打印

[原创]高级恶意软件技术新挑战——突破主动防御

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 317
精华: 20
积分: 5853
阅读权限: 200
性别: 男
在线时间: 91 小时
注册时间: 2005-1-17
最后登录: 2008-4-21

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

楼主大中小发表于 2007-11-4 17:52 只看该作者

[原创]高级恶意软件技术新挑战——突破主动防御

文章作者：xyzreg
作者网站：http://www.xyzreg.net
信息来源：邪恶八进制信息安全团队（forum.eviloctal.com）

这是今年我在XCON2007（安全焦点信息安全技术峰会）所演讲的议题，现在提供ppt资料下载

地址： http://www.xyzreg.net/down/xcon2007_xyzreg.rar

议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用，现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高，初次安装以及工作时都会被主动防御功能拦截并提示用户，使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理，并深入Windows系统内核详细讲解突破主动防御的各种方法和思路。

附件

xcon2007_xyzreg.rar (779 KB): 2007-11-4 17:52, 下载次数: 2072

http://www.xyzreg.net

TOP

andds

晶莹剔透§烈日灼然

Rank: 1

帖子: 8
精华: 0
积分: 30
阅读权限: 40
在线时间: 8 小时
注册时间: 2007-4-24
最后登录: 2008-1-30

发短消息
加为好友
当前离线

沙发大中小发表于 2007-11-4 18:30 只看该作者

坦白讲,从发展趋势看,恶意软件的生存空间将会越来越小.
网络只会越来越安全.

TOP

dayang1718

晶莹剔透§烈日灼然

Rank: 1

帖子: 75
精华: 0
积分: 256
阅读权限: 40
性别: 男
来自: shandong
在线时间: 76 小时
注册时间: 2006-10-7
最后登录: 2008-5-13

发短消息
加为好友
当前离线

椅子大中小发表于 2007-11-4 21:34 只看该作者

我就想知道，现在杀软对URLDOWNLOADTOFILE这个函数进行查杀了，怎么解决呢？

love hack

TOP

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 317
精华: 20
积分: 5853
阅读权限: 200
性别: 男
在线时间: 91 小时
注册时间: 2005-1-17
最后登录: 2008-4-21

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

板凳大中小发表于 2007-11-4 22:08 只看该作者

引用:

引用第3楼dayang1718于2007-11-04 21:34发表的 :
我就想知道，现在杀软对URLDOWNLOADTOFILE这个函数进行查杀了，怎么解决呢？

动态调用，UrlDownloadToFile在GetProcAddress之前加密~ 再不行就用WININET函数替代，或者用winsocket函数实现。

对付虚拟机式的启发式可以分析一下在虚拟启发式时和正常模式有什么不同，有些AV没虚拟某些指令。对于PELoader APIHOOK式的就更好对付了。

http://www.xyzreg.net

TOP

asm

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1557
精华: 30
积分: 8817
阅读权限: 150
性别: 男
在线时间: 944 小时
注册时间: 2006-9-21
最后登录: 2008-5-12

发短消息
加为好友
当前离线

地板大中小发表于 2007-11-4 23:47 只看该作者

　　最近遇到一个dll，虽然不是什么高深的技术，也让人头疼，他Inline - RelativeJump了很多函数，这种“Inline - RelativeJump”方式，xyzreg你怎么解决呢？　

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn

TOP

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 317
精华: 20
积分: 5853
阅读权限: 200
性别: 男
在线时间: 91 小时
注册时间: 2005-1-17
最后登录: 2008-4-21

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

6楼大中小发表于 2007-11-4 23:56 只看该作者

引用:

引用第5楼asm于2007-11-04 23:47发表的 :
　　最近遇到一个dll，虽然不是什么高深的技术，也让人头疼，他Inline - RelativeJump了很多函数，这种“Inline - RelativeJump”方式，xyzreg你怎么解决呢？　

? inline hook 嘛~

你想表达什么意思，是某安全软件的dll？恢复hook呗。

http://www.xyzreg.net

TOP

asm

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1557
精华: 30
积分: 8817
阅读权限: 150
性别: 男
在线时间: 944 小时
注册时间: 2006-9-21
最后登录: 2008-5-12

发短消息
加为好友
当前离线

7楼大中小发表于 2007-11-4 23:59 只看该作者

是恶意软件的dll。。。

恢复inline　hook？不会。。目前就会hook LoadLibraryA来监视。。

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn

TOP

grayfox

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 85
精华: 2
积分: 3309
阅读权限: 100
性别: 男
来自: CUIT
在线时间: 290 小时
注册时间: 2006-6-4
最后登录: 2008-5-10

发短消息
加为好友
当前离线

8楼大中小发表于 2007-11-5 20:33 只看该作者

怎么现在的下载者都是使用那个UrlDownloadToFile呢，奇怪了
我就是使用的WinInet，写了有好几十行。
但生成的程序在VC6下简单设置了一下编译选项后只有3.5K，很不错了

Welcome to My Blog : http://www.huihu32.cn 金麟岂是池中物，一遇风云便化龙！

TOP

yxyhack

晶莹剔透§烈日灼然

Rank: 1

帖子: 9
精华: 0
积分: 34
阅读权限: 40
性别: 男
在线时间: 11 小时
注册时间: 2007-10-25
最后登录: 2008-2-27

发短消息
加为好友
当前离线

9楼大中小发表于 2007-11-6 11:31 只看该作者

引用:

引用第1楼andds于2007-11-04 18:30发表的 :
坦白讲,从发展趋势看,恶意软件的生存空间将会越来越小.
网络只会越来越安全.

突破主动防御是现在很热门的话题，不过我不认为主动防御会让恶意软件没有生存空间，只能说现在主动防御稍稍占了上风而已。

TOP

g0ug0u

晶莹剔透§烈日灼然

Rank: 1

帖子: 34
精华: 0
积分: 119
阅读权限: 40
在线时间: 103 小时
注册时间: 2005-11-30
最后登录: 2008-4-13

发短消息
加为好友
当前离线

10楼 大中小发表于 2007-11-6 19:27 只看该作者

主动防御我觉得只是将导致恶意软件两级分化,一般人将很难写出破坏大的恶意软件,但对于掌握一些核心技术的牛牛们来说,无视.

TOP

asm

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 1557
精华: 30
积分: 8817
阅读权限: 150
性别: 男
在线时间: 944 小时
注册时间: 2006-9-21
最后登录: 2008-5-12

发短消息
加为好友
当前离线

11楼 大中小发表于 2007-11-6 20:27 只看该作者

引用:

引用第10楼g0ug0u于2007-11-06 19:27发表的 :
主动防御我觉得只是将导致恶意软件两级分化,一般人将很难写出破坏大的恶意软件,但对于掌握一些核心技术的牛牛们来说,无视.

言之有理，现在核心技术都被当成饭碗，因此不会被牛牛公布，就像有钱人越有钱，没钱人越没钱一样

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn

TOP

炫o逍遥o

晶莹剔透§烈日灼然

Rank: 1

帖子: 9
精华: 0
积分: 34
阅读权限: 40
性别: 男
来自: 四川
在线时间: 3 小时
注册时间: 2007-2-14
最后登录: 2008-1-30

发短消息
加为好友
当前离线

12楼 大中小发表于 2007-11-6 21:32 只看该作者

对付很多恶意软件,装个HIPS就够了..
所以,以后杀软的方向应该是想主动防御发展..
行为分析大概会取代靠特征码...

Ps:菜鸟观点...高手略过.

学习ing

TOP

ayarei

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 22
精华: 0
积分: 3064
阅读权限: 100
在线时间: 55 小时
注册时间: 2007-9-24
最后登录: 2008-5-8

发短消息
加为好友
当前离线

13楼 大中小发表于 2007-11-7 22:22 只看该作者

安全一直都是在平民化的，即使是写驱动这种页一样，很多人都已经开始SSDT Hook和恢复了。但是实际上很多东西只是掌握在少数人的手里而已。平时接触的时候细心一下很多东西就都了解了。

面对如此多的HIPS和杀毒软件，实际上bypass也是比较简单的事情，只是平常你有没发现罢了....

http://www.rootkitcn.com

TOP

7个b

晶莹剔透§烈日灼然

Rank: 1

帖子: 26
精华: 0
积分: 93
阅读权限: 40
在线时间: 13 小时
注册时间: 2007-9-24
最后登录: 2008-4-26

发短消息
加为好友
当前离线

14楼 大中小发表于 2007-11-8 12:56 只看该作者

引用:

引用第1楼andds于2007-11-04 18:30发表的 :
坦白讲,从发展趋势看,恶意软件的生存空间将会越来越小.
网络只会越来越安全.

我确实也很赞成你的说法.
随着利益的兴起,许多核心技术都与利益挂勾,而这些技术只会在少数人手里.
如今的网络,谁也不愿意公布自己的劳工成果.都把一些技术雪藏在背后,然后在地下买卖,技术得不到交流与沟通,也只会导致网络安全的不平衡对立...
无奈呀,这是一种趋势,未来的网络安全又会是怎么样呢?

TOP

81635631

晶莹剔透§烈日灼然

Rank: 1

帖子: 30
精华: 0
积分: 98
阅读权限: 40
性别: 男
在线时间: 32 小时
注册时间: 2007-4-13
最后登录: 2007-11-20

发短消息
加为好友
当前离线

15楼 大中小发表于 2007-11-9 10:01 只看该作者

主动防御是一个错误的方向

TOP

lyyzaz

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
性别: 男
来自: china
在线时间: 1 小时
注册时间: 2007-9-10
最后登录: 2008-4-18

发短消息
加为好友
当前离线

16楼 大中小发表于 2007-11-9 12:59 只看该作者

我没用防火墙和杀软，只做了网络监听和行为日志，然后每天筛选，手工的，但成果很好，我对主动防御的观点很明确，这是一个好办法，计算机不是只为会计算机的牛牛所用的，很多人都希望得到计算机的帮助，为什么要选择去破坏而不是去保护呢？所以，拼命的要让软件向应用层靠拢，要让老百姓靠拢，就是要两极化，这样才可以买钱，才有动力去创新，最终受益的还是大多数用计算机劳动的人，所以劳动者最光荣，只要珍惜别人的劳动成果，其他的没必要去很过分的争执

TOP

nianshao

晶莹剔透§烈日灼然

Rank: 1

帖子: 8
精华: 0
积分: 30
阅读权限: 40
性别: 男
在线时间: 6 小时
注册时间: 2007-3-3
最后登录: 2008-1-22

发短消息
加为好友
当前离线

17楼 大中小发表于 2007-11-10 21:58 只看该作者

引用:

引用第1楼andds于2007-11-04 18:30发表的 :
坦白讲,从发展趋势看,恶意软件的生存空间将会越来越小.
网络只会越来越安全.

未必是这样吧
难道主动防御的来临
木马就要消失

这是不现实的

恶意软件和木马的免杀隐藏程度会提高

攻防实在是对立的
没有谁完全把谁消灭掉的

TOP

205213

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 13
阅读权限: 40
性别: 男
在线时间: 0 小时
注册时间: 2007-8-4
最后登录: 2008-1-18

发短消息
加为好友
当前离线

18楼 大中小发表于 2007-12-11 16:39 只看该作者

主动防御能暂时阻止破坏

TOP

梦影

晶莹剔透§烈日灼然

Rank: 1

帖子: 2
精华: 0
积分: 9
阅读权限: 40
在线时间: 4 小时
注册时间: 2007-12-11
最后登录: 2008-4-18

发短消息
加为好友
当前离线

19楼 大中小发表于 2007-12-11 20:58 只看该作者

楼主的意思是说可以绕过所有的安全软件,包括SSM?

TOP

过客天涯

禁止发言

帖子: 1
精华: 0
积分: 6
阅读权限: 0
性别: 男
在线时间: 2 小时
注册时间: 2007-4-22
最后登录: 2008-3-27

发短消息
加为好友
当前离线

20楼 大中小发表于 2008-3-20 00:41 只看该作者

提示: 作者被禁止或删除内容自动屏蔽

TOP

小3

禁止发言

帖子: 1
精华: 0
积分: 6
阅读权限: 0
在线时间: 1 小时
注册时间: 2007-2-7
最后登录: 2008-3-30

发短消息
加为好友
当前离线

21楼 大中小发表于 2008-3-20 14:37 只看该作者

提示: 作者被禁止或删除内容自动屏蔽

TOP

lantion

晶莹剔透§烈日灼然

Rank: 1

帖子: 2
精华: 0
积分: 20
阅读权限: 40
性别: 男
在线时间: 9 小时
注册时间: 2007-6-26
最后登录: 2008-5-10

发短消息
加为好友
当前离线

22楼 大中小发表于 2008-5-3 13:57 只看该作者

主动防御已经是杀软发展的一个趋势了

主动防御是不是也是通过特征码来判断程序是否是病毒？
如果是，主动防御必然会被突破~~

TOP

末日逐沙

cd

晶莹剔透§烈日灼然

Rank: 1

帖子: 12
精华: 0
积分: 69
阅读权限: 40
性别: 男
来自: 广西
在线时间: 25 小时
注册时间: 2008-3-14
最后登录: 2008-5-13

发短消息
加为好友
当前离线

23楼 大中小发表于 2008-5-3 19:56 只看该作者

楼上的请认真看一下讲义，如果还是依靠特征码，那是以前的杀毒软件，现在的好像是依据函数的调用，不对的高手指导

TOP

sunwear

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 3746
精华: 70
积分: 18677
阅读权限: 200
性别: 男
来自: 天津
在线时间: 1604 小时
注册时间: 2004-8-16
最后登录: 2008-5-13

优秀管理奖原创技术奖核心建议奖资料收集奖

发短消息
加为好友
当前离线

24楼 大中小发表于 2008-5-4 09:28 只看该作者

引用:

原帖由 lantion 于 2008-5-3 13:57 发表
主动防御已经是杀软发展的一个趋势了

主动防御是不是也是通过特征码来判断程序是否是病毒？
如果是，主动防御必然会被突破~~

你连主动防御是什么都不知道就别瞎缠和了.

TOP

taiwansee

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 70
精华: 2
积分: 3238
阅读权限: 100
性别: 男
在线时间: 47 小时
注册时间: 2006-2-6
最后登录: 2008-5-5

发短消息
加为好友
当前离线

25楼 大中小发表于 2008-5-4 09:55 只看该作者

可以这么比喻吧：
特征码扫描好比通过看一个人的长相来识别人。
只要这个人往脸上多搞点化妆品，头发养长点，口红涂黑点，眉毛画细点。。。。。。。
就很有可能让特征码扫描认不出来。
而主动防御好比通过照X光来识别人，第一次照X光后，骨骼形状就被记录下来作为下次识别的依据。
这回，这个人还是往脸上多搞点化妆品，头发养长点，口红涂黑点，眉毛画细点。。。。。。。
但是，主动防御通过X光照射后，骨骼形状还是没变啊。。所以它还是能认出这个人来。
所以，要通过主动防御，其中一个办法就是修改“基因”，也就是程序作者创造出新思路，让生成的程序的“骨骼”形状完全不一样。。。

TOP