【IT168 专稿】昨天朋友送了一张正版诺顿2008网络安全特警的光盘,其实本人还是比较喜欢国产的杀毒软件,有这样的原因,本土产的杀毒软件对本土的病毒查杀性能更好一些。对于诺顿网络安全特警看他的介绍似乎也不错,不过还是喜欢亲手测试一下。首先对木马查杀的评测。从网上下载了十几个木马,备份了下系统,开始评测。
对于诺顿网络安全特警有这样的介绍:SONAR智能型双向防火墙会在应用程序尝试向外通讯时,执行SONAR主动式行为监测,提供业界领先、不依赖封锁清单来监测新威胁的安全性。似乎和其他的杀毒软件的主动防御是一样的,具有行为检测的能力。
首先用曾经肆虐网络的灰鸽子(黑防的版本,这个在搜索引擎里搜索出来的结果最多),国产杀毒软件,金山,瑞星对于这款木马有已经有几十处特征码,例如瑞星,文件查杀就达到了30几处特征码,内存特征也将十几处之多,这样多的特征可以说让木马从成品上变种具有了一定的困难,主动防御特征也在5处以上了。
网络安全特警2008安装完毕后,升级之后打开所有防御界面如下:(图1)
图1
之后对生成的灰鸽子黑防专版进行特征码定位。图2
图2
最终定位结果如下:
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\Server.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A15DE_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[----------------M---------------------------------]
用OD载入后特征码在下面的红色一行:
004A21DA BD db BD
004A21DB . B1 D3 mov cl, 0D3
004A21DD . C3 retn
004A21DE BB db BB
004A21DF A7 db A7
004A21E0 A3 db A3
004A21E1 A1 db A1
004A21E2 00 db 00
004A21E3 00 db 00
004A21E4 00 db 00
转换成反汇编代码如下:
004A21DA BD B1D3C3BB mov ebp, BBC3D3B1
004A21DF A7 cmps dword ptr [esi], dword ptr es:[e>
004A21E0 A3 A1000000 mov dword ptr [A1], eax
只要修改一下地址004A21DA就可以了,由于向下没有数据,所以整个向下移动一个地址如下
004A21DA 00BD B1D3C3BB add byte ptr [ebp+BBC3D3B1], bh
004A21E0 A7 cmps dword ptr [esi], dword ptr es:[e>
004A21E1 A3 A1000000 mov dword ptr [A1], eax
弄诺顿扫描一下,文件查杀已经躲过。(图3)
图3
我们把诺顿网络安全特警的所有选项全部打开监控,运行鸽子的服务端。并且看一下更新日期为2008-3-18
图4
图5
运行刚刚修改完特征的木马服务端。
图6
灰鸽子成功上线,诺顿没有任何的反应!!再来运行快速扫描来看看
图7
图8
抓了一张图,看看运行中的灰鸽子,和同时进行扫描的。没有扫描出任何东西。再看看自定义扫描里面。
图9
也仍然是文件查杀,而我们已经将文件查杀的特张码改掉了,所以文件查杀也不会有什么作用。本想测试一下诺顿的行为杀毒能力,貌似这个功能很概念,所有监控全开的情况下根本没有任何反应。诺顿的所谓SONAR智能型双向防火墙更是无任何反应,对于国内用户来说,似乎这样的杀毒软件不够满意。
总结这第一个国内比较猖獗的木马来看,属于注入进程,反向连接的木马,也是目前非常普通的木马,趋近于落后的木马,至少新款的木马都已经向对付微点,卡巴注定防御的方向发展了,而诺顿连注入进程和写入注册表都无提示。再看它的防火墙和普通防火墙无异,对于反向连接几乎无提示。并且我们看到在灰鸽子身上只取了一处特征码,而且特征的部位也十分容易修改,并不像NOD32那样把特征码在输入表函数这样的地方下功夫。总之对于国产的这个木马的评测不是很满意。
下面找了两款国外的木马,是不是,对于国外的木马查杀更强一些呢?
先来看看一个意大利的木马SpyOne V1.0.2,这个木马功能也很强大,
图10
先来配置一个服务端,
图11
默认的设置,点BUILD,就生成了一个。扫描一下,很出乎意料,没有杀,直接生成的就没有被杀掉。不过这个木马的确用的人十分的少,但是也不至于这样,来http://www.virustotal.com来检测一下,这个是病毒样本提交的一个网站,有30几家杀毒软件在线查杀样本,结果如下:
图12
红框部分是赛门铁克的检测结果,也就是网络安全特警2008的病毒库检测结果,和电脑里装的检测结果一样,没有检测出来,当然我们看世界32家杀毒软件公司,结果是有23家检测出来的。
运行一下,诺顿依然没有任何反应。成功上线!
图13
可见所谓的行为检测令人怀疑。
再来测试另一款国外比较著名的木马:Poison Ivy 2.3.2
图14
配置生成一个服务端,这个扫描出来报毒。定位一下特征。
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\ssssss.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000081B_00000002
特征码分布示意图:
[--------------------------------------------------]
[-------------M------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
转换成内存地址如下:
00400817 . 57 push edi
00400818 > 6A 01 push 1
0040081A . 57 push edi
0040081B FF75 FC push dword ptr [ebp-4]
0040081E . 6A 00 push 0
00400820 . 56 push esi
00400821 . FF96 E5000000 call dword ptr [esi+E5]
红色部分为特征码所在地址。
修改后如下:
00400817 . 57 push edi
00400818 > 6A 01 push 1
0040081A . 57 push edi
0040081B 8F45 FC pop dword ptr [ebp-4]
0040081E . 6A 00 push 0
00400820 . 56 push esi
00400821 . FF96 E5000000 call dword ptr [esi+E5]
仍然在诺顿所有监控全开的情况下,运行文件。这防火墙没有任何提示,而且,木马已经上线了。
图15
扫描系统的时候,结果没有扫出任何风险。
图16
看来诺顿网络安全特警2008所谓的主动行为检测是形同虚设,我想问,你的主动防御是用来防御什么的?所谓的防火墙在这三款木马运行的时候都是没有任何提示的,大门是敞开的。
再来看一下这句介绍:核心模式的Rootkit防护,能够抵挡那些使用Rootkit来常驻在操作系统最深层、以企图逃避安全软件监测的隐藏威胁。
当然没有找到合适的ROOTKIT来测试,可是我想问,连这种目前比较相对落后的木马的检测都不具备一定的强度,还谈ROOTKIT检测,特征也不过取了一处,这个很容易让木马产生变种。由于最近比较忙,所以最后来测试一个具有ROOTKIT功能,隐藏进程和端口的国产木马PCSHARE。这款远程控制木马有三个文件需要特征定位。
图17
我们来分别定位一下,
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcInit.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00001E63_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------------------------M------------]
00404063
00404060 2E: prefix cs:
00404061 64:6C ins byte ptr es:[edi], dx
00404063 0000 add byte ptr [eax], al
00404065 6C ins byte ptr es:[edi], dx
00404066 0000 add byte ptr [eax], al
00404068 5C pop esp
00404069 0000 add byte ptr [eax], al
红色部分是修改后的,就是上下两行调换。
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcMain.dll
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00010334_00000003 10012134
[特征] 00010466_00000004 10012266
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------MM-----------------------------]
这个DLL文件的修改直接加了一个壳,修改了下壳头。就过了,也很简单。
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcHide.sys
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000074C_00000002 0001074C
特征码分布示意图:
[--------------------------------------------------]
[-----------------------------------M--------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
这个用C32ASM修改了下反汇编代码,把AND改为XOR。
修改后保存,生成一个服务端,诺顿全开,运行时依然没有反应。
图18
并且用控制端查看了下服务端开放的端口,连接,PCSHARE默认连接端口是3030,我们看到3030端口开放,但是看不到连接的IP,可见ROOTKIT生效。我们在扫描下,看是否可以扫描出这个ROOTKIT。
图19
结果,什么也没扫出来,所谓反ROOTKIT功能多么多么强大。结果还是令人沮丧。
说到这里,应该总结一下,对于这个国外的杀毒软件,似乎不是很强大,所谓的主动行为检测,似乎根本没有作用,不要说是我没开这个功能,所有的功能全部打开病毒库也是最新的,如果你很怀疑这个评测,最好的办法是按照文章所说的自己亲手做一次。
在眼花缭乱的杀毒软件市场中找到一个属于自己的,适合自己的才重要。起码说,我觉得国外的杀毒软件似乎不太适合国人使用,就像国外的一些门户社区很难走入国内的市场。因为它不了解本土的文化,在熊猫烧香泛滥成灾的时候,我想还是国产的杀毒软件最先抵制的病毒的蔓延。当然诺顿对于杀毒软件技术方面似乎还落后于一些其他的杀毒软件。
