EVA的回收站

评所谓的“主动防御软件”

关键词： 主动防御    行为检测                                          

真是好久没更新Blog了-_- 发一个我在EST论坛的回帖(第48楼)

原贴位置：http://forum.eviloctal.com/read-htm-tid-15522.html

   

    所谓的主动防御技术，目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题，但是，应用主动防御之后，仍然是杀毒软件在明，病毒/木马在暗。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件，然后慢慢研究，不用费多少时间，无法“主动防御”的病毒/木马就会诞生。所以，说主动防御能解决AV软件杀毒能力滞后的问题，只是一种炒作。据我所知，主动防御或行为检测的概念，在DOS时代就有了，只是没有明确提出来而已。国内的AV要么是买国外的引擎（以至于没有版权，不能深入开发，甚至不能修正bug），要么烂得可以。只好搞点“新概念”吸引眼球，特别是在市场已经被瓜分完毕，新的AV想分杯羹的情况。我前段时间见到一个据说是国内最早(比江民早)搞AV的人，在他看来，国内的查杀毒技术，10几年来就没有大的进步，搞来搞去就那一套。

    主动防御依赖于行为检测，即所谓的“病毒行为动作特征库”。显然，这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为，正常与否取决于注册表键值，没有一劳永逸的办法，只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns，它们能列出系统中各种能实现自启动的地方，尤其是注册表特别多。随版本的升级，自启动项还在不多增加。再比如，我在《深入挖掘Windows脚本技术》中提到的WMI永久事件，这也是自启动，不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的，再举个极端的例子，ACPI是可编程的，仍然写在注册表中(HKEY_LOCAL_MACHINE\HARDWARE\ACPI)，有AV想到了吗？还有，写个dll取名和系统常用dll一样，导出的函数也一样，放在WINNT目录，当explorer.exe启动时，先加载的是这个Trojan Dll。有AV管这个吗？仅仅一个自启动，行为就层出不穷，再来个文件感染行为呢？

    如果说，从病毒特征值检测到行为检测，一定程度上减少了“特征库”更新的频率，这是个进步。那么另一方面，误报率恐怕反而会增加。仔细想想就会知道，“擦边球”实在太多了。比如金山词霸（消息钩子、远程线程），Serv-U（安装服务），SoftIce和VMWare（安装驱动），BT和eMule（修改防火墙规则）等等。当然，AV会采取加权方式，只有行为的权值累积到某个阈值才报警。再复杂点的算法是把行为分组，一些普通的行为连贯起来就有了权值。这类方案算不上创新，任谁来设计都能想到。且不论该方案本身的复杂度，即使实现了，离“智能”还差得远着呢。当行为检测碰上QQ——自启动、安装驱动、监听端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告，这么多“恶意行为”集中在一个程序里，是木马吗？？我开发安全产品的经验告诉我，控制粒度越精细，例外越多。QQ特例处理了，MSN呢？Skype呢？3721算不算木马？yahoo助手、网易泡泡，IE插件何其多。假设AV记录某个程序的各种行为，列成一张表，隐去文件名等信息后，交给“专家”来判断，能确定该程序是否木马吗？我看难说得很。人做不了的事，程序更搞不定了。

    最后，我统计了一下我的电脑（刚安装不久）上Program File下的30个软件，一半以上具有至少一个“恶意行为”，1/3具有两个或两个以上“恶意行为”。从概率上说，全世界有1/3的程序可能被拦截并提示用户，行为拦截机制多数情况在制造麻烦。要知道，多数AV用户是不熟悉计算机的，别指望拦截行为后给出提示，交给用户判断，就能“明辨是非”。而且，不是由用户自己装的就一定是正常的软件，也许是文件捆绑、伪装、欺骗用户执行，或者漏洞溢出执行，或者黑客入侵并像正常用户一般执行程序。当然，这种问题稍稍超出主动防御的范畴了。

    总之，我认为目前的主动防御技术，仅仅是原有技术的补充（很多AV已经这么做了），再往多的说就是炒作了。

【作者: zzzevazzz】【访问统计:】【2006年04月25日 星期二 11:28】【注册】【打印】