返回
接招(一)——举例谈架构的穿透和反穿透

接招(一)——举例谈架构的穿透和反穿透

ID:27715807

大小:244.00 KB

页数:4页

时间:2018-12-05

接招(一)——举例谈架构的穿透和反穿透_第1页
接招(一)——举例谈架构的穿透和反穿透_第2页
接招(一)——举例谈架构的穿透和反穿透_第3页
接招(一)——举例谈架构的穿透和反穿透_第4页
资源描述:

《接招(一)——举例谈架构的穿透和反穿透》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、接招(一)——举例谈架构的穿透和反穿透接招(一)——举例谈架构的穿透和反穿透安天实验室文档信息作者Seak发布日期背景介绍病毒不仅挑战反病毒引擎的归一化模型,当然更挑战安全产品的设计架构。本文通过案例,举例谈架构的穿透和反穿透。版权说明本文版权属于安天实验室所有。本着开放共同进步的原则,允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接,并保证文章完整性。以商业用途使用本文的,请联系安天实验室另做授权。联系邮箱:resource@antiy.cn。©安天实验室版权所有第1页/共4页接招(一)——举例谈架构的穿透和反穿透接招(一)——举例谈架构的穿透和反穿透Sea

2、k病毒不仅挑战反病毒引擎的归一化模型,当然更挑战安全产品的设计架构。这种挑战可能是全面的,也可能是局部的,甚至冲击的只是用户感受,但我们能否观其于乱军之中,而斩其首级于顷刻之间呢?一、让我们看这样一个案例1.1系统表象:用户访问一个恶意网址后,一个名为xxxxx.exe恶意程序被注入执行,执行后%windirSystem32目录下产生三个文件,之后xxxxx.exe消失。dlmon.dll bzlw9.dll DLMain.dll他们非常狡猾,取了系统文件的修改日期。1.2木马防线表象:安天盾反复报警c:downloadsvirusudlmon.dll发现Troja

3、n-Downloader.Win32.Agent.ue,注册后显示清除成功。重新启动后依然如故。这其中的四个样本,木马防线扫描程序均能扫描检测并查杀。文件名大小壳病毒名xxxxx.exe29,696NSAntiTrojan-Downloader.Win32.Agent.ue DLMon.dll28,672无Trojan-Downloader.Win32.Agent.ue DLMain.dll53,248无Trojan-Downloader.Win32.Agent.ue Bzlw9.dll14,336NSAntiRootkit.Win32.Vanti.e但如果不进行扫描检测,

4、只依靠安天盾的话,就会出现上述情况。1.3对此事,我们有几种思考问题的方式呢?方式一:我们几个木马都能检测到,用户没有成功处理,是因为用户没有进行全盘扫描,和我们没有关系。方式二:monitor不能单独解决问题,给用户带来了骚扰,应该予以解决。这两个思路那个是正确的呢?不同部门其实应该有不同考虑:研发:这是一个问题,需要解决。正确!!!技服:在接到用户询问类似问题时询问用户是否进行了全盘扫描,并建议用户进行全盘扫描。正确!!CERT:明确分析问题的成因。正确!! 那么,我就先在这里冒充一下CERT吧!©安天实验室版权所有第1页/共4页接招(一)——举例谈架构的穿透和反穿透既

5、然这四个文件都是能够检测的,为什么monitor出现查而复来的情况呢?其实很简单,这个木马的设计思路如下:DLMain.dll是以服务形态被加载的。WindowsRegistryEditorVersion5.00[HKEY_CLASSES_ROOTCLSID{590498A3-4131-4D8F-BA4B-36791A0803B1}InprocServer32]@="C:\WINDOWS\system32\DLMain.dll""ThreadingModel"="Apartment"这个服务的作用是运行后产生DLMon.dll,而这个服务在完成这项工作后,即告停

6、止。 DLMon.dll是一个注入explorer的木马。也就是说,负责产生DLMon.dll的DLMain.dll是一项启动类型为自动,状态为停止的服务,常态下在内存中是不存在的。而我们的监控机理是内存遍历,DLMain.dll当然不可能被进程检查遍历到。 那么,我们为什么采用内存遍历检查机制进行监控呢?这要从2003年说起,由于当时 AntiyGhostbusters用户多数已经安装了反病毒产品,两个阻塞式的filemon共存,会严重降 低系统效率。但是,由于我们的设计思想是高速、共存、兼容,在2003年,我们去掉了其 中的阻塞式的filemon,转而改为进程监控。同时

7、,由于安天盾是随登陆加载,显然DLMain.dll加载在前,待到安天盾加载的时候, DLMain.dll已经完成工作,只能查到DLMon.dll了。问题已经形成,那么程序经理们该如何考虑呢?该如何看待这种归一化穿透呢?Xxxxx.exe下载执行衍生文件产生衍生文件执行服务执行衍生DLMON执行无filemon无filemon无filemon无抢前启动站在传统反病毒的角度,我们会形成这样的认识。那么,我们是否需要更改monitor的机制并增加抢前启动呢?我们需要考虑的是,归一化模型的修补需要考虑各种因素。1.归一化模

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。