名詞解釋:
PDM=Proactive Defense Module,就是主動防禦模塊。
HIPS=Host Intrusion Prevent System 主機***防禦系統
RING3 這得從CPU指令系統(用於控制CPU完成各種功能的命令)的特權級別說起。在CPU的所有指令中,有一些指令是非常危險的,如果錯用,將導致整個系統崩潰。比如:清內存、設置時鐘等。如果所有的程序都能使用這些指令,那麼你的系統一天死機n回就不足爲奇了。所以,CPU將指令分爲特權指令和非特權指令,對於那些危險的指令,只允許操作系統及其相關模塊使用,普通的應用程序只能使用那些不會造成災難的指令。形象地說,特權指令就是那些兒童不宜的東東,而非特權指令則是老少皆宜。
Intel的CPU將特權級別分爲4個級別:RING0,RING1,RING2,RING3。Windows只使用其中的兩個級別RING0和RING3,RING0只給操作系統用,RING3誰都能用。如果普通應用程序企圖執行RING0指令,則Windows會顯示“非法指令”錯誤信息。儘管有CPU的特權級別作保護。
引用:
[原創]如何判斷卡巴2009HIPS是否防住了病毒[知識普及,更新]
最近看見樣本區,總是發突破卡巴2009HIPS的帖子。說實話那個帖子漏洞百出,截圖都是攔截成功的截圖而那位會員偏偏說過卡巴2009實在是很無語(很佩服他的精神!值得大家學習!!),不過這也體現了一個問題,對於這個新興事物許多人還不瞭解什麼叫防住!這個帖子就爲大家或多或少的解疑。
無限夢幻評測室出品
一、如果病毒放進低受限會怎麼辦?
我相信大家都遇到過這個問題,其實放進低受限同樣會有攔截。但是這個攔截與微點等其他智能或手動HIPS不一樣,它不是所有行爲攔截,而是攔截有害行爲。比如說病毒A,經過自動模式下被分進了低受限組。那麼這個病毒獲得的權限就比放入高受限的自由權多。但是即使如此,這只是第一步。就好比這個地球有N多人屬於不同國家,而我們是中國人,是這些人中的一部分。在這一部分裏卡巴通過HIPS繼續分類,按照數字簽名(後面還要說到)和白名單進行篩選,就好像選舉領導人一樣,把領導選出來剩下的就是公民。在這麼多公民裏,又有不同階層的人,有的人爭得多有的人爭得少,有的人權勢高有的人權勢低。所以HIPS對這些人進行danger index分類,也就是危險指數。在1-55內爲貴族,55-99內爲公民,100爲社會通緝犯。在55-100這個範圍內病毒是不會穿過HIPS進行破壞因爲限制太多。1-55內可能就有人問了是不是低受限就會有影響。答案是肯定的,但是安全不會受到威脅。比如每天的測試樣本,經常可以看見有少數低受限病毒進程出現在任務管理器裏,但是很奇怪的是你的電腦並沒有被破壞,當然可能出現其他更改等現象,比如時間修改病毒,雖然成功修改了時間,但是這個病毒原來鎖定時間和任務管理器的危險行爲卻被攔截,時間照樣可以通過windows自帶的時間日期調回。所以說低受限並不可怕,依然安全。
二、數字簽名被僞造了怎麼辦?
數字簽名被僞造,這個從技術手段來說確實可以。而且丫一做過試驗(測試樣本和結果可以和他要),他嵌入了各種僞造樣本。雖然躲過了卡巴的第一道防線,但是病毒依然被攔截。所以說卡巴是個立體防禦,你要想過卡巴2009HIPS不是破壞一個就可以達到目的的。
三、如果病毒不小心放入了受信任組會怎麼樣?
這個放心,即使你放入了卡巴信任組,躲過了卡巴規則,但是HIPS和PDM依然會進行,如果有危險行爲則會自動攔截,部分病毒卡巴甚至可以將其從信任組重新放入受限組。從而達到保護。
四、難道沒有過卡巴2009HIPS的病毒嗎?
確實到目前爲止還沒有病毒可以穿過卡巴2009HIPS,不管是中國的***聯盟還是國外的***組織現在對於卡巴的PDM依然沒有辦法,他們最厲害的只是越過了HIPS規則和數字簽名,白名單和PDM等其他防禦手段還沒有任何進展。當然沒有密不透風的牆,所以只有不斷完善才能更加穩定。
五、那個RING3過卡巴的怎麼說?
這個只能說是卡巴的一個BUG,至少現在422的測試結果,並沒有被結束。當然這和系統環境有關。
六、爲什麼在進行卡巴HIPS測試時會出現報病毒的情況尤其是免殺?
免殺是什麼,無非是通過更改部分代碼,使得跳過啓發代碼和特徵碼達到避免刪除的目的。運行一個免殺爲什麼會報毒?
這是因爲其原來是什麼病毒還是什麼病毒,只不過刪除了原來的特徵碼而已,並不影響運行~對於一個曾經已入庫的病毒來說,在卡巴沙盤的運行下就會原形鄙陋,如果其中一些行爲跟某些病毒行爲類似或者觸發規則則會出現behavior similar xxxx這就是所謂的PDM和病毒庫HIPS的結合,當沒有類似行爲時則會檢查數字簽名和白名單,如果沒有則會歸爲低受限,當然這時的danger index在55以下~這時候卡巴只會攔截有害行爲放行無害動作。當danger index在99以下則會歸爲高受限,攔截大部分動作,並有可能配合PDM提示,出現那幾幅截圖。如果行爲太多會直接放入不信任組。
引用小夏的:
如果說6.0是初出茅廬的主動防禦,那麼7.0則是引入程序過濾的嘗試,而2009更是建立了一個立體的HIPS防禦體系。
卡巴斯基2009的防禦體系可以分爲兩部分:病毒監控與網絡監控和主動防禦與程序過濾。前者是力爭防範病毒入駐主機或在病毒入駐後立即槍斃。因爲病毒庫的滯後性,卡巴斯基2009加強了程序過濾部分。如果病毒突破第一道關口,程序過濾就會大顯身手。雖有多層防禦,但卡巴斯基2009需要用戶交互的地方很少。原因在於它強大的病毒庫與頻繁的更新速率。
卡巴斯基2009能夠自動爲程序構建應用程序規則(相當於7.0的程序完整性控制),非常智能。每當程序第一次啓動時,卡巴斯基便會調用多種手段對程序進行分析。如數字簽名校驗、白名單庫、病毒庫、黑名單庫與啓發分析,爲這些程序賦予不同的訪問權限,來限制程序訪問。數字簽名或在白名單庫中的程序纔會被分配到信任組,而在病毒庫和黑名單庫的程序進入未信任組,其它程序經啓發分析後按危險指數被分入高受限或低受限,分配入組的程序將自動繼承組規則。
根據掃描結果,應用程序將會被分爲四個組:完全信任、低受限、高受限和未受信任。程序的受限程度越高,其可以訪問的系統資源(文件,註冊表項,外部驅動器,網絡)也就越少。
卡巴斯基2009默認或推薦用戶使用程序過濾的自動模式,允許和阻止的規則自不用說,詢問的規則按允許處理。在實際情況下,用戶動手的機會很少,一個病毒先要過病毒監控關,用戶基本不用動手,後要過程序過濾關,也幾乎不用動手,可以說做到了目前最大可能的易用度。
下面引用丫一的話:
但有人肯定會對卡巴斯基2009的安全性有所懷疑,比如它的分組,萬一分錯組了怎麼辦?它的信任組不會被惡意利用嗎?或者那些有數字簽名的聯網程序不會有漏洞嗎?
首先,信任組卡巴斯基是不可能分錯組的。但如果信任程序被惡意利用呢?卡巴斯基2009充分考慮到了這一點,除了在規則中對信任程序給予保護之外,它還外加兩層保護,主動防禦和進程權限繼承。主動防禦分8種,除了靠行爲分析能夠基本肯定的惡意程序之外,還有一些高危行爲。它是在程序過濾之上的,即使一個程序在信任組,如觸犯主動防禦保護,也會被詢問的。
卡巴斯基2009的權限繼承類似於Windows的組權限,子進程不能超越父進程的權限且遵循低權限原則。如:b爲a的子進程,假設b在信任組,a在高受限,那麼b也只有高受限組的權限,假設b在高受限,a在信任組,那麼b仍然只有高受限組的權限。這樣就保證了低權限組不能惡意利用信任程序。但卡巴斯基2009對每個進程都要分析並分組,而並不是無規則進程就一定使用父權限。至於低權限組等會不會被利用,首先要看卡巴斯基2009的啓發能力了。
其次,你可以看一下低受限組的權限,除了幾個基本沒有危險性的操作外都是詢問,這也是推薦使用交互模式而不使用自動模式的原因。使用自動模式,安全性會降低,但能過卡巴斯基2009的病毒監控關和自動分組關也不容易;使用交互模式,易用性會降低,但能過卡巴斯基2009的病毒監控關和自動分組關也不容易,所以動手的機會還是不多的。