根據(jù)安全研究員Matousec報告：各大知名安全軟件供應(yīng)商目前所推出的產(chǎn)品都將會受到參數(shù)–交換機攻擊的影響；這種攻擊可以把一個惡意代碼幾乎無限制地植入任何基于Windows系統(tǒng)的個人電腦和電子設(shè)備。

這個所謂的參數(shù)–交換機攻擊，Matousec在報告中將他視作一種KHOBE(Kernel Hook Bypassing Engine的簡稱)攻擊，對用戶模式和內(nèi)核模式的hooks尤其有效；從本質(zhì)上講，就是對由專業(yè)人員編寫的安全代碼進行直接修改。

因為大部分安全軟件供應(yīng)商都使用了一項叫做系統(tǒng)服務(wù)描述表(SSDT) hooking的技術(shù)，這使得Matousec使用的KHOBE測試引擎對于這個漏洞的滲透幾乎束手無策；這些公司包括McAfee，賽門鐵克，Sophos，熊貓安全和BitDefender（羅馬尼亞一家知名安全企業(yè)）。

“總而言之，如果一個系統(tǒng)使用了SSDT或者其他形式的內(nèi)核hooks，而又只有一些簡陋的安全措施的話，這個系統(tǒng)就很脆弱，”Matousec說的很鄭重，“換句話說，所有參與測試的電腦，百分之百都很脆弱。”

“之所以我沒有將更多的電腦放入我的測試報告僅僅是因為：我沒時間了。”他補充道，“因此這份測試報告的重點在于：應(yīng)該被寫進報告中的電腦數(shù)量實際上是龐大到你無法想象的。”

當(dāng)然，Matousec的書面報告中還寫道：“這種特別的攻擊方法也在要求，那些潛在的攻擊者需要有能力和機會在系統(tǒng)上執(zhí)行這組代碼。因此，能夠利用本地連接進入電腦并且執(zhí)行參數(shù)–交換機攻擊代碼，對于這些人來說缺一不可。”

盡管安全供應(yīng)商們——例如McAfee，賽門鐵克和趨勢科技——已經(jīng)竭盡全力，黑客以及危險分子們依舊在享受著來自于入侵消費者和企業(yè)的網(wǎng)絡(luò)的前所未有的成功。

Gartner預(yù)測，世界范圍內(nèi)的安全軟件市場份額，將從去年的145億美元迅速增長到163億美元，各安全公司競相向?qū)δ切┲荚诟`取數(shù)據(jù)，現(xiàn)金和智力資本的惡意軟件運動進軍。

諾頓網(wǎng)絡(luò)安全套裝2010是 協(xié)助Matousec進行測試的36種安全產(chǎn)品之一，Symantec官方宣稱他們云安全軟件套餐將消除任何在這種類型的攻擊中泄露數(shù)據(jù)的可能。 “Matousec的報告中指出的惡意攻擊，在賽門鐵克托管服務(wù)啟發(fā)式檢測系統(tǒng)中是被設(shè)置為立即解除的類型。而且，自從我們的反病毒系統(tǒng)不再使用桌面小殺毒文件轉(zhuǎn)接hooks的模式來運行，我們的服務(wù)器也不太可能被攻擊。” Martin Lee，一位在賽門鐵克的托管服務(wù)集團的高級軟件工程師，這樣告訴InternetNews.com.。

 “這種類型的攻擊要求攻擊者具有在目標(biāo)電腦上運行任意（隨機）代碼的能力，這意味著，機器本身的安全機制已經(jīng)失效（繞過其中原本的安全機制，檢測惡意軟件），或者說，攻擊者已經(jīng)得到了這臺電腦的物理地址；”他補充道，“而SaaS的客戶面對此類攻擊時是完全安全的。”

然而現(xiàn)在的情況是，絕大部分的企業(yè)仍然依賴于使用備急安全軟件設(shè)備去保護他們的臺式機和筆記本；而且在此次測試中，有一點很明顯，使用Windows系統(tǒng)的用戶，需要再多擔(dān)心一些事情了。

“我們測試了現(xiàn)在所有流行使用的安全應(yīng)用方案，然后發(fā)現(xiàn)他們?nèi)慷己艽嗳?；所有知名的安全解決方案，都非常輕易地被弄到癱瘓。”Matousec最后很嚴肅的作了總結(jié)。

原文名稱：Security Firm Finds Gaps in Popular AV Software

wangliang