偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(1)

作者:佚名
安全
實(shí)時監(jiān)控、主動防御等技術(shù)的發(fā)展是一柄雙刃劍,一方面隨著監(jiān)控點(diǎn)的增加能應(yīng)對新的安全威脅,另一方面也使反病毒產(chǎn)品的穩(wěn)定性遇到挑戰(zhàn),測試難度普遍加大。反病毒產(chǎn)品自身的穩(wěn)定性壓力都在呈現(xiàn)幾何級數(shù)增長,相互之間的兼容則變得更加困難。以下從文件監(jiān)控技術(shù)點(diǎn),描述導(dǎo)致反病毒產(chǎn)品自身的穩(wěn)定性下降、與操作系統(tǒng)之間和相互之間出現(xiàn)嚴(yán)重沖突問題的成因。

文件監(jiān)控的潛在兼容性問題

文件監(jiān)控是反病毒廠商普遍采用的技術(shù)手段,其主要機(jī)理是對文件的創(chuàng)建、讀取、關(guān)閉等行為進(jìn)行監(jiān)控觸發(fā)對文件病毒檢測,以阻斷病毒的執(zhí)行和部分相關(guān)行為。

文件監(jiān)控的實(shí)現(xiàn)方式主要有以下兩大類型:

1. API掛鉤。

根據(jù)鉤掛API的層次不同我們又可以分為 :

(a) Ring3文件監(jiān)控。

多采用inline hook的方式修改文件操作相關(guān)函數(shù)的前幾個字節(jié),跳轉(zhuǎn)到自己的函數(shù),然后對將要操作的文件和緩沖區(qū)進(jìn)行檢測。

由于實(shí)現(xiàn)跳轉(zhuǎn)的方式有多種,所以不同軟件的實(shí)現(xiàn)策略有所不同,很難保證多個軟件共存時前一軟件修改后不影響到后一個軟件,而且很可能導(dǎo)致相關(guān)進(jìn)程崩潰。

由于此類技術(shù)也多被惡意軟件使用,一些安全軟件不會在執(zhí)行完自己的代碼后執(zhí)行修改前的自己,而是采用從原始文件中讀取、分析、執(zhí)行的方式,導(dǎo)致多個安全軟件同時監(jiān)控一個API時,只有一個生效。

出于性能考慮,不傳遞給原API處理而采用自己實(shí)現(xiàn)的代碼完成該API的相應(yīng)功能,那么也不會將相關(guān)信息傳遞給其他軟件。

部分軟件在執(zhí)行完自己的函數(shù)后會把修改后的字節(jié)還原,然后調(diào)用原系統(tǒng)API完成功能后再次修改、掛鉤。兩個使用此實(shí)現(xiàn)的軟件同時工作則可能造成互相調(diào)用導(dǎo)致死鎖,程序沒有響應(yīng)。

(b) Ring0文件監(jiān)控。與ring3的情況類似,但是后果更加嚴(yán)重。

由于inline hook不同實(shí)現(xiàn)造成的不兼容性很可能導(dǎo)致系統(tǒng)API無法正常工作,導(dǎo)致系統(tǒng)藍(lán)屏。

例如:安天客戶端產(chǎn)品(Antiy Ghostbusters4.0)早期版本采用大量inline hook,后因與其他產(chǎn)品嚴(yán)重沖突放棄;360安全衛(wèi)士中inline hook有幾種不同實(shí)現(xiàn)方式共存的現(xiàn)象,并且與360安全瀏覽器有重合的監(jiān)控點(diǎn);

掛鉤之間相互調(diào)用,會導(dǎo)致死鎖,系統(tǒng)死機(jī);

采用替換SSDT的方式,則只有自己的掛鉤有效,其他軟件的掛鉤均無效。

例如:360安全衛(wèi)士等產(chǎn)品采用替換SSDT的方式,與其共存的安全軟件通過標(biāo)準(zhǔn)方法獲取的SSDT是無效的,導(dǎo)致其他安全軟件功能出現(xiàn)缺失;

Vista以后微軟對內(nèi)核進(jìn)行保護(hù),部分對內(nèi)核函數(shù)的修改會導(dǎo)致系統(tǒng)藍(lán)屏。

例如:多個產(chǎn)品在內(nèi)測和對外版本都出現(xiàn)過對關(guān)鍵內(nèi)核函數(shù)進(jìn)行修改,但是并沒有仔細(xì)判斷版本,導(dǎo)致兼容性出現(xiàn)問題而使系統(tǒng)藍(lán)屏。

2. 文件過濾驅(qū)動

  1. File System Filter Drivers  
  2.  
  3. File System Minifilter Drivers 

過濾驅(qū)動的本質(zhì)依然是掛鉤,但微軟為了方便廠商調(diào)用,對其進(jìn)行了封裝,屬于官方的技術(shù)。此類技術(shù)本身已經(jīng)力求穩(wěn)定與兼容,多數(shù)都提供了一定的兼容性保障。微軟自己的安全產(chǎn)品在驅(qū)動層面也多使用類似的方式。

但是在安全產(chǎn)品的實(shí)際應(yīng)用中,多層監(jiān)控逐層傳遞會造成效率的降低,一些廠商在實(shí)現(xiàn)時會繞過后續(xù)的過濾驅(qū)動,直接將IRP請求發(fā)給下一層驅(qū)動完成相關(guān)的功能。

反病毒軟件排斥與兼容問題分析的更多內(nèi)容請讀者閱讀:

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(2)

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(3)

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(4)

【編輯推薦】

  1. 反病毒產(chǎn)品兼容沖突問題 
  2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
  3. 別讓惡意軟件妨礙我們的生活
  4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
  5. IT人員的困繞:互聯(lián)網(wǎng)早期的病毒傳播
責(zé)任編輯:佚名 來源: 中國教育網(wǎng)絡(luò)
文件監(jiān)控病毒
相關(guān)推薦

2011-06-17 14:41:46

兼容性反病毒主動防御

2011-06-17 14:41:49

兼容性防火墻瀏覽器防護(hù)

2014-05-19 10:50:08

2010-07-16 12:15:39

反病毒軟件病毒

2010-03-31 09:41:05

2011-06-29 11:17:37

2012-03-12 14:17:10

2014-05-22 13:08:23

2016-11-24 14:11:44

2012-03-13 16:36:21

2012-07-16 09:23:54

賽門鐵克Windows XP

2015-05-27 09:23:31

2009-04-08 11:44:25

2013-01-17 11:05:42

2011-08-08 15:36:57

2010-12-02 10:17:29

2012-01-16 10:22:51

2009-04-21 14:34:59

惡意軟件測試卡巴斯基

2009-04-16 13:01:38

UUSee網(wǎng)絡(luò)電視網(wǎng)絡(luò)安全

2010-01-10 18:04:48

病毒感染清理系統(tǒng)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號