让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
来源:互联网 发布:网络h十是什么意思啊 编辑:程序博客网 时间:2024/05/29 06:56
申明:言论仅代表个人,与所在公司无任何联系。
这两天看到不少有关Norton误报WinXP中文版的两个系统文件为病毒的报道。
不过,今天在CSDN blog 上看到了王开源先生的一篇文章,“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。
任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
下面给大家分析一下Norton这次事件技术细节。
首先,Norton误报的这两个系统文件分别是:
Netapi32.dll,这是Windows系统用来提供基本的网络功能API的系统文件。
Lsasrv.dll,这是Windows系统用来提供本地安全功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
所以说,防病毒产品的误报(False Positive),并不是一个新闻。Symantec发生过,McAfee发生过,微软的Onecare也发生过。
第三,为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史,看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。
Windows Local Security Authority Service Remote Buffer Overflow
http://research.eeye.com/html/advisories/published/AD20040413C.html
要想利用这个安全漏洞,需要一个定制的DsRoleUpgradeDownlevelServer(Lsasrv.dll中的一个函数)的实现。为了做到这一点,攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此,利用MS04-011的病毒往往会包括三个程序,
病毒的主体(网络扫描和发送Shell Code)
一个修改过的Lsasrv.dll实现
一个修改过的Netapi32.dll实现
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的Lsasrv.dll和Netapi32.dll,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改,提取特征代码不注意的话,那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是Linux还是Windows),网上的资料,公开的Symbol文件,一个好的debugger,如WinDBG,一个好的反汇编程序,如IDA,可以告诉你想知道的所有信息,只要你花时间钻研技术。
6月16日更新:
首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 ,
http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 ,
http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析[转]
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- 让我们一起摒弃弱国心态!
- WinXP SP2对病毒和加密技术的影响研究
- 摒弃盗版,让我们拥有正版,给你最实用的软件。有效的优化
- 浮躁的自己,浮躁的技术
- 对技术的一些疑问
- 解决chromium对诺顿Norton安全插件不支持的兼容性问题
- 番茄花园 WinXP安装盘集成技术分析
- 对Zookeeper的一些分析
- 对zookeeper的一些分析
- jquery对一些事件的递增
- [概念] Nominal Group Analysis
- MS CRM Customization - 在CRM Web中添加按钮及集成扩展程序
- SWT 在linux下 Combo出现异常
- Provide an Alternative View to Data Using Splitter Window铪
- How to create a read-only user in TFS source control
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- [概念] Force Field Analysis
- 一个开源的IoC采集服务器体系结构设计
- 为ToolBarManager添加自定义控件
- Chapter 1 初見 EJB3.0 (2)
- 使用 Web service 的站点列表
- How to undo pending changes by others铪铪铪铪铪铪铪
- 在TableViewer中使用ITableColorProvider
- [概念] 质量规划工具 - Affinity Diagram