從上圖不難發(fā)現(xiàn),江民KV09的靜態(tài)偵測率已經(jīng)達到了90%以上(藍色部分),再加上紅色部分通過主動防御識別的部分�,總偵測率達到了99.5%, 從而獲得了PCSL當(dāng)月頒出的五星獎?wù)隆6瑸閲a(chǎn)殺毒軟件的費爾(有誤報9個)和毒霸(偵測率低)相比之下,則要遜色一些�����。
看到這張圖后�,我對江民KV2009有效而又零誤報的主動防御產(chǎn)生了濃厚的興趣���,覺得有必要好好研究一下。決定自己動手測試一下看看PCSL對KV2009的評測是否名至實歸�����。
首先���,介紹一下我的測試環(huán)境:
硬件環(huán)境:
CPU: Intel Core 2 Duo E4500
Memory : Kingston DDR2 667 1G + 2G
Motherboard : Asus P5G-MX BIOS v0401
HDD : Seagate Barracuda 7200.9 160G
VGA : Intel GMA950
軟件環(huán)境:
Host OS為Windows Vista Ultimate SP1 簡體中文版
應(yīng)為要實際測試病毒��,因此采用了虛擬機����,而要測試主動防御,必須讓病毒發(fā)作���,
因此對虛擬機內(nèi)的系統(tǒng)也采取了保護措施���。由于主要是主動防御測試,因此采用了比較早的病毒庫(2008/10/14)���,沒有更新到最新病毒庫�����。
虛擬機的兩種配置如下:
1.使用Microsoft Virtual PC 2007虛擬Windows XP SP2簡體中文版�,
分配8G硬盤空間��,512MB內(nèi)存��。并用影子系統(tǒng)2008單一影子模式保護操作系統(tǒng)����。如下圖:
2.使用VMWare Workstation 6.5虛擬Windows Vista Home Premium簡體中文版,
分配16G硬盤空間,1G內(nèi)存�����。并用Returnil保護操作系統(tǒng)����。如下圖:
那接下來就是選擇合適的樣本了,
樣本方面�����,我選擇了3個PCSL在其英文主站列出的malware list中的病毒����,
另外,還選取了一個破壞力比較強的�,通過優(yōu)盤傳播的木馬。
其中��,這3個PCSL的樣本由于在11月份還是新病毒���,因此絕大多數(shù)殺毒軟件還沒有入庫。因此掃描是不會報毒的�����,這也為我們測試主動防御提供了便利。
當(dāng)然���,這些病毒現(xiàn)在早已入庫了����,在升級KV2009至最新病毒庫后�����,這些樣本都被KV09正確識別并清除了����。
以上圖中的PLAY-MOVIE.exe為例,這是一個會釋放木馬文件的惡意軟件�,可以看到,病毒是在2008-10-31最終完成的���。
通過將病毒送到分析網(wǎng)站���,并通過其命名來回查入庫日期,可以發(fā)現(xiàn)����,F(xiàn)-Secure 是在08-11-02 入庫的��,江民KV2009是在08-11-04入庫的���,而Sunbelt是在08-11-06入庫的。
大家可以看到�����,在病毒文件被病毒作者制作出來之后�,到病毒文件的特征碼真正被添加到殺毒軟件的病毒之間,有幾天的"真空期"����,在這幾天內(nèi),對于這些未知病毒����,一般的基于特征碼掃描的殺毒軟件(on-demand scanner)是無能為力的,
但是如果安全軟件帶有主動防御�,能夠監(jiān)控病毒文件的高危行為,那么防住這些惡意軟件還是有機會的�����。
下面就具體看看KV2009對于這些在當(dāng)時來說����,還是"未知病毒"的防御情況是怎樣的吧:這里值得一提的是,對于主動防御的設(shè)置�����,是全部打開����,監(jiān)控模式采用智能模式。而由于病毒基本都沒有入庫��,因此監(jiān)控的開啟和關(guān)閉也就并不重要了��。
先看一下之前提到的PLAY-MOVIE.exe��,運行后����,該文件做了很多動作,例如創(chuàng)建注冊表鍵和網(wǎng)絡(luò)連接����,這些都被KV2009的主動防御發(fā)現(xiàn)�,另外���,還釋放了若干個惡意文件�����,這些都被KV2009主防的FD(File Defence 文件防御) 監(jiān)控到����,而且四個盾牌也顯示這是一個高度可疑的高危文件了�。
顯然,主動防御能夠識別并幫助用戶阻止這個未知的木馬����。
再來看下一個惡意程序,RPT.exe����。
這個程序運行后,會啟動IE����,并上網(wǎng)去下載一個木馬程序到本地。是一個典型的Trojan-Downloader的行為�。這點也被KV的主動防御抓住了���。如下圖:
再來看另外一個惡意軟件,IAInstall.exe�。
該程序運行后��,會在注冊表創(chuàng)建一個鍵值�,使得自己能夠開機自動運行。(被KV09的RD – Registry Defence 注冊表防護偵測到)�, 并釋放file.exe和InternetAntivirsProtect.exe,偽裝成殺毒軟件���。
通過下面在虛擬機中Windows XP和Windows Vista下的截圖�,可以更清晰的了解該病毒的行為:
再接下來��,為了進一步驗證江民KV2009的主動防御�����,同時測試監(jiān)控失效(被用戶誤操作關(guān)閉等)的情況下��,對病毒的防御�����。
我又將江民的監(jiān)控關(guān)閉,打開主動防御�,看看江民能不能防住。
我選取了一個同事優(yōu)盤上的已知病毒����。這是一個木馬下載器,江民的命名是TrojanDownloader.VB.jxd�,該病毒主要通過優(yōu)盤傳播,樣本創(chuàng)建于2008年4月底�,08年5月初入庫。運行該病毒后��,病毒會釋放文件到系統(tǒng)文件夾����,并且,如果在中毒的機器上用暴風(fēng)影音(StormCodec)運行媒體文件��,則會生成一個和該媒體文件同名的exe文件��。同時�,改寫優(yōu)盤的分區(qū)表,將優(yōu)盤空間占滿��。
結(jié)果,KV2009在WinXP和Vista下都成功攔截住了這個病毒的惡意行為:
如同我之前所說的����,現(xiàn)在新病毒出現(xiàn)的速度越來越快,而且主要通過互聯(lián)網(wǎng)快速傳播�,從新病毒出現(xiàn)在互聯(lián)網(wǎng)上,到安全軟件廠商拿到樣本���,完成分析和入庫,是有一段時間的�。對于在此期間的保護,主動防御就十分必要了���。而且隨著現(xiàn)在0day漏洞越來越多���,惡意代碼層出不窮,主動防御的必要性也就越來越高了����。
從我之前分析的幾個樣本,大家也可以發(fā)現(xiàn)�,如今的病毒相比前幾年來說,種類上有九成以上是木馬��,還有少量蠕蟲。這些木馬的主要目的是竊取賬號�����,從而牟取利益��。我在平時瀏覽網(wǎng)頁的時候��,有時也會遇到網(wǎng)頁被掛馬�����。因此�,主動防御對于保護個人電腦用戶的信息安全也就顯得尤為重要了。從實際的是用來看��,KV的主動防御的粒度在國內(nèi)殺毒軟件里面是最完善的��,作為一款殺毒軟件���,其主動防御的完善性��,相比一些專業(yè)的HIPS�����,都毫不遜色�����。甚至可以用作分析病毒行為的工具了�。KV的主動防御有著完善的FD(File Defence)/RD(Registry Defence)和AD(Application Defence),如果防火墻能集成更完善的ND(Network Defence)的話就完美了��。
另外���,我還簡單測試了一下KV2009的自我保護能力�����,其實,從熊貓燒香或更早一些的病毒開始����,從它們反匯編出來的代碼里面就可以看出,它們增加了對殺毒軟件的對抗��,一旦運行�,會嘗試關(guān)閉帶有一些關(guān)鍵詞的進程,在這種情況下��,殺毒軟件的自我保護就顯得比較重要的,而在這點上�,江民又是國內(nèi)廠商中非常突出的,而且連微軟MVP的pjf寫的IceSword也不能結(jié)束其進程�����,這在國際上����,能做到的安全軟件廠商也不超過三家吧。
先嘗試用進程管理器結(jié)束KV2009的兩個進程KVMonXP.kxp(監(jiān)控)和KVSrvXP.exe(服務(wù))�,結(jié)束失敗。
然后����,使用傳說中的IceSword,無法結(jié)束����。
再用APT,這同樣是一個系統(tǒng)權(quán)限很高的工具����,直接用最底層的Kernel Kill,還是無法結(jié)束��。
最后,再嘗試用微軟MVP兼員工的Mark Russinovich編寫的PsKill來結(jié)束KV09的相關(guān)進程����,同樣以失敗告終。
由此可見����,KV2009具有強大的自我保護能力。即使是對Windows極端熟悉的開發(fā)人員編寫的工具都無法結(jié)束KV的進程�����,相信病毒作者肯定也無能為力了��。
