“主動(dòng)防御”的技術(shù)實(shí)現(xiàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前，很多安全廠商在推出新產(chǎn)品時(shí)，總是強(qiáng)調(diào)該產(chǎn)品具有“主動(dòng)防御”技術(shù)，可以防御未知病毒、未知威脅、零日攻擊等。根據(jù)安全專家的分析，所謂“主動(dòng)防御”其實(shí)是針對(duì)傳統(tǒng)的“特征碼技術(shù)”而言的。

一般意義上的“主動(dòng)防御”，就是全程監(jiān)視進(jìn)程的行為，一但發(fā)現(xiàn)“違規(guī)”行為，就通知用戶，或者直接終止進(jìn)程。它類似于警察判斷潛在罪犯的技術(shù)，在成為一個(gè)罪犯之前，大多數(shù)人都有一些異常行為，比如“性格孤僻，有暴力傾向，自私自利，對(duì)現(xiàn)實(shí)不滿”等先兆，但是并不是說有這些先兆的人就都會(huì)發(fā)展為罪犯，或者說罪犯都有這些先兆。

因此“主動(dòng)防御”并不能100%發(fā)現(xiàn)病毒或者攻擊，它的成功率大概在60%～80%之間。如果再加上傳統(tǒng)的“特征碼技術(shù)”，則有可能發(fā)現(xiàn)100%的惡意程序與攻擊行為了。從國外的情況看，諾頓、Kaspersky、McAfee等主流安全廠商，都已經(jīng)向“主動(dòng)防御”+“特征碼技術(shù)”過渡了，可以說這是安全系統(tǒng)的必然發(fā)展趨勢(shì)。

此外，防火墻也是一個(gè)運(yùn)用“主動(dòng)防御”技術(shù)的典型例子。大部分企業(yè)都在使用防火墻，很多用戶對(duì)于防火墻經(jīng)常詢問是否放行一個(gè)進(jìn)程訪問網(wǎng)絡(luò)，或者對(duì)有不明連接進(jìn)入本機(jī)而發(fā)出警告印象深刻。

其實(shí)防火墻就是在全程監(jiān)視進(jìn)程的網(wǎng)絡(luò)行為，一但發(fā)現(xiàn)違反規(guī)則的行為就發(fā)出警告，或者直接根據(jù)用戶設(shè)定拒絕進(jìn)程訪問網(wǎng)絡(luò)。當(dāng)然，現(xiàn)在的防火墻一般都把系統(tǒng)網(wǎng)絡(luò)進(jìn)程，如Services.exe、Svchost.exe、Lsass.exe記在“受信名單”里，這些進(jìn)程是默認(rèn)允許訪問網(wǎng)絡(luò)的。但這也是現(xiàn)在很多病毒和木馬都喜歡遠(yuǎn)程注入這些系統(tǒng)進(jìn)程，以求突破防火墻而訪問網(wǎng)絡(luò)的原因。

“主動(dòng)防御”的技術(shù)實(shí)現(xiàn)

在“主動(dòng)防御”技術(shù)的的實(shí)現(xiàn)上，主要是通過函數(shù)來進(jìn)行控制。因?yàn)橐粋€(gè)程序如果要實(shí)現(xiàn)自己的功能，就必須要通過接口調(diào)用操作系統(tǒng)提供的功能函數(shù)。以前在DOS里幾乎所有的系統(tǒng)功能或第三方插件都是通過中斷提供的，在Windows里一般是通過DLL里的API提供，也有少數(shù)通過INT 2E或SYSENTER提供。一個(gè)進(jìn)程有怎么樣的行為，通過看它調(diào)用了什么樣的API就大概清楚了。比如它要讀寫文件就必然要調(diào)用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函數(shù)；要訪問網(wǎng)絡(luò)就必然要使用Socket函數(shù)。因此只要掛接系統(tǒng)API（盡量掛接RING0層的API，如果掛接RING3層的API將有可能被繞過），就可以知道一個(gè)進(jìn)程將有什么動(dòng)作，如果有危害系統(tǒng)的動(dòng)作該怎么樣處理等等。例如瑞星反病毒系統(tǒng)，用戶可以在它的安裝目錄里找到幾個(gè)驅(qū)動(dòng)文件，其實(shí)這些驅(qū)動(dòng)就是掛接了ntoskrnl.exe、ndis.sys等系統(tǒng)關(guān)鍵模塊里的API，從而對(duì)進(jìn)程的普通行為、網(wǎng)絡(luò)行為、注冊(cè)表行為進(jìn)行監(jiān)視。

在此基礎(chǔ)上，用戶可以自己設(shè)想一個(gè)“主動(dòng)防御”的操作流程：通過掛接系統(tǒng)建立進(jìn)程的API，系統(tǒng)就可以在一個(gè)進(jìn)程建立前對(duì)進(jìn)程的代碼進(jìn)行掃描，如果發(fā)現(xiàn)SGDT、SIDT、自定位指令，系統(tǒng)就進(jìn)行提示，如果用戶放行，就讓進(jìn)程繼續(xù)運(yùn)行；接下來監(jiān)視進(jìn)程調(diào)用API的情況，如果發(fā)現(xiàn)以讀寫方式打開一個(gè)EXE文件，可能進(jìn)程的線程想要感染PE文件，就會(huì)發(fā)出警告；如果收發(fā)數(shù)據(jù)違反了規(guī)則，就會(huì)發(fā)出提示；如果進(jìn)程調(diào)用了CreateRemoteThread()，則發(fā)出警告（危險(xiǎn)的API，木馬用得最多）。

可以想象，未來用戶在運(yùn)行程序時(shí)可能會(huì)被提示多次，訪問網(wǎng)絡(luò)也可能被提示多次，而這正是主動(dòng)防御的魅力所在！