從上圖不難發(fā)現(xiàn)�,江民KV09的靜態(tài)偵測(cè)率已經(jīng)達(dá)到了90%以上(藍(lán)色部分)�,再加上紅色部分通過主動(dòng)防御識(shí)別的部分,總偵測(cè)率達(dá)到了99.5%, 從而獲得了PCSL當(dāng)月頒出的五星獎(jiǎng)?wù)?����。而同為?guó)產(chǎn)殺毒軟件的費(fèi)爾(有誤報(bào)9個(gè))和毒霸(偵測(cè)率低)相比之下����,則要遜色一些�。
看到這張圖后,我對(duì)江民KV2009有效而又零誤報(bào)的主動(dòng)防御產(chǎn)生了濃厚的興趣����,覺得有必要好好研究一下。決定自己動(dòng)手測(cè)試一下看看PCSL對(duì)KV2009的評(píng)測(cè)是否名至實(shí)歸����。
首先,介紹一下我的測(cè)試環(huán)境:
硬件環(huán)境:
CPU: Intel Core 2 Duo E4500
Memory : Kingston DDR2 667 1G + 2G
Motherboard : Asus P5G-MX BIOS v0401
HDD : Seagate Barracuda 7200.9 160G
VGA : Intel GMA950
軟件環(huán)境:
Host OS為Windows Vista Ultimate SP1 簡(jiǎn)體中文版
應(yīng)為要實(shí)際測(cè)試病毒,因此采用了虛擬機(jī)�,而要測(cè)試主動(dòng)防御,必須讓病毒發(fā)作��,
因此對(duì)虛擬機(jī)內(nèi)的系統(tǒng)也采取了保護(hù)措施�。由于主要是主動(dòng)防御測(cè)試,因此采用了比較早的病毒庫(kù)(2008/10/14)����,沒有更新到最新病毒庫(kù)。
虛擬機(jī)的兩種配置如下:
1.使用Microsoft Virtual PC 2007虛擬Windows XP SP2簡(jiǎn)體中文版�,
分配8G硬盤空間,512MB內(nèi)存����。并用影子系統(tǒng)2008單一影子模式保護(hù)操作系統(tǒng)。如下圖:
2.使用VMWare Workstation 6.5虛擬Windows Vista Home Premium簡(jiǎn)體中文版�����,
分配16G硬盤空間�����,1G內(nèi)存�。并用Returnil保護(hù)操作系統(tǒng)���。如下圖:
那接下來就是選擇合適的樣本了,
樣本方面�����,我選擇了3個(gè)PCSL在其英文主站列出的malware list中的病毒��,
另外��,還選取了一個(gè)破壞力比較強(qiáng)的��,通過優(yōu)盤傳播的木馬�����。
其中���,這3個(gè)PCSL的樣本由于在11月份還是新病毒,因此絕大多數(shù)殺毒軟件還沒有入庫(kù)�。因此掃描是不會(huì)報(bào)毒的,這也為我們測(cè)試主動(dòng)防御提供了便利����。
當(dāng)然,這些病毒現(xiàn)在早已入庫(kù)了,在升級(jí)KV2009至最新病毒庫(kù)后�,這些樣本都被KV09正確識(shí)別并清除了。
以上圖中的PLAY-MOVIE.exe為例���,這是一個(gè)會(huì)釋放木馬文件的惡意軟件��,可以看到�����,病毒是在2008-10-31最終完成的����。
通過將病毒送到分析網(wǎng)站���,并通過其命名來回查入庫(kù)日期��,可以發(fā)現(xiàn)��,F(xiàn)-Secure 是在08-11-02 入庫(kù)的��,江民KV2009是在08-11-04入庫(kù)的�,而Sunbelt是在08-11-06入庫(kù)的�。
大家可以看到�,在病毒文件被病毒作者制作出來之后�����,到病毒文件的特征碼真正被添加到殺毒軟件的病毒之間����,有幾天的"真空期",在這幾天內(nèi)�,對(duì)于這些未知病毒,一般的基于特征碼掃描的殺毒軟件(on-demand scanner)是無能為力的���,
但是如果安全軟件帶有主動(dòng)防御���,能夠監(jiān)控病毒文件的高危行為,那么防住這些惡意軟件還是有機(jī)會(huì)的��。
下面就具體看看KV2009對(duì)于這些在當(dāng)時(shí)來說���,還是"未知病毒"的防御情況是怎樣的吧:這里值得一提的是,對(duì)于主動(dòng)防御的設(shè)置�����,是全部打開,監(jiān)控模式采用智能模式�����。而由于病毒基本都沒有入庫(kù)�����,因此監(jiān)控的開啟和關(guān)閉也就并不重要了�����。
先看一下之前提到的PLAY-MOVIE.exe�,運(yùn)行后,該文件做了很多動(dòng)作��,例如創(chuàng)建注冊(cè)表鍵和網(wǎng)絡(luò)連接��,這些都被KV2009的主動(dòng)防御發(fā)現(xiàn)�����,另外���,還釋放了若干個(gè)惡意文件�����,這些都被KV2009主防的FD(File Defence 文件防御) 監(jiān)控到���,而且四個(gè)盾牌也顯示這是一個(gè)高度可疑的高危文件了�。
顯然��,主動(dòng)防御能夠識(shí)別并幫助用戶阻止這個(gè)未知的木馬��。
再來看下一個(gè)惡意程序���,RPT.exe���。
這個(gè)程序運(yùn)行后,會(huì)啟動(dòng)IE�����,并上網(wǎng)去下載一個(gè)木馬程序到本地���。是一個(gè)典型的Trojan-Downloader的行為。這點(diǎn)也被KV的主動(dòng)防御抓住了��。如下圖:
再來看另外一個(gè)惡意軟件,IAInstall.exe��。
該程序運(yùn)行后����,會(huì)在注冊(cè)表創(chuàng)建一個(gè)鍵值,使得自己能夠開機(jī)自動(dòng)運(yùn)行�。(被KV09的RD – Registry Defence 注冊(cè)表防護(hù)偵測(cè)到), 并釋放file.exe和InternetAntivirsProtect.exe���,偽裝成殺毒軟件��。
通過下面在虛擬機(jī)中Windows XP和Windows Vista下的截圖���,可以更清晰的了解該病毒的行為:
再接下來,為了進(jìn)一步驗(yàn)證江民KV2009的主動(dòng)防御�����,同時(shí)測(cè)試監(jiān)控失效(被用戶誤操作關(guān)閉等)的情況下���,對(duì)病毒的防御�。
我又將江民的監(jiān)控關(guān)閉��,打開主動(dòng)防御,看看江民能不能防住����。
我選取了一個(gè)同事優(yōu)盤上的已知病毒。這是一個(gè)木馬下載器��,江民的命名是TrojanDownloader.VB.jxd�����,該病毒主要通過優(yōu)盤傳播��,樣本創(chuàng)建于2008年4月底����,08年5月初入庫(kù)。運(yùn)行該病毒后���,病毒會(huì)釋放文件到系統(tǒng)文件夾�,并且���,如果在中毒的機(jī)器上用暴風(fēng)影音(StormCodec)運(yùn)行媒體文件�,則會(huì)生成一個(gè)和該媒體文件同名的exe文件。同時(shí)����,改寫優(yōu)盤的分區(qū)表��,將優(yōu)盤空間占滿��。
結(jié)果�,KV2009在WinXP和Vista下都成功攔截住了這個(gè)病毒的惡意行為:
如同我之前所說的,現(xiàn)在新病毒出現(xiàn)的速度越來越快��,而且主要通過互聯(lián)網(wǎng)快速傳播�����,從新病毒出現(xiàn)在互聯(lián)網(wǎng)上��,到安全軟件廠商拿到樣本�,完成分析和入庫(kù),是有一段時(shí)間的����。對(duì)于在此期間的保護(hù),主動(dòng)防御就十分必要了��。而且隨著現(xiàn)在0day漏洞越來越多,惡意代碼層出不窮����,主動(dòng)防御的必要性也就越來越高了。
從我之前分析的幾個(gè)樣本����,大家也可以發(fā)現(xiàn),如今的病毒相比前幾年來說����,種類上有九成以上是木馬,還有少量蠕蟲��。這些木馬的主要目的是竊取賬號(hào)����,從而牟取利益。我在平時(shí)瀏覽網(wǎng)頁(yè)的時(shí)候��,有時(shí)也會(huì)遇到網(wǎng)頁(yè)被掛馬����。因此,主動(dòng)防御對(duì)于保護(hù)個(gè)人電腦用戶的信息安全也就顯得尤為重要了��。從實(shí)際的是用來看,KV的主動(dòng)防御的粒度在國(guó)內(nèi)殺毒軟件里面是最完善的�,作為一款殺毒軟件,其主動(dòng)防御的完善性����,相比一些專業(yè)的HIPS,都毫不遜色���。甚至可以用作分析病毒行為的工具了。KV的主動(dòng)防御有著完善的FD(File Defence)/RD(Registry Defence)和AD(Application Defence)�����,如果防火墻能集成更完善的ND(Network Defence)的話就完美了�。
另外,我還簡(jiǎn)單測(cè)試了一下KV2009的自我保護(hù)能力��,其實(shí)����,從熊貓燒香或更早一些的病毒開始,從它們反匯編出來的代碼里面就可以看出��,它們?cè)黾恿藢?duì)殺毒軟件的對(duì)抗����,一旦運(yùn)行��,會(huì)嘗試關(guān)閉帶有一些關(guān)鍵詞的進(jìn)程��,在這種情況下�����,殺毒軟件的自我保護(hù)就顯得比較重要的��,而在這點(diǎn)上��,江民又是國(guó)內(nèi)廠商中非常突出的����,而且連微軟MVP的pjf寫的IceSword也不能結(jié)束其進(jìn)程�����,這在國(guó)際上�,能做到的安全軟件廠商也不超過三家吧。
先嘗試用進(jìn)程管理器結(jié)束KV2009的兩個(gè)進(jìn)程KVMonXP.kxp(監(jiān)控)和KVSrvXP.exe(服務(wù))�,結(jié)束失敗。
然后�����,使用傳說中的IceSword,無法結(jié)束����。
再用APT,這同樣是一個(gè)系統(tǒng)權(quán)限很高的工具�,直接用最底層的Kernel Kill,還是無法結(jié)束�。
最后,再嘗試用微軟MVP兼員工的Mark Russinovich編寫的PsKill來結(jié)束KV09的相關(guān)進(jìn)程����,同樣以失敗告終�����。
由此可見�����,KV2009具有強(qiáng)大的自我保護(hù)能力�。即使是對(duì)Windows極端熟悉的開發(fā)人員編寫的工具都無法結(jié)束KV的進(jìn)程,相信病毒作者肯定也無能為力了��。
