【IT168 专稿】年底,众多杀毒软件推新产品的时候,作为国际大厂赛门铁克的诺顿杀毒产品一直是众多网友所关注的。今天笔者无意中在PCHOME的网站上看到了传说中的诺顿2008(下载地址:http://download.pchome.net/utility/antivirus/norton/6837.html),马上下载下来,刚好这几天原来用的杀毒软件由于没有续费不能使用了,于是决定亲身体验诺顿2008,尝尝新鲜。
安装运行之后,首先映入眼帘的是诺顿2008的界面。看看它的界面(如下图1),说真的第一印象还真不错!
图1
从界面中显示的功能看,诺顿2008防护功能较为全面,各个方面的防护都有,还可以联机,看样子在SOHO等小型办公网络里应用的话应该很不错的。笔者体现了诺顿2008的各项功能之后,还是比较满意的。笔者是一名网络安全爱好者,平时对所谓免杀的木马和病毒有一定的了解,不知道诺顿对免杀的木马和病毒的查杀的力度如何?带着这些疑问,笔者对诺顿进行了以下的测试。
一、不能发现变异后的木马
现在安全事件频出的根本原因往往是受到利益驱使。这直接导致了木马满天飞,众多网站都成了一些小黑的放“马”场。因此,杀毒软件对木马及其变种的查杀能力则成为衡量一款产品优劣的重要指标之一。
被杀毒软件盯上的“灰鸽子”是最好的实验样本。笔者利用百度,搜索后,将“灰鸽子”样本下载到了本地电脑上。
解压后,在鸽子的目录CACHE里面有鸽子生成服务端之前的原始文件,我下的时候诺顿直接杀掉了,先把它的防护关掉。生成一个鸽子的服务端,用诺顿扫描一下,被送进了隔离区,如图2
图2
把它还原回来,就用这个生成的服务端来测试下诺顿扫马的力度。看见了吧,可以使用安全历史记录随时恢复。
可见,诺顿2008对已经形成特征的木马程序识别没有任何问题。
地球人都知道木马、病毒变异的速度比“小强”的生殖能力强很多,所以一个杀毒软件仅能对已知木马查杀根本不能帮助用户应对如此复杂多变的互联网安全威胁。
木马特征码的更改已经完全傻瓜话了,只具备一定攻防技能的人,随便用个工具就可以对木马特征码进行修改。说真的这些可以直接改“马”的工具应该被封杀。然而事实并非如此,先不提是否封杀问题了,还是在体验一下诺顿2008查杀变异木马的能力。
MASKPE2.0这个改马工具在网络上一搜索,一大群等着你。笔者在这款软件当年刚刚出现的时候,用它做到实验,几乎过了所有杀毒软件。
直接载入服务端,我下的是个英文的版本,界面如如图3
图3
有一些选项,LOAD FILE是载入文件,直接点“MAKE FILE”生成一个,保存,测试了一下,鸽子能够上线,也就是它生成的这个东西可以运行,如图4
图4
现在我们用诺顿扫描下生成的这个文件,看下结果,如图5
图5
其中 附件 DF 这个文件是刚才用MASKPE生成的,扫描一下,看到了结果是“未找到病毒”,很是惊讶。病毒库是最新的2007-11-14的,看下图6
图6
防护更新在2007-11-14,开始以为病毒库不是最新的,在这个方面诺顿不是很出色。想知道MASKPE的原理可以看看内存映象方面的资料。从以上的实际使用过程中,我们可以看出诺顿对一些流行木马改造工具的查杀力度不够。这个是第一个测试。
二、对加壳进行简单改壳让诺顿2008成为近视
很多病毒编写者都采用“加壳”技术将病毒程序隐藏起来。杀毒软件若要成为火眼金睛,需要有较强的脱壳能力。
我们这次适用体验,仅采用了一些简单的加壳技术进行测试,如UPX,ASPACK,NSPACK这样的压缩壳。
重新生成一个鸽子的服务端,随便找了个UPX的压缩工具,这个版本是相当的多,无论什么样子,大同小异,我用下面的这个版本压缩了下,如图7
图7
结果,加壳后的鸽子服务端被杀了,如图8。
图8
不过这点并不能说明一款杀毒软件拥有多么高深的脱壳技术,因为像UPX加工后的“壳”,如果还杀不了,那就太说不过去了。
目前很多木马、病毒编写者为了免杀,不仅采用加壳技术,同时还对其进行变形。下面就来看看诺顿对简单的壳变形查杀的粒度怎么样,壳变形的方法很多,有现成的工具直接变形,我直接用OD手工简单的改一下看看,OD载入,我们会看到这个很熟悉的一端开头反汇编代码:
004C6310 > 60 pushad
004C6311 BE 00F04700 mov esi, 0047F000
004C6316 8DBE 0020F8FF lea edi, dword ptr [esi+FFF82000]
004C631C C787 C4200A00>mov dword ptr [edi+A20C4], 67124118
004C6326 57 push edi
004C6327 83CD FF or ebp, FFFFFFFF
004C632A EB 0E jmp short 004C633A
004C632C 90 nop
004C632D 90 nop
004C632E 90 nop
004C632F 90 nop
004C6330 8A06 mov al, byte ptr [esi]
004C6332 46 inc esi
004C6333 8807 mov byte ptr [edi], al
一般改的时候,看看下面四个NOP
004C632C 90 nop
004C632D 90 nop
004C632E 90 nop
004C632F 90 nop
通常是把JMP,改成几个条件跳转,之后复合在一起就是绝对跳转了,可以达到骗过杀软的目的,我尝试改了一下,没有成功,看来这样的改法太习以为常了,之后我又把代码下移,被杀,移动不甚运行出错,不过向下移动的时候把第一行pushad抛开,虽然运行出错了,但是不被杀了,突然间直接把PUSHAD的机器码60用90替换就OK了应该,替换后如下
004C6310 > 90 nop
004C6311 BE 00F04700 mov esi, 0047F000
004C6316 8DBE 0020F8FF lea edi, dword ptr [esi+FFF82000]
004C631C C787 C4200A00>mov dword ptr [edi+A20C4], 67124118
004C6326 57 push edi
004C6327 83CD FF or ebp, FFFFFFFF
004C632A EB 0E jmp short 004C633A
红色的就是修改的,直接保存。扫描一下。保存为11111111111.exe,扫描结果如图9
图9
我又晕了,直接改掉一个指令,诺顿就不杀了。运行,成功上线。看来对于壳变形诺顿的查杀也不是很强。当然这里没有改其它的,UPX的这么简单改就过去了,其他的可想而知。
三、对复合加壳木马视而不见
我们用掘北压缩 0.28和北斗压缩3.6测试下,这个组合当年也敌对过好一阵各大杀软,当时没测试过诺顿,今天有兴趣测试一下,掘北压缩 0.28和北斗3.6的界面如我复合抓了一个小图,如图13
图13
加壳过程不说了,很简单,我测试先加哪个都无所谓,诺顿都不杀。结果不再截图。
看来对于这样简单的复合壳,诺顿对其的查杀力度也很弱。到此,我有点感叹,但是测试还要继续。还有很多种情况也来看看。
四、加密后的木马也可蒙混过关
看看对vmprotect这个的查杀力度怎么样,在WWW.UNPACK.CN下了一个vmprotect1.24,现在新的版本应该是1.55,1.24算是一个比较老的了,用vmprotect载入新生成的服务端,如下图10
图10
选择右边DUMP选项卡,之后加密过程如本想找个汉化版的,但是一时没找到,看如图11
图11
对复件 Server.exe执行加密会生成一个 复件 Server.vmp.exe,扫描一下,结果如下图12
图12
HOHO,直接用VMP加个密,诺顿检测不出来,这个VMP的版本也不算新了。VMP加密上线是成功的。
五、对一些比较小的不常见的加密壳的测试
在一些论坛,例如,看雪,一蓑烟雨等论坛可以收集一些体积比较小的壳,也很出色的壳,一般小黑们也拿它们来做木马免杀,例如mpack,spack,npack, GHF Protector,Rcryptor, CRYPToCRACK's PE Protector等等有很多。看一下这些小小的迷你的加密器,如图14
图14
笔者采用上述软件对鸽子服务端逐一实验加密。这些单独加密程序都被卡巴斯基、瑞星、金山等杀毒软件下所绞杀。
而试用诺顿2008时,其结果却让我们大跌眼镜——
spack加密后杀掉;
mpack加密后杀掉;
GHF Protector加密被杀;
Rcryptor加密后不杀;
CRYPToCRACK's PE Protector加密后不杀;
NPACK加密后不杀。
一共测试了6个小的加密壳木马,三个杀,三个不杀。结果如此,不知道是赛门铁克不屑于收集这些小加壳的信息呢,还是对整个加壳程序重视程度不够,收集不全?然而无论何种原因,给用户带来的结果却是,用户电脑防范安全威胁力度不可能做到到位。
六、对于特征定位应付强度的测试
小黑们经常喜欢用特征码定位器之类的工具对木马进行再加工。不过这一工具的效果正在丧失,因为众多杀软在这方面的查杀能力越来越强了。由于这种手法还是比较流行的,所以我们在利用这种方法,体会一下诺顿2008在这方面的查杀能力。
首先定位特征。我们这次选用的是MYCLL复合特征码定位器 V1.1来进行测试。选用MYCLL复合特征码定位器 V1.1最主要的原因是这款软件在网络上随处可以下,使用范围广。安装后,我们打开MYCLL复合特征码定位器 V1.1的界面,如图15
图15
用MYCLL打开要定位的刚生成的鸽子服务端,然后在分块那写100,点生成,会在MYCLL的目录下的OUTPUT目录下生成100个文件,使用诺顿扫描这个文件夹,如下图16
图16
之后自动删除掉查出的文件,扫描后点二次处理,会继续生成,继续扫描,操作都是重复的,最后当诺顿查不出时会在右面有个特征区间,在上面右键继续定位,如图17
图17
点复合定位此处特征,直到把单位长度缩小到2为止。得到的结果如
特征码 物理地址/物理长度 如下:
[特征] 000A15DE_00000003
这个的单位长度是3,也可以的,接着用OC转换下地址,OC如下图18
图18
把000A15DE转换成004A21DE,之后用OD载入服务端,跳转到004A21DE,如下的代码:
004A21D8 D6 db D6
004A21D9 D0 db D0
004A21DA BD db BD
004A21DB . B1 D3 mov cl, 0D3
004A21DD . C3 retn
004A21DE BB A7A3A100 mov ebx, 0A1A3A7
004A21E3 0000 add byte ptr [eax], al
004A21E5 00 db 00
004A21E6 00 db 00
004A21E7 00 db 00
红色部分为004A21DE处的代码,我们把这个向下移动一下,下面全部是空白数据,原则上没什么影响,移动后如
004A21D8 D6 db D6
004A21D9 D0 db D0
004A21DA BD db BD
004A21DB . B1 D3 mov cl, 0D3
004A21DD . C3 retn
004A21DE 90 nop
004A21DF BB A7A3A100 mov ebx, 0A1A3A7
004A21E4 0000 add byte ptr [eax], al
004A21E6 00 db 00
004A21E7 00 db 00
红色部分为修改后的,保存文件,用诺顿扫描,结果如图19
图19
寒啊,被其他杀软杀烂了黑防鸽子,在我们定位的过程可以看出,只取了一处特征码,经过我测试修改并无难度,直接NOP掉都是OK 的,测试保存后的文件,如图20
图20
看到鸽子成功上线了。
总结
到这里,笔者对诺顿2008的功能适用暂告结束。本次笔者在适用过程中使用的零碎手法,各位网友若有兴趣也可以按照上述方法进行测试一下。坦白地讲,笔者的手法很难入高手的眼。即便如此,诺顿2008此次表现真的出乎我的意外,同时也让我很失望。作为国际知名杀毒软件供应商,能否在杀毒机制上进一步提升自我呢?
当然,笔者不否认仅仅用“鸽子”做试用体验,其结果只是反映出性能的一个方面。然而在“鸽子”的发源地,其普遍性毋庸置疑,连最基本的木马变种都不能抵御的话,其表现与其国际大厂的身份实难相符。
