让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析

最新推荐文章于 2024-04-25 10:53:25 发布
最新推荐文章于 2024-04-25 10:53:25 发布
阅读量7.1k 收藏 4
点赞数
文章标签: windows security 工作 service blog patch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/1650554
版权
申明:言论仅代表个人,与所在公司无任何联系。
 
这两天看到不少有关 Norton 误报 WinXP 中文版的两个系统文件为病毒的报道。
 
不过,今天在 CSDN blog 上看到了王开源先生的一篇文章, “从诺顿误杀WinXP后门误猜国家机密被窃取 ”。读完以后,首先,我觉得非常失望。我衷心希望我们的 Open Source 不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。
任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
 
下面给大家分析一下 Norton 这次事件技术细节。
 
首先 Norton 误报的这两个系统文件分别是:
 
Netapi32.dll ,这是 Windows 系统用来提供基本的网络功能 API 的系统文件。
Lsasrv.dll ,这是 Windows 系统用来提供本地安全功能,如密码验证等的系统文件。 Lsasrv Local Security Authority Service 的缩写。 Lsasrv.dll 被系统进程 lsass.exe 使用。
 
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
 
其次,我们简单的说一下反病毒软件的工作原理。所有的 工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个 Hash ,仿真运行( Emulation )时的一段特定指令,等等。
 
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个 HASH ,如 MD5 SHA1 。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量 X 位置开始的 Y 字节的 HASH 等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
 
所以说,防病毒产品的误报( False Positive ),并不是一个新闻。 Symantec 发生过, McAfee 发生过,微软的 Onecare 也发生过。
 
第三,为什么 Norton 出现了对这两个文件的误报。如果熟悉 Windows 操作系统安全漏洞和病毒历史,看到 Norton 误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的 MS04-011 安全漏洞说起。 MS04-011 的安全漏洞是 Lsasrv 的远程缓存溢出漏洞。 Eeye 有一段非常详细的技术分析。
 
Windows Local Security Authority Service Remote Buffer Overflow
 
要想利用这个安全漏洞,需要一个定制的 DsRoleUpgradeDownlevelServer Lsasrv.dll 中的一个函数)的实现。为了做到这一点,攻击者需要自己修改 (patch) 一下 Lsasrv.dll Netapi32.dll 。因此,利用 MS04-011 的病毒往往会包括三个程序,
 
病毒的主体(网络扫描和发送 Shell Code
一个修改过的 Lsasrv.dll 实现
一个修改过的 Netapi32.dll 实现
 
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的 Lsasrv.dll Netapi32.dll ,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于 WinXP 中文版的 Lsasrv.dll Netapi32.dll 的修改,提取特征代码不注意的话,那么误报 WinXP 中文版的 Lsasrv.dll Netapi32.dll 也就会发生了。
 
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是 Linux 还是 Windows ),网上的资料,公开的 Symbol 文件,一个好的 debugger ,如 WinDBG ,一个好的反汇编程序,如 IDA ,可以告诉你想知道的所有信息,只要你花时间钻研技术。
6月16日更新:
首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。

我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 ,
http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx

有更多的技术信息,希望对解答大家的疑惑有所帮助。

谢谢
 
chengyun_chu
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
电子节气门技术资料-综合文档
05-20
电子节气门技术资料电子节气门技术是伴随汽车电子驱动理念而诞生的。它摒弃了传统油门踏板采用钢丝绳或杠杆机构与发动机节气门间的直接机械连接,通过增加相应的..
Some resources about stack exploit
net0r的专栏
07-20 1079
1.include #include #pragma comment(lib, "netapi32.lib")#pragma comment(lib, "ws2_32.lib") typedef int (_stdcall *DSROLEUPGRADEDOWNLEVELSERVER)                (unsigned long, unsigned long, unsigned l
ReadPwd读windows内存中明文密码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-22 1464
此程序是看雪论坛中秋节发出来的一个逆向作品,逆向的目标就是曾经介绍过的mimikatz,直接把取密码的过程简化到了一起。 之前看到有人就是拿来编译了一下也要在前面加好多什么来自某某黑客啦什么什么的,很蛋疼,也可能是大家连编译都懒得编译了,直接拿来主义吧,嘿嘿,这里发个原版的,不含任何广告链接自我宣传什么的。 这事让我想到了前一段用搜索引擎检测了一下,发现自己的好多文章都给抄去了,有
用c++编写破解Windows密码程序
程序猿的博客
08-22 5940
用c++编写破解Windows密码程序 看好了 cpp文件 #include "CrackWinPassword.h" #pragma warning(disable:4996) #pragma warning(disable:4703) HANDLE GetProcessHandleByName(const CHAR* szName) { // // GetProcessHandle获得lsass.exe进程句柄 // DWORD ReturnLength, nBytes; WCHAR B
基于easy-mvc的后台管理系统源码 v1.1 BackstageManagementBasedEasyMvc.rar
09-29
* 摒弃微软庞大的mvc库,只有1个dll * 自动扫描DAL接口并实现注册,无需指定实现类 * 自定义getRequest和getResponse实现请求和响应的处理 * 自定义返回值,实现跳转页面或返回JSON等功能。 * 通过getPostData...
BackstageManagementBasedEasyMvc_基于easy-mvc的后台管理系统源码_JSON_easy_
10-03
1.1版本更新 * 新增系统设置功能 * MyORM新增获取DataTable函数 * Map新增getString()函数 * 自动判断浏览器是否支持gzip压缩,返回压缩后JSON easy-mvc框架特点: * 摒弃微软庞大的mvc库,只有1个dll * 自动扫描...
jre-8u261-linux-x64.tar
11-02
linux版java安装包 Java是一门面向对象编程语言,不仅吸收了C++语言的各种优点,还摒弃了C++里难以理解的多继承、指针等概念,因此Java语言具有功能强大和简单易用两个特征。
再谈:Norton误报WinXP事件技术分析
06-16 9394
看到了不少读者对于我“对Norton误报WinXP事件技术分析”的反馈。在这里,首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。明显,我的第一篇blog提供的技术细节不够。这里向大家抱歉。 综合一下,有三个问题我没有说清楚。 第一, 为什么可能一个错误的特征码会只误报XP中文版的系统文件?第二, 如何验证XP中文版的系统文件是否有特殊代码
c++:数据结构链表list的模拟实现
2301_76886465的博客
04-24 984
其实还有另一种解决方法,copy这个类,把这个类改成const版本的.但是这样会造成代码冗余.在调用上,我们假设有一个类A,里面有两个值a1和a2,我们用这个类来充当节点中的数据val。Ref是引用,Ptr是指针.这样子写是为了能生成多种引用T&,和T。这个类里面封装的是节点的指针,所以它唯一的成员变量就是Node。it->是调用it.operator->(),返回的是一个T。这个函数的功能和构造函数一样,写出来是为了后面进行复用.首先T是节点数据的类型,这个没问题.这里的模板有三个参数,为什么呢?
Windows设置右键打开管理员CMD
轩辕霸天L
04-22 235
管理员CMD设置
集合框架(二)前置知识
2301_80477449的博客
04-21 263
可变参数:就是一种特殊形参,定义在方法,构造器的形参列表里,格式是:“数据类型...参数名称”特点:可以不传数据给它,可以传一个或多个数据给它,也可以传一个数组给它。Collections提供的常用静态方法。②一个形参列表中可变参数只能有一个。③可变参数必须放在形参列表的最后面。①可变参数在方法内部就是一个数组。好处:常常用来灵活的接受数据。*是一个用来操作集合的工具类。可变参数的特点和好处。
使用C++实现尾插式循环链表结构
AndrewYZWang的博客
04-24 442
总结起来,这段代码提供了一个简洁而实用的尾插式循环链表的实现,适用于需要高效进行顺序添加和按最近添加顺序删除元素的场景。用于创建新节点并将新节点插入到链表的尾部,即每次新增节点都会成为新的末尾节点。因此有必要实现一款属于自己的双向链表,这样在有需要的时候就能随时增加自己的特性,让链表更好的服务于其他模块。在使用C++实现链表时,我们需要实现两个主要的类:1. node节点类 ,2. 链接node节点的类。,该节点的前驱和后继均指向自身,形成一个空链表的“闭环”。,它作为链表中的实际节点实现。
基于onbar的备份与恢复实验
最新发布
Sinoregal的博客
04-25 806
在灾难发生前,删除一个记录,用于后续恢复时的验证用例。t_employee删除1条数据(t14)
centos7开启指定端口操作步骤
ithongchou的博客
04-24 330
【代码】centos7开启指定端口操作步骤。
Linux GDB调试
weixin_43349440的博客
04-21 270
可以看出加入-g文件变大了。gdb test(gdb) help (查看帮助文档)(gdb) q (退出)-g选项的作用是在可执行文件中加入源代码信息,比如可执行文件中第几条机器指令对应源代码的第几行,并没有把源代码嵌入可执行文件中。所以源代码文件不可以没有。1、显示(gdb) list357 int a, b;12 b = 30;++i) {(gdb) list 10 (第十行开始显示)
【JavaWeb】Day51.Mybatis动态SQL(一)
m0_74197695的博客
04-21 676
在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。此时,执行的SQL语句为:这个查询结果是不正确的。正确的做法应该是:传递了参数,再组装这个查询条件;如果没有传递参数,就不应该组装这个查询条件。SQL语句会随着用户的输入或外部条件的变化而变化,我们称为:动态SQL。
永磁同步电机SVM-DTC
08-14
从引用中可以了解到,DTC摒弃了传统矢量控制中的解耦思想,采用滞环控制和Bang-Bang控制产生PWM信号,从而实现高动态性能的控制。而SVM是一种基于统计学习理论的分类和回归分析方法,它可以将具有非线性关系的数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值