【IT168 厂商动态】杀毒软件的哪些构造可能存在可利用的漏洞?我们先来分析杀毒软件中存在漏洞的潜在机会。
杀毒软件不只要对抗病毒,还要能检测木马程序、间谍软件、具备反Rootkit能力,现代杀毒软件还要确保浏览器不被安装恶意插件、扫描你的邮箱中潜在的病毒、以及智能化地分析恶意软件的行为等。其中杀毒软件检测病毒的方式有两种常用手段:特征码识别和启发式识别。特征码识别的原理是检测病毒文件中某种恶意代码的存在,但这种检测方式很笨拙,病毒制作者在病毒程序中随意加入一些无关代码就能扰乱杀毒软件对齐识别的能力。并且不同语言、不同编译器、甚至32位和64位平台下编译出来的代码都不同,靠特征码识别只能亡羊补牢,先发现后补救。而这也是数十年前,电脑病毒甚是流行的原因之一。而启发式的识别则会在一个虚拟空间内检测病毒程序的行为,解剖病毒程序的结构,从而判定是否会对系统造成威胁。熊猫烧香病毒流行的时候,微点就做到了不升级病毒库就能查杀该病毒。
杀毒软件会提供“实时防护”,也就是当你打开程序、下载文件时,杀毒软件都会对当前操作的程序进行一次扫描,如果发现可以文件还可能进行一次启发式分析,当然这些都发生在从你双击程序到程序打开前的几秒空白时间里。短短几秒钟,从杀毒软件在后台默默运行的服务到正在被监视的explorer.exe进程,从双击操作的消息被转发到user32.dll,再从CreateProcess操作跳转到杀毒软件设下的SSDT HOOK中,再从鉴定病毒到删除、处理病毒程序,每个环节都涉及高权限的操作。进入内核态之后,无论是杀毒软件,还是系统代码、驱动程序,大家都在内核态中各自穿行,一点点的不稳定因素都可以导致蓝屏,内核态的代码被注入、篡改,都能导致丢掉整个系统的控制权。
杀毒软件所安装的驱动程序、内核钩子,所启动的服务、守护进程,都可以视作对原系统的修改。如果它们自身存在缺陷而被替换的系统组件固若金汤,那么安装了杀毒软件的系统反而更容易遭到入侵。
总结一下就是杀毒软件本身具备高权限,如果被病毒附体,那看门人就变成了大强盗。
就因为杀毒软件有这样自身弱点,所以更需要纽盾NDM产品在内网中辅助方能让客户内网固若金汤。
NDM网络异常检测器,是纽盾科技针对于网络设备管理、用户身份管理、地址管理、行为管理、事件管理和运维管理的综合网络管理系统。安全侦测基于统计学原理,实时分析网络用户通讯行为,将异常流量的用户及时隔离,防御异常用户的威胁在网络中传播和扩散,确保网络系统的稳定运转。使用标准协议或技术ARP、802.1q、TCP/IP、SNMP、Syslog、Sflow/Netflow….等,适用于任何网络环境。
纽盾网安始终认为,“三分技术,七分管理”,网络安全是靠“管”出来的。本身就漏洞而言,你永远不知道正在被利用、没有被公开的有多少,因为建立在软件上的绝对安全,是不存在的。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施,因此我们更加要注重管理方面所能采取的一切手段来阻挡外界病毒入侵。(文/魔都一枝花)(想了解更多请关注:微信号Newdon_China 微博:纽盾网安