服务导航
企业概况     李墨菲博客
百度推广、谷歌推广、SEO优化
域名注册、服务器 VPS租用
网站服务流程    业务渠道代理
网站建设价格表
搜索引擎竞价排名服务
800元企业网站制作特价套餐
搜索引擎免费登录口
咨询QQ:2196677
售后QQ:82090889
为什么要选择八桂网讯?
8年品牌网站建设经验积累,网站成功客户超2200家!
在为您提供服务的任何一个环节,我们都拥有自己的核心团队,保障售后服务的可控性。
由程序编程师、平面美工设计师形成的专业后盾组合,从asp、asp.net、php到java的知识结构互补,使得八桂网讯能够满足客户的功能需求和二次开发整合。
全面的成熟团队为能为您提供一流的平面设计和网站管理后台。
当前位置:网站首页 新闻资讯Matousec报告:黑客攻击打败“大多数”杀毒软件
Matousec报告:黑客攻击打败“大多数”杀毒软件
编辑:八桂网讯    时间:2010/5/19    浏览:1300

安全研究公司Matousec发布报告,详细说明黑客如何用一种攻击技巧,成功躲避Windows安全软件的侦测,包括McAfee和趋势科技(Trend Micro)知名的杀毒软件。

不过,Matousec承认,这种攻击技术有重大的限制,例如必须先取得在一部系统上执行程序代码的能力。换句话说,这套方法必须同时搭配另一种攻击手法(attack vector),或是由具有某部系统本机存取权限的黑客来执行。

这套方法称为“argument-switch”攻击,可用来攻击采用SSDT(System Service Descriptor Table)hooking技术的Windows安全程序。Matousec测试的35种应用软件都采用这种技术,包括BitDefender、F-Secure、 Kaspersky、Sophos、McAfee和趋势科技的产品在内。

Matousec在公布的一份研究报告中说:我们测试了普遍使用的安全软件,发现它们全都有漏洞。今天大多数受欢迎的安全解决方案根本不管用。

SSDT hooking被众多杀毒软件采用,作为侦测和拦阻攻击机制的一部分。此技巧涉及修改SSDT的目录。本公司的研究聚焦于核心(kernel)模式的 hook,不过,这种攻击对使用者模式的hook也有效。

Matousec说:结果可用一句话总结:如果某项产品使用SSDT hook,或在类似层级采用另一种核心模式的hook,来落实安全功能,那么它就有漏洞。

该公司研究员指出,有些杀毒产品并不使用上述的技巧,例如Immunet。

Matousec说,攻击者利用一种称为竞赛情况(race condition)的软件瑕疵(bug);在这种情况下,两条执行绪(thread)争相存取共用的资源,造成程序逻辑出错。攻击者利用这种瑕疵,让杀毒软件误以为它允许执行的是无害的程序代码,但其实却是恶意程序。

这种回避手法的成功率并非百分之百。不过,Matousec指出,如果某部系统跑多重处理器或多核心处理器,那么这种攻击就更容易成功。

该公司表示,今天,多重处理器或多核心处理器在台式机很常见,而攻击即使通过有限的使用者帐号权限,也能得逞。

测试是在采用32位硬件的Windows XP SP3和Windows Vista SP1系统上执行。但Matousec说,所有的Windows版本都可能有漏洞,连Windows 7也不例外。

Matousec呼吁杀毒软件公司改善运用kernel hook的方式,并自称已研究出怎么做的方法,但这套方法尚未公开发表。

该公司说:改善kernel hook的安全性,对安全软件厂商可能是相当复杂的任务,特别是对软件运用大量SSDT和其他类型hook的厂商而言。

八桂网讯 爱伦文化 深圳外语培训 招商加盟 迪优目录 广西旅游365 八桂大地 建站导航网 南宁创意雕塑 双成纸管
八桂网讯-高端网站建设专家
Copyright © 2004- 八桂网讯网络技术有限公司 Baguidadi Inc. All Rights Reserved.