反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(zhēng)(3) |
發(fā)布時(shí)間: 2012/7/4 13:47:52 |
反病毒產(chǎn)品的兼容性問題
除了文件監(jiān)控、防火墻、瀏覽器防護(hù)的潛在兼容性問題之外,在多款軟件共存的情況下,主動(dòng)防御的兼容性問題尤為嚴(yán)重。主動(dòng)防御主要可以分為兩個(gè)方面來看待:
1. 自我保護(hù)
多款安全軟件都保護(hù)自己的監(jiān)控點(diǎn)不被修改,特別是使用了inline hook或者對(duì)系統(tǒng)設(shè)備、內(nèi)核對(duì)象、SSDT進(jìn)行了hook的產(chǎn)品。類似安天Atool等Rootkit檢查工具曾使用過替換進(jìn)程SSDT保證自己的hook不被修改,但也導(dǎo)致使用SSDT hook的主動(dòng)防御完全失效的副作用。360安全衛(wèi)士曾使用替換SSDT的技術(shù)對(duì)自己的監(jiān)控點(diǎn)進(jìn)行保護(hù),導(dǎo)致與其共存的安全軟件主動(dòng)防御功能中關(guān)于SSDT的部分完全失效。
一旦發(fā)現(xiàn)自己的監(jiān)控點(diǎn)被修改,則會(huì)對(duì)監(jiān)控點(diǎn)進(jìn)行修復(fù),也就是重新hook。這就有可能導(dǎo)致多款安全軟件反復(fù)爭(zhēng)奪監(jiān)控點(diǎn),或者h(yuǎn)ook直接互相調(diào)用造成死鎖,最終耗盡系統(tǒng)資源,導(dǎo)致機(jī)器死機(jī)。
由于自我保護(hù)的存在,病毒感染安全軟件后,依然會(huì)被安全軟件的自我保護(hù)所保護(hù),其他安全軟件可能無(wú)法讀取其內(nèi)容進(jìn)行檢測(cè),或者可以檢測(cè),但是無(wú)法結(jié)束相應(yīng)的進(jìn)程。
2. 惡意行為分析
一款軟件出于安全角度考慮,不調(diào)用被hook的原始API,則會(huì)導(dǎo)致其他軟件在分析惡意行為時(shí),無(wú)法檢測(cè)到該行為,進(jìn)而造成程序的行為序列發(fā)生改變,最終導(dǎo)致行為分析誤報(bào)或者漏報(bào)。
由于安全軟件的某些行為和惡意軟件具有相似性,例如:對(duì)API進(jìn)行的某些hook,在多款安全軟件共存的情況下,很有可能一款安全軟件被另一款報(bào)為病毒,這也是一種誤報(bào)。
為了保證自身進(jìn)程的行為不被重復(fù)記錄或者對(duì)行為分析產(chǎn)生影響,安全軟件可能會(huì)對(duì)特殊API的調(diào)用參數(shù)含義進(jìn)行修改,增加自身需要的標(biāo)識(shí),而這些標(biāo)識(shí)可能會(huì)造成后續(xù)的監(jiān)控產(chǎn)生不可預(yù)知的行為,最糟糕的情況就是導(dǎo)致系統(tǒng)藍(lán)屏。
對(duì)于ring3與ring0結(jié)合判斷的主動(dòng)防御,處于二者中間的其他安全軟件對(duì)數(shù)據(jù)的修改可能會(huì)造成ring0緩沖區(qū)的溢出(例如:ring3的API掛鉤通知ring0的驅(qū)動(dòng),需要26字節(jié)實(shí)際數(shù)據(jù)可能由于中間沙箱軟件的路徑重定向被改為27字節(jié)或者更多)或者被截?cái)啵瑢?dǎo)致系統(tǒng)藍(lán)屏或者漏報(bào)。
以上僅僅是主動(dòng)防御潛在兼容性問題的一部分,由于主動(dòng)防御技術(shù)本身的復(fù)雜度,在多款實(shí)用主動(dòng)防御技術(shù)的安全軟件共存的情況下,兼容性問題就更容易出現(xiàn),也更加嚴(yán)重,這里說明的僅僅是一部分,不是全部。
兼容性問題對(duì)反病毒廠商的影響
兼容性是反病毒廠商的核心困擾之一,由于反病毒使用大量的內(nèi)核技術(shù)、驅(qū)動(dòng)等,一旦出現(xiàn)兼容性的后果,其所造成的影響,要遠(yuǎn)嚴(yán)重于其他應(yīng)用軟件。同時(shí)反病毒產(chǎn)品為了對(duì)抗病毒的一些自我防護(hù)機(jī)制,也會(huì)使問題的處置變得比較復(fù)雜。因此,多種反病毒軟件之間沖突引發(fā)的問題要比其他軟件沖突問題后果更加嚴(yán)重。
兼容性沖突問題使反病毒廠商技術(shù)支持的難度增大,由于環(huán)境的復(fù)雜性,問題變得更加難以排查和處理。
特別是企業(yè)版產(chǎn)品,廠商承擔(dān)著更大的責(zé)任和支持義務(wù),如果由于沖突性問題,帶來問題,對(duì)于問題的責(zé)任、后果的認(rèn)定等方面都帶來較大壓力。
同時(shí),有的沖突問題由于需要廠商間相互溝通才能解決,因此增加了支持壓力和解決用戶問題的周期。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |