申明:言论仅代表个人,与所在公司无任何联系。
这两天看到不少有关Norton误报WinXP中文版的两个系统文件为病毒的报道。
不过,今天在CSDN blog 上看到了王开源先生的一篇文章,“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。
任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
下面给大家分析一下Norton这次事件技术细节。
首先,Norton误报的这两个系统文件分别是:
Netapi32.dll,这是Windows系统用来提供基本的网络功能API的系统文件。
Lsasrv.dll,这是Windows系统用来提供本地安全功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
所以说,防病毒产品的误报(False Positive),并不是一个新闻。Symantec发生过,McAfee发生过,微软的Onecare也发生过。
第三,为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史,看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。
Windows Local Security Authority Service Remote Buffer Overflow
要想利用这个安全漏洞,需要一个定制的DsRoleUpgradeDownlevelServer(Lsasrv.dll中的一个函数)的实现。为了做到这一点,攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此,利用MS04-011的病毒往往会包括三个程序,
病毒的主体(网络扫描和发送Shell Code)
一个修改过的Lsasrv.dll实现
一个修改过的Netapi32.dll实现
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的Lsasrv.dll和Netapi32.dll,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改,提取特征代码不注意的话,那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是Linux还是Windows),网上的资料,公开的Symbol文件,一个好的debugger,如WinDBG,一个好的反汇编程序,如IDA,可以告诉你想知道的所有信息,只要你花时间钻研技术。
6月16日更新:
首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 ,
http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢
分享到:
相关推荐
摒弃浮躁才能坦然面对纷繁世事.docx
摒弃责怪他人的坏习惯.docx
----------------------- 网络安全手抄报10全文共1页,当前为第1页。 网 络 2016级计算机3班 张晓云 正确网上交友 第一、保持警惕。除非您想与对方进一步发展关系,否则保持长时间的匿名,尽量多 沟通交流,如果您...
----------------------- 网络安全手抄报10(1)全文共1页,当前为第1页。 网 络 2016级计算机3班 张晓云 正确网上交友 第一、保持警惕。除非您想与对方进一步发展关系,否则保持长时间的匿名,尽量多 沟通交流,如果...
建筑行业7月动态报告:摒弃地产刺激,基建重要性有望提升-73-银河证券-33页.pdf
应用该技术能够实时获取监控画面的数据信息,通过图像预处理、背景提取、前景目标检测、目标识别等一系列过程,摒弃监控画面中的冗余信息,对有用信息进行分析和处理,实现了矿区异常事件检测和报警。实际应用表明,该...
摒弃不良习惯预防违法犯罪讲座.doc
20210711-国泰君安-汽车行业:摒弃噪音的扰动,坚定看多板块行情.pdf
桥梁内力包络图的仿真算法--摒弃了影响线概念的新方法,蒋中祥,,行列荷载作用下的内力包络图的计算是桥梁结构设计必须解决的一个重要问题。本文用计算机仿真的方法解决某些桥梁结构的内力包络图
摒弃陋习,爱护校园环境.ppt
样摒弃了分析和设计过程。因此,有助于使用UML,同时对需求进行跟踪。该过程遵循Ivar Jacobson的用例驱 动思想,能够获得有形,具体,易于理解的用例,开发小组可以使用这个用例来驱动开发工作。
摒弃陋习从我做起主题班会PPT课件.pptx
摒弃陋习从我做起主题班会PPT学习教案.pptx
摒弃交通陋习、安全文明出行!一(3)班.ppt
本书系统地讲解软件漏洞分析与利用所需的各类工具、理论技术和实战方法,主要涉及Windows和Android系统平台。全书根据不同的软件漏洞类型划分,比如栈溢出、堆溢出、UAF、内核漏洞等,同时又针对当前流行的移动安全...
从订指标、报预算,到分析市场、评估风险,真正能解决实际问题的数据分析书! 用数据表达想法、说服对方和赢得信赖,只有逻辑严密的数据分析才能创造价值、驱动未来! 数据分析入门级读物,四个步骤加上Excel通用...
摒弃手机陋习主题班会.pptx
初三摒弃杂念奋战中招.pptx
摒弃交通陋习安全文明出行.pptx