让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
2007-12-17 10:39
337 查看
申明:言论仅代表个人,与所在公司无任何联系。 这两天看到不少有关Norton误报WinXP中文版的两个系统文件为病毒的报道。 不过,今天在CSDN blog 上看到了王开源先生的一篇文章,“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。 下面给大家分析一下Norton这次事件技术细节。 首先,Norton误报的这两个系统文件分别是: Netapi32.dll,这是Windows系统用来提供基本的网络功能API的系统文件。Lsasrv.dll,这是Windows系统用来提供本地安全功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。 这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。 其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。 那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。 所以说,防病毒产品的误报(False Positive),并不是一个新闻。Symantec发生过,McAfee发生过,微软的Onecare也发生过。 第三,为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史,看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。 Windows Local Security Authority Service Remote Buffer Overflowhttp://research.eeye.com/html/advisories/published/AD20040413C.html 要想利用这个安全漏洞,需要一个定制的DsRoleUpgradeDownlevelServer(Lsasrv.dll中的一个函数)的实现。为了做到这一点,攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此,利用MS04-011的病毒往往会包括三个程序, 病毒的主体(网络扫描和发送Shell Code)一个修改过的Lsasrv.dll实现一个修改过的Netapi32.dll实现 反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的Lsasrv.dll和Netapi32.dll,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改,提取特征代码不注意的话,那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。 最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是Linux还是Windows),网上的资料,公开的Symbol文件,一个好的debugger,如WinDBG,一个好的反汇编程序,如IDA,可以告诉你想知道的所有信息,只要你花时间钻研技术。6月16日更新:首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 , http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1650554
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 , http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1650554
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析[转]
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- epoll 事件处理的技术内核分析
- 计算机技术发展的一些随笔总结(我们需要思考)
- 《星际争霸2》【技术分析】星际争霸2的一些技术特性
- 深入分析:我们为何需要DDR2内存技术(多图)
- 【原创分析】从技术角度分析陈冠希事件的必然性 推荐
- Android项目-智慧北京:02(三种技术设计主页面及源码分析点击事件传递的机制及Json数据传递的使用)
- 我们到底为了什么钻研技术?--我的一些看法.
- 【Oracle数据库技术支持】RAC性能分析 - gc buffer busy acquire 等待事件
- sizzle源码分析 (4)sizzle 技术总结及值得我们学习的地方
- 番茄花园 WinXP安装盘集成技术分析