文章內(nèi)容

殺毒軟件：排斥與兼容的戰(zhàn)爭(zhēng)

發(fā)布時(shí)間: 2012/7/4 11:42:28

需要指出的是，絕大多數(shù)情況下，反病毒產(chǎn)品之間的兼容性沖突問(wèn)題，都是技術(shù)與協(xié)調(diào)的問(wèn)題，有其工作機(jī)理上的必然性，并往往具有一定的不可避免性。
　　反病毒產(chǎn)品兼容沖突問(wèn)題
　　反病毒產(chǎn)品從最開(kāi)始的行命令掃描工具發(fā)展至今，已經(jīng)形成了帶有文件、注冊(cè)表、內(nèi)存等多種本地監(jiān)控機(jī)制；瀏覽器、郵件客戶端等多種保護(hù)環(huán)節(jié)；以及整合了主機(jī)防火墻、入侵檢測(cè)機(jī)制、主動(dòng)防御機(jī)制的綜合型產(chǎn)品。而其核心價(jià)值早在上世紀(jì)末，就已經(jīng)從最開(kāi)始的靜態(tài)的文件掃描檢測(cè)，變成實(shí)時(shí)化的主機(jī)防護(hù)。而實(shí)時(shí)化的防護(hù)推動(dòng)了反病毒產(chǎn)品使用更多的服務(wù)、驅(qū)動(dòng)等底層技術(shù)，運(yùn)行于更接近系統(tǒng)內(nèi)核的位置，這也為反病毒產(chǎn)品產(chǎn)生相互兼容性問(wèn)題打下了伏筆。
　　隨著操作系統(tǒng)的復(fù)雜化，威脅的不斷離散化等影響，反病毒的監(jiān)控保護(hù)點(diǎn)也日趨復(fù)雜，又加之反病毒廠商數(shù)量也在增加，而操作系統(tǒng)廠商并沒(méi)提供比較標(biāo)準(zhǔn)的技術(shù)規(guī)范，因此反病毒產(chǎn)品因互不兼容，發(fā)生共存沖突等問(wèn)題越來(lái)越多，并間接影響了用戶對(duì)反病毒產(chǎn)品的信任。
　　目前己經(jīng)發(fā)現(xiàn)并被報(bào)道過(guò)的兼容性問(wèn)題包括：
　　造成系統(tǒng)崩潰和其他嚴(yán)重故障：從2000年以來(lái)，根據(jù)公開(kāi)報(bào)道，已經(jīng)出現(xiàn)多起因反病毒產(chǎn)品之間相互沖突，而導(dǎo)致系統(tǒng)藍(lán)屏、死鎖等事件。
　　資源占用：反病毒掃描、監(jiān)控和其他防護(hù)機(jī)制，都會(huì)帶來(lái)系統(tǒng)資源的占用。如病毒庫(kù)的內(nèi)存展開(kāi)對(duì)內(nèi)存的資源使用，文件監(jiān)控、定時(shí)掃描可能導(dǎo)致更多的I/O開(kāi)銷、以及各種保護(hù)機(jī)制對(duì)CPU時(shí)間片的占用等等。這些對(duì)用戶操作有一定影響，如系統(tǒng)延遲、文件復(fù)制操作時(shí)間變長(zhǎng)等等。而由于消息傳遞等機(jī)制，有可能在多種反病毒產(chǎn)品共存時(shí)，其對(duì)資源和時(shí)間的影響不是簡(jiǎn)單的線性疊加，而是出現(xiàn)明顯的性能惡化。
　　失效：由于監(jiān)控機(jī)制之間的沖突，多種監(jiān)控機(jī)制共存時(shí)，有可能造成其中之一失效，或者部分機(jī)制雙雙失效的風(fēng)險(xiǎn)。上述后果，可以在兼容性測(cè)試中被復(fù)現(xiàn)。
　　相互誤報(bào)：由于廠商之間互信互通機(jī)制尚不夠通暢，以及少數(shù)惡意的“誤報(bào)構(gòu)造”攻擊的存在，廠商之間出現(xiàn)相互誤報(bào)的情況，也時(shí)常發(fā)現(xiàn)。由于被報(bào)警為病毒而嚴(yán)重地影響了用戶對(duì)產(chǎn)品的信心，因此，各廠商對(duì)被誤報(bào)的問(wèn)題也均比較敏感。
　　但需要指出的是，絕大多數(shù)情況下，反病毒產(chǎn)品之間的兼容性沖突問(wèn)題，都是技術(shù)與協(xié)調(diào)的問(wèn)題，有其工作機(jī)理上的必然性，并往往具有一定的不可避免性。相關(guān)問(wèn)題多數(shù)并不是由商業(yè)競(jìng)爭(zhēng)引發(fā)的，商業(yè)競(jìng)爭(zhēng)也不是反病毒產(chǎn)品兼容沖突問(wèn)題的本質(zhì)。本文主要介紹當(dāng)前反病毒產(chǎn)品沖突的主因，以澄清公眾誤解。
　　下文中涉及到安天實(shí)驗(yàn)室和兄弟廠商產(chǎn)品所使用的技術(shù)點(diǎn)，均用于說(shuō)明反病毒產(chǎn)品之間兼容性沖突的必然性，不是對(duì)實(shí)現(xiàn)水平進(jìn)行評(píng)價(jià)。
　　實(shí)時(shí)監(jiān)控、主動(dòng)防御等技術(shù)的發(fā)展是一柄雙刃劍，一方面隨著監(jiān)控點(diǎn)的增加能應(yīng)對(duì)新的安全威脅，另一方面也使反病毒產(chǎn)品的穩(wěn)定性遇到挑戰(zhàn)，測(cè)試難度普遍加大。反病毒產(chǎn)品自身的穩(wěn)定性壓力都在呈現(xiàn)幾何級(jí)數(shù)增長(zhǎng)，相互之間的兼容則變得更加困難。以下從文件監(jiān)控、防火墻、瀏覽器防護(hù)、主動(dòng)防御四個(gè)主要技術(shù)點(diǎn)，描述導(dǎo)致反病毒產(chǎn)品自身的穩(wěn)定性下降、與操作系統(tǒng)之間和相互之間出現(xiàn)嚴(yán)重沖突問(wèn)題的成因。
　　文件監(jiān)控的潛在兼容性問(wèn)題
　　文件監(jiān)控是反病毒廠商普遍采用的技術(shù)手段，其主要機(jī)理是對(duì)文件的創(chuàng)建、讀取、關(guān)閉等行為進(jìn)行監(jiān)控觸發(fā)對(duì)文件病毒檢測(cè)，以阻斷病毒的執(zhí)行和部分相關(guān)行為。
　　文件監(jiān)控的實(shí)現(xiàn)方式主要有以下兩大類型：
　　1. API掛鉤。
　　根據(jù)鉤掛API的層次不同我們又可以分為：
　　(a) Ring3文件監(jiān)控。
　　多采用inline hook的方式修改文件操作相關(guān)函數(shù)的前幾個(gè)字節(jié)，跳轉(zhuǎn)到自己的函數(shù)，然后對(duì)將要操作的文件和緩沖區(qū)進(jìn)行檢測(cè)。
　　由于實(shí)現(xiàn)跳轉(zhuǎn)的方式有多種，所以不同軟件的實(shí)現(xiàn)策略有所不同，很難保證多個(gè)軟件共存時(shí)前一軟件修改后不影響到后一個(gè)軟件，而且很可能導(dǎo)致相關(guān)進(jìn)程崩潰。
　　由于此類技術(shù)也多被惡意軟件使用，一些安全軟件不會(huì)在執(zhí)行完自己的代碼后執(zhí)行修改前的自己，而是采用從原始文件中讀取、分析、執(zhí)行的方式，導(dǎo)致多個(gè)安全軟件同時(shí)監(jiān)控一個(gè)API時(shí)，只有一個(gè)生效。
　　出于性能考慮，不傳遞給原API處理而采用自己實(shí)現(xiàn)的代碼完成該API的相應(yīng)功能，那么也不會(huì)將相關(guān)信息傳遞給其他軟件。
　　部分軟件在執(zhí)行完自己的函數(shù)后會(huì)把修改后的字節(jié)還原，然后調(diào)用原系統(tǒng)API完成功能后再次修改、掛鉤。兩個(gè)使用此實(shí)現(xiàn)的軟件同時(shí)工作則可能造成互相調(diào)用導(dǎo)致死鎖，程序沒(méi)有響應(yīng)。
　　(b) Ring0文件監(jiān)控。與ring3的情況類似，但是后果更加嚴(yán)重。
　　由于inline hook不同實(shí)現(xiàn)造成的不兼容性很可能導(dǎo)致系統(tǒng)API無(wú)法正常工作，導(dǎo)致系統(tǒng)藍(lán)屏。
　　例如：安天客戶端產(chǎn)品（Antiy Ghostbusters４.0）早期版本采用大量inline hook，后因與其他產(chǎn)品嚴(yán)重沖突放棄；360安全衛(wèi)士中inline hook有幾種不同實(shí)現(xiàn)方式共存的現(xiàn)象，并且與360安全瀏覽器有重合的監(jiān)控點(diǎn)；
　　掛鉤之間相互調(diào)用，會(huì)導(dǎo)致死鎖，系統(tǒng)死機(jī)；
　　采用替換SSDT的方式，則只有自己的掛鉤有效，其他軟件的掛鉤均無(wú)效。
　　例如：360安全衛(wèi)士等產(chǎn)品采用替換SSDT的方式，與其共存的安全軟件通過(guò)標(biāo)準(zhǔn)方法獲取的SSDT是無(wú)效的，導(dǎo)致其他安全軟件功能出現(xiàn)缺失；
　　Vista以后微軟對(duì)內(nèi)核進(jìn)行保護(hù)，部分對(duì)內(nèi)核函數(shù)的修改會(huì)導(dǎo)致系統(tǒng)藍(lán)屏。
　　例如：多個(gè)產(chǎn)品在內(nèi)測(cè)和對(duì)外版本都出現(xiàn)過(guò)對(duì)關(guān)鍵內(nèi)核函數(shù)進(jìn)行修改，但是并沒(méi)有仔細(xì)判斷版本，導(dǎo)致兼容性出現(xiàn)問(wèn)題而使系統(tǒng)藍(lán)屏。
　　2. 文件過(guò)濾驅(qū)動(dòng)
　　File System Filter Drivers
　　File System Minifilter Drivers
　　過(guò)濾驅(qū)動(dòng)的本質(zhì)依然是掛鉤，但微軟為了方便廠商調(diào)用，對(duì)其進(jìn)行了封裝，屬于官方的技術(shù)。此類技術(shù)本身已經(jīng)力求穩(wěn)定與兼容，多數(shù)都提供了一定的兼容性保障。微軟自己的安全產(chǎn)品在驅(qū)動(dòng)層面也多使用類似的方式。
　　但是在安全產(chǎn)品的實(shí)際應(yīng)用中，多層監(jiān)控逐層傳遞會(huì)造成效率的降低，一些廠商在實(shí)現(xiàn)時(shí)會(huì)繞過(guò)后續(xù)的過(guò)濾驅(qū)動(dòng)，直接將IRP請(qǐng)求發(fā)給下一層驅(qū)動(dòng)完成相關(guān)的功能。
　　防火墻的潛在兼容性問(wèn)題
　　目前反病毒產(chǎn)品普遍使用單機(jī)防火墻技術(shù)來(lái)過(guò)濾出入數(shù)據(jù)，應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)的威脅。
　　目前防火墻的實(shí)現(xiàn)方式包括：
　　TDI
　　NDIS
　　IP Filter
　　Windows Filtering Platform
　　Winsock Kernel
　　在以Windows XP為主的時(shí)期，多數(shù)防火墻選擇前三者中的某一種或者某兩種結(jié)合的方式。在實(shí)際應(yīng)用的過(guò)程中，同樣存在多個(gè)共存無(wú)法同時(shí)生效的現(xiàn)象。其原因有：
　　1.過(guò)濾時(shí)出于效率考慮，直接將允許通過(guò)的包交給下層驅(qū)動(dòng)處理，而不是后續(xù)的防火墻驅(qū)動(dòng)。
　　2.由于NDIS和IP Filter比TDI更接近底層，前兩者實(shí)現(xiàn)的防火墻會(huì)對(duì)TDI層造成影響。
　　3.XP自帶的IP Filter存在誰(shuí)先設(shè)置誰(shuí)先生效的問(wèn)題。安天盾防火墻與金山防火墻某版本同時(shí)使用該方式，如果同時(shí)安裝在用戶的機(jī)器中，則出現(xiàn)誰(shuí)先啟動(dòng)誰(shuí)先生效的現(xiàn)象。
　　WFP和Winsock Kernel是自Vista之后引入的方式，兼容性相對(duì)而言更好，只要實(shí)現(xiàn)得當(dāng)，一般沒(méi)有兼容性的問(wèn)題。特別是WFP針對(duì)防火墻和IDS類軟件做了設(shè)計(jì)上的考慮，兼容性問(wèn)題得到了較好的解決。這也說(shuō)明，操作系統(tǒng)提供相對(duì)規(guī)范的接口是解決安全產(chǎn)品沖突的較好方式。
　　瀏覽器防護(hù)的潛在兼容性問(wèn)題
　　瀏覽器防護(hù)多使用ring3 API HOOK。下面結(jié)合網(wǎng)頁(yè)防護(hù)類的主流產(chǎn)品分析其潛在的兼容性問(wèn)題。
　　使用ring3 api hook實(shí)現(xiàn)的瀏覽器保護(hù)，不可避免的要遇到和文件監(jiān)控一樣的問(wèn)題。在實(shí)際對(duì)抗中，網(wǎng)馬不斷發(fā)展升級(jí)，已經(jīng)開(kāi)始將瀏覽器中的ring3 hook摘除，為了對(duì)抗此類威脅，主流軟件多會(huì)采取不斷檢測(cè)自己的hook是否存在，發(fā)現(xiàn)不存在則重新將函數(shù)掛鉤。造成多款軟件爭(zhēng)搶一個(gè)API的現(xiàn)象，導(dǎo)致瀏覽器無(wú)響應(yīng)或者響應(yīng)緩慢。特別是與CreateProcesss相關(guān)的。
　　在瀏覽器防護(hù)軟件進(jìn)行行為分析的時(shí)候，由于其他瀏覽器防護(hù)軟件的參與會(huì)對(duì)瀏覽器的行為造成一定影響，這些影響可能是對(duì)堆棧的影響（由于多了一層Hook，實(shí)際調(diào)用的堆�？赡軙�(huì)增加一層）。以某瀏覽器防護(hù)軟件為例，其堆棧檢測(cè)只會(huì)向上追溯5層，如果同時(shí)共存3 個(gè)軟件，那么其想要檢測(cè)的那層調(diào)用，則會(huì)由原來(lái)的第5層變?yōu)榈?層，原來(lái)的檢測(cè)方式就失效了。
　　例如：360和金山網(wǎng)盾共存時(shí)，網(wǎng)馬在創(chuàng)建進(jìn)程時(shí)360進(jìn)行檢測(cè)。如果放行則會(huì)通過(guò)360的函數(shù)調(diào)用系統(tǒng)API，進(jìn)而再次調(diào)用金山的進(jìn)程創(chuàng)建檢測(cè)，此時(shí)金山追溯堆棧會(huì)發(fā)現(xiàn)是360的模塊調(diào)用，而不是JS腳本解釋引擎調(diào)用，予以放行。
　　即使不考慮對(duì)堆棧的影響，由于不同瀏覽器防火軟件都進(jìn)行了攔截，對(duì)瀏覽器的行為也就產(chǎn)生了影響，造成相互的行為分析干擾，無(wú)法正確分析惡意行為，進(jìn)而出現(xiàn)漏報(bào)或者誤報(bào)的現(xiàn)象。
　　例如：金山網(wǎng)盾在腳本解釋層根據(jù)特征檢出了惡意腳本，構(gòu)筑在其上層的其他防護(hù)的行為分析就無(wú)法發(fā)現(xiàn)該惡意腳本的行為。
　　再例如：360網(wǎng)盾會(huì)不斷檢測(cè)監(jiān)控點(diǎn)是否存在，而檢測(cè)的機(jī)制是基于二進(jìn)制比較的，如果發(fā)現(xiàn)其他軟件進(jìn)行了HOOK，則用自己的進(jìn)行替換，導(dǎo)致其他軟件失效。

本文出自：億恩科技【mszdt.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 網(wǎng)絡(luò)病毒數(shù)下降超50% 網(wǎng)絡(luò)安全仍不能小覷
下一篇 >> 2012年十大電腦中毒癥狀瀏覽器首頁(yè)被篡改居首

激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

殺毒軟件：排斥與兼容的戰(zhàn)爭(zhēng)

同類文章

億恩公告

在線客服