Z
zqw0117
Unregistered / Unconfirmed
GUEST, unregistred user!
让我们摒弃一些浮躁:对Norton误报WinXP事件的技术分析
hidecloud发布于 2007-06-15 11:36:35|1700 次阅读 字体:大 小 打印预览
感谢ZB的投递
新闻来源:CSDN
今天在CSDN上看到了王开源先生的一篇文章,“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
下面给大家分析一下Norton这次事件技术细节。
首先,Norton误报的这两个系统文件分别是:
Netapi32.dll,这是Windows系统用来提供基本的网络功能API的系统文件。
Lsasrv.dll,这是Windows系统用来提供本地安全功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
所以说,防病毒产品的误报(False Positive),并不是一个新闻。Symantec发生过,McAfee发生过,微软的Onecare也发生过。
第三,为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史,看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。
Windows Local Security Authority Service Remote Buffer Overflow
http://research.eeye.com/html/advisories/published/AD20040413C.html
要想利用这个安全漏洞,需要一个定制的DsRoleUpgradeDownlevelse
rver(Lsasrv.dll中的一个函数)的实现。为了做到这一点,攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此,利用MS04-011的病毒往往会包括三个程序,
病毒的主体(网络扫描和发送Shell Code)
一个修改过的Lsasrv.dll实现
一个修改过的Netapi32.dll实现
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的Lsasrv.dll和Netapi32.dll,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改,提取特征代码不注意的话,那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是Linux还是Windows),网上的资料,公开的Symbol文件,一个好的debugger,如WinDBG,一个好的反汇编程序,如IDA,可以告诉你想知道的所有信息,只要你花时间钻研技术。
hidecloud发布于 2007-06-15 11:36:35|1700 次阅读 字体:大 小 打印预览
感谢ZB的投递
新闻来源:CSDN
今天在CSDN上看到了王开源先生的一篇文章,“从诺顿误杀WinXP后门误猜国家机密被窃取”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
下面给大家分析一下Norton这次事件技术细节。
首先,Norton误报的这两个系统文件分别是:
Netapi32.dll,这是Windows系统用来提供基本的网络功能API的系统文件。
Lsasrv.dll,这是Windows系统用来提供本地安全功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
所以说,防病毒产品的误报(False Positive),并不是一个新闻。Symantec发生过,McAfee发生过,微软的Onecare也发生过。
第三,为什么Norton出现了对这两个文件的误报。如果熟悉Windows操作系统安全漏洞和病毒历史,看到Norton误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的MS04-011安全漏洞说起。MS04-011的安全漏洞是Lsasrv的远程缓存溢出漏洞。Eeye有一段非常详细的技术分析。
Windows Local Security Authority Service Remote Buffer Overflow
http://research.eeye.com/html/advisories/published/AD20040413C.html
要想利用这个安全漏洞,需要一个定制的DsRoleUpgradeDownlevelse
rver(Lsasrv.dll中的一个函数)的实现。为了做到这一点,攻击者需要自己修改(patch)一下Lsasrv.dll和Netapi32.dll。因此,利用MS04-011的病毒往往会包括三个程序,
病毒的主体(网络扫描和发送Shell Code)
一个修改过的Lsasrv.dll实现
一个修改过的Netapi32.dll实现
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的Lsasrv.dll和Netapi32.dll,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll和Netapi32.dll的修改,提取特征代码不注意的话,那么误报WinXP中文版的Lsasrv.dll和Netapi32.dll也就会发生了。
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是Linux还是Windows),网上的资料,公开的Symbol文件,一个好的debugger,如WinDBG,一个好的反汇编程序,如IDA,可以告诉你想知道的所有信息,只要你花时间钻研技术。