走近卡巴斯基(二)

释放双眼,带上耳机,听听看~!

走近卡巴斯基(五)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

前     言


杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

慢慢的,大家会发现,杀毒还是要靠技术说话的。很多人问我:你说卡巴斯基好,到底好在哪? 这个问题还真不是三言两语能说清楚的,所以我整理了一些内容,希望大家能看完,或许就能从中找到答案。

二、卡巴斯基Anti-Rootkit技术

       反病毒厂商和恶意程序之间就像在进行永无休止的“军备竞赛”,当新型威胁出现时,反病毒厂商研究新技术来防御它们,同时网络犯罪分子会绞劲脑汁地绕过反病毒厂商的检测。设备是否安全,取决于对峙双方哪一边技术更复杂。

       一种高度复杂的威胁类型是Rootkit,比如TDSS,PMax,Zbot这些类型的恶意程序使用了Rootkit技术,这些恶意程序经常能够在设备受到安全软件保护时感染设备,不易察觉。

图1:2013年4月TDSS的地理分布,数据基于KSN(卡巴斯基安全网络)。

图2:TDSS

Rootkit的细节

       使用了Rootkit技术后,网络犯罪分子可以在用户不知情的情况下大量执行非法操作,比如窃取用户的支付信息,个人数据,干扰软件的正常工作,对抗安全软件,篡改用户文件或者删除它们。换句话说,Rootkit技术允许网络犯罪分子有对所有进程的完全控制权。

       为了隐藏自己在操作系统中的存在,Rootkit利用各种工具,它们会拦截系统服务,锁住文件,修改文件的访问权限,向受信任的进程中注入恶意代码,当然不止这些。

       一些Rootkit修改MBR(这种类型的Rootkit也可称作Bootkit),这样在系统启动前自身就被加载了,这时安全软件还没有被加载,Rootkit很容易地取得了对系统的完全控制权。

       正因为这些技术被使用来隐藏恶意软件,一个安全软件必须有以下手段来保证设备安全:

•安全软件须有Rootkit防护模块,揪出隐藏在系统中的Rootkit,并阻止它们的恶意操作。

•在检测到Rootkit之后,安全软件须有能力完全移除Rootkit在系统中的所有模块,恢复被恶意篡改过的功能。

•安全软件须有强大的自保模块来对抗Rootkit的攻击,很多Rootkit有能力停止一些安全软件的防护。

卡巴斯基对抗Rootkit的方法

       Rootkit利用多种技术和安全软件“躲猫猫”,开机时,Rootkit经常在安全软件未启动保护之前就将自己加载。为了对抗这些“Bootkit”,卡巴斯基监视了引导分区的调用。卡巴斯基拥有启发式技术,通过分析程序的行为,甚至能够检测未知的在系统中的Bootkit,然后有效的回滚所有的恶意操作,底层文件分析系统也能够执行对硬盘的扫描。基于对磁盘底层访问权限,卡巴斯基可以用特征码匹配的方法来确定已经藏身在系统中的Rootkit。

       修复已经感染Rootkit的设备是一个很大的挑战,需要特殊的工具。大多数Rootkit有完备的自我保护手段,它们深入内核使得检测和清除修复十分困难。

       卡巴斯基反Rootkit模块提供了一个原始的机制,绕开Rootkit在操作系统中的更改(指对检测Rootkit有阻碍的更改),同时对Rootkit进程实行多级控制。这样一来,可以有效的移除Rootkit的组件。换句话说,如果Rootkit更改了OS code造成检测的障碍,卡巴斯基知道怎样绕过这些障碍,之后再清除Rootkit。

难道这就是近期医院屡受攻击的原因?

最近一个月的时间,我们屡屡收到医院用户被攻击导致电脑大规模蓝屏或者无法连接到服务的情况出现。 我们的技术工程师在现在处理后,发现都是来自同一个攻击Intrusion.W32.MS17-010,我也专门写过一篇文章:《小心,一大波病毒来袭!!》,很多人问我一个问题

       在这种情况下,卡巴斯基能够恢复任何Rootkit造成的对系统的破坏。例如,如果文件不能被修复,可以删除它。但这样做也是在冒险,一些系统文件被感染后删掉会造成系统崩溃。这也是卡巴斯基不总是删掉所有的带毒文件,在清除文件之前要仔细核对是否是系统文件。

       此外,Rootkit利用各种对抗技术攻击安全软件,使其停止工作甚至删除安全软件。卡巴斯基提供了强有力的自保模块保证自身不受威胁。

Anti-Rootkit技术的优势:

       网络犯罪分子总是竭力使恶意软件悄悄突破安全软件的防线,所以选择防护产品要格外注意产品处理复杂威胁的能力––––Rootkit和其他复杂威胁。卡巴斯基的解决方案包含所有必须的技术。

       •访问硬盘的底层权限来阻止Rootkit。

       •有高级技术来绕过Rootkit在系统中留下的修改(这些修改阻碍检测Rootkit)。

       •控制并保护关键的系统文件。

       •对感染进程实行多级控制。

       •控制好安全软件的性能。

       使用集成有Anti-Rootkit模块的卡巴斯基产品确保用户的重要数据,网络支付信息和其他有用的在线信息的安全。

采用Anti-Rootkit的产品:

       Anti-Rootkit技术集成到以下产品中:

       对家庭用户:

       KFA/KAV/KIS/KTS,以及早期的版本如PURE。

       对企业用户:

       KES(端点安全解决方案)/KSOS(中小企业解决方案)

未完待续……

如果你觉得不错请转发让更多人看到。

您的关注就是我的动力,扫描下面二维码关注“大兵说安全”

本文源自微信公众号:大兵说安全

四部门关于发布《云计算服务安全评估办法》的公告

发布时间:2019-07-22   来源:中华人民共和国工业和信息化部网络安全管理局   国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部 关于发布《云计算服务安全评估办法》的公告 2019年第2号   为提高党政机关、关键信息基础设施运营者采购使用

人已赞赏
安全工具

勒索病毒和恶意软件最容易藏身的五个地方

2019-10-14 17:29:56

安全工具

走近卡巴斯基(五)

2019-10-14 17:30:02

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索