主动防御机理探讨

主动防御机理探讨主动防御原理计算机病毒它就像潘多拉盒子里的恶魔，挥之不去，烧之不尽。打开邪恶之种的人是一对巴基斯坦兄弟，从1987年C-Brain病毒诞生开始，我们便开始了漫漫反病毒之行。现在计算机病毒频繁变种，传统病毒库升级技术存在必然的缺陷。相对于新病毒，传统病毒特征码技术必然需要先截获病毒再升级病毒库，虽然现在反病毒厂商的反应机制足够快，但从截获到用户升级到最新病毒库必然存在一个时间差，这还不包括许多因为互联互通的问题导致无法及时升级的因素。病毒数量正在呈爆炸式的增长，病毒更是变种层出不穷，再加上网上越来越多的所谓“免杀”病毒的出现，这不仅仅是依靠快速升级病毒库的方法就能彻底根治。用户需要一种能防范于未然的方法，一种能够在未升级病毒库的情况下也可以有效防范和处理病毒的技术和产品，主动防御技术就应运而生。“主动防御”技术是基于通过对某些未知进程的行为特征进行动态实时监控、自动跟踪相关进程的行为痕迹，如这些进程是否表现为在系统文件夹中创建了可疑文件、向Windows注册表注入了非法进程及向外部发送了带有敏感信息的电子邮件等反常“行为”，从而智能判断病毒、木马、黑客程序及间谍程序等是否存在的一种先进安全防御技术，显然它与传统病毒特征库比对查毒的“慢半拍”是有本质区别的。实现机制目前实现了主动防御技术的杀毒软件主要有瑞星、江民、金山、卡巴斯基、诺顿个人版本等等。以瑞星主动防御为例，下载安装瑞星2010版本完成之后，通过一些安全检测工具以及内核调试工具，探查其主动防御技术的大概原理实现，内核修改如图：

序号\函数名称T当前函数地址Hook丽贻函数地址T当前函数地址所在模块19MtAssigTLpr'jcessToJob...0xF9D08831ssdthuuk0x805CC162c^INBOtfS\sy£tem32\drivers\H00KHELF.sys41MtCrea七辺町0xF9D089DEEE'lthijuk0x80619BB21:\WIUDOtfS\aystem32drivers\H00KHELP.sys43NtCreateMiit：=lTlt0xF9B088B5Eldthook0x8060CFSC1:\WINBOtfS\system32\drivers\H00KHELF.Sys47HtCreateFt□匚已吕£0xF9D0899CEldthook0xS05C6CE8cMlfIKDOWS\syzt driver3\HD0KHELF.sys48N e；宝七eFrucessEx0xF9D0897BZSilthuuk0x805C6C32cWINDOWS\zy11em32\drivers\HOOKHELF.syS50NtCreatmEmcition0xF9D08D36EEilthuuk0x805A023EcWINDOWS\5yitem3$\driTere\HOOKHELF.sys521JtCrwteS^TTibulicLink...0xF9D089BDSEiltIluuk0x805BA410cXWIHBOWS\system32\dr1vers\HOOKHELF.sys53MtCreatEThrEsd0xF9D08663Esdthuuk0x805C6ABO1:'WINDOWS\ays.tem32\drivers\H00KHEU.sys57NtDebugActiveFi-ncess0xF9D08TADEEdthuuk0x60638AC4c\WIND0tfS\syitem32\drivers\H00KHELf.刃s63NtDeleteKey0xF9D08A4155dthook0x8061AD621:\WIWBOtfS\zystem宠^drivers\H00KHELF.sys65litDeleteV：mlu已ICey0xF9D08A20Eldthuuk0x8061A232c\WIHBOWS\system32\drivers\H09KHELF.sya66NtBeviceloControlFile0xF9D08852SSilthuuk0x8056E312cWINDOWSaystem3£\drivers\HOOKHELF.sys68NtDupl1c注teLlbjmet0xF9D0895AEEilthuuk0x805B3iF0c^ISBOW^Eystem32\driverS\HOOKHELF.Sys97lltLuaidllriver0xF9D08621Esdthuuk0s805T932AcXWIHBOWS\?y51em32\driverb\HD0KHELP.sys103ITt.LuckVirtu：±lMemury0xF9D08T6BEsdthuuk0x805ABAlAcAWIWBOWS\Eystem32\drivers\HOOKHELF.sys119NtOperJCey0xF9D08AC5EEdthuuk0x8061AF681:^INDOtfSVsystem32\drivers\H00KHELF.sys122WtOperJ'roceee0xF9D088F7EEdthuukOxSOSCOETS1:XWIWDOtfS\syStem32\drivers\H00KHELF.Eys125HtOperiSecti皿OxF9DO0684EEdthook0x8059F2T4c\WIKDOWS\aystem32drivers\H00KHELF.sys13THtFrotectVirtu：=lLMemor70xF9D08T4AEldthook0X805AD4E2c^IHBOWS^ystem32\drivers\H00KHELF.Sys145NtQueryDirerturyFlie0xF9D08894SEilthijuk0x8056EF44cMlfIN110WS\system3^drivers\HOOKHELF.ays1T3NtQuerySyEtErTilrLforniSL...0xF9D08939Esdthuuk0x8060733EcWINDOWS\system32\drivers\HD0KHELF.177ITtQueryValuelvey0xF9D08810EsdtIluuk0x80617C8CcVWIffDOWS^ystem32\drivers\HOOKHELP.sys180HtQueueApcThr已ad0xF9D08T29Ssdthuuk0x805C6D2E1:XWINDOtfS\system32\dr1vsre\H00KHELF.sys192WtRen：EifTieIiey0xF9D08A62Eldthuuk0x806195J81:'WINDOWS\z73.tem32Xdrivers\H00KHEU.sys200litRequHit.WaitFLeplyF0r+0xF9D08TEFEldthook0xS0597BE0c\WIWD0tfS\syitem32\drivei-s\H00KHEL?.Eys204HtRes七口丁述：巧・0XF9IILIHAA4Eldthook0x8061TEDAc\Wim)OWS\zystem32^drivers\H00KHELF.sys213ITe+C口ntextThread0xF9D086E7SzdthuukLlx8U5C71F2c\WINI)OWS\syStem窣\driverz\HOOKHELF.sys228NtEetlrLturmat1orLpr0cess0xF9D08918EsdthuukOx805C3B36cWINDOWS\3731em3£\driver3\HOOKHELF.sysHOOKHELP.SYS通过在ringO内核层修改了SSDT关键函数地址，如：NtLoadDriver、NtSetSyetemInfomation、NtCreateKey、NtCreateProcess、NtCreateSection等函数，达到对系统的进程活动，文件操作，注册表操作的行为进行过滤监控以及自身保护的目的；同时，为了减少误杀的几率，增加了可信任的白名单或者黑名单规则，以及签名验证机制，如图：设査+■■/：：＜查杀设置电脑防护1””i3 "'：国:-S:…@■木马行为防御设査+■■/：：＜查杀设置电脑防护1””i3 "'：国:-S:…@■木马行为防御：…g本马入侵拦截血®升级设置.+■■■-.高级设置文件监控邮件监控系统加固应用程序加筍应用程序控制推荐自动处理现存有埶规则3条，黯躱警驟籬豔蠶勰翹析‘錐雌未知-_3- - 用琴r发现程序存在恶意行为时叼启用危险动作另析切自动放过签名程序回记录日志自国白名单程序 I吳笔蘇-溺C:'DOCUMENTSAMDSETTINGS\ABMIHISTRATOR\桌面\DB...安全C:'DOCUMENTSAMD.SETTINGS\A3MIHISTRAT0R\桌面猱K…安全C:\FRDGRAMFILES\36Q^350SArEASAFEM0B.V360TRAY.EXE 安全•配合病毒查杀技术，最终实现了整个立体的防御体系。在整个体系中，最重要的部分，是用户行为规则合理的分析判断，区分正常程序以及恶意程序。至于卡巴斯基的主动防御，还增加了虚拟机技术，在虚拟内存中执行程序，对程序的行为活动进行分析判断，区分正常程序以及恶意程序。探测主动防御缺陷以及防范由于杀毒软件基本都是在病毒执行之前，已经在系统中对系统进行保护了，所以任何一个不良程序，都必须面对杀毒软件的查杀以及杀毒软件的主动防御功能；而方法不是在ring3应用层绕过杀毒软件的查杀以及主动防御，就是进入ringO内核层修复系统。目前主要有几种方式，探测主防行为规则缺陷、逆向杀毒软件模块查找漏洞、利用系统或者第三方软件漏洞。1）探测行为规则缺陷：以下是一个木马的执行过程，每执行部分代码，就会输出一段调试信息，如果某些代码执行的过程中，触发了主动防御规则，瑞星2010主动防御就会提示、如图：经过测试，发现在创建服务，写注册表关键位置，如：run、runonce、runservice、HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost下的键值会被主动防御警告阻止。同时在往系统关键目录写、修改文件也会被报，如：windows、system32、drivers、系统启动目录等位置。以注册表为例子，是不是被监控过滤的键值就不能写入了呢？或者在应用层就没办法写入了呢？微软在对注册表的管理操作上，给我们提供了几种方式，一种是界面的regedit.exe、或者regedt32.exe，一种是提供了API函数接口操作注册表，还有一种是命令行的reg.exe。但是并不知道有没有对这块完整的过滤，经过测试发现，使用regedit.exe将需要修改的内容导入到注册表，不会触发瑞星2010主动防御机制。从中我们可以得出结论，瑞星主动防御的默认规则并不是很完善的，其他杀毒软件的也类似。关键代码如图：charni_Reg&ata[2Ji48]={'Xfi-};DUORDnRet;wsprintf(m_Reg^ata."WindowsRegistryEditorUersion5.&9\r\n\[HKEV_L0CAL_MACHINE\\SVSHANDLEnFileHanJle;mFileHandle=CreateFile(lpRegNanie,GENERICWRITE,FILESHAREWRITE,NULL,CREATEALWAYS,FiF(mFileHandle==INUfiLID_HANDLE_UfiLUE)returnfalse；WriteFile(mFileHanrneRegiJata,lstrlen(pReg^ata)，&nRet,fl)；ClcseHandle(!i)FileHandle);delete]]pHexPath；TCHARstrShellPath[MAXPfiTH]={«}；TCHARshellC!Hd[_MAX_PATH]；GetWindawsDirectory(strShellPath,MAXPfiTH).；lstrcat(strShellPath^'Wregedit.exe");wsprintf(shellCrit?,_T("\/sl&s").IpFtegNamE?)；ShellExecute(NULL,NULL,strShe