd315063004
  • 2012年06月28日 15:49
  • 596

应用汇不知道,金山安全套装不知道,卡巴知道

越是安全性不高的网站和软件,似乎越是喜欢搞一些“我是安全的”这样的宣言。记得《应用汇》搞过什么如果下载运行有毒,则赔偿;金山毒霸也搞了一个“你敢付、我敢赔”的网购保护,我也一直相信它们。虽然应用汇很多...
  • mrtorney
  • mrtorney
  • 2012年07月11日 17:03
  • 9372

PHP代码安全点滴 原版扫描

  • 2012年08月04日 07:20
  • 451KB
  • 下载

卡巴kis7.0网络安全套装可用key

  • 2008年11月14日 09:01
  • 10KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:卡巴6安全防护机制的点滴
举报原因:
原因补充:

(最多只允许输入30个字)