本题已收入ZHIHU圆桌 白帽黑客与安全,欢迎关注讨论。 -----------看到 The Intercept 披露的最新斯诺登文件的消息,卡巴斯基被 NSA 和 GCHQ 破解利用。其中提到一个观点: > “Anti-virus products, with only a few exceptions, are years behind security-conscious client-side applications like browsers or document readers. It means that Acrobat Reader, Microsoft Word or Google Chrome are harder to exploit t…
评论
答主也是安全领域小白一枚,如有错误之处欢迎提出: )
这个问题可以简化成三个子问题:
杀毒软件的哪些构造可能存在可利用的漏洞?
为什么通过浏览器就能入侵系统?
为什么取道杀软比浏览器更容易获得漏洞并利用?
我们先来分析杀毒软件中存在漏洞的潜在机会。
杀毒软件不只要对抗病毒,还要能检测木马程序、间谍软件、具备反Rootkit能力,现代杀毒软件还要确保浏览器不被安装恶意插件、扫描你的邮箱中潜在的病毒、以及智能化地分析恶意软件的行为等。其中杀毒软件检测病毒的方式有两种常用手段:特征码识别和启发式识别。特征码识别的原理是检测病毒文件中某种恶意代码的存在,但这种检测方式很笨拙,病毒制作者在病毒程序中随意加入一些无关代码就能扰乱杀毒软件对齐识别的能力。并且不同语言、不同编译器、甚至32位和64位平台下编译出来的代码都不同,靠特征码识别只能亡羊补牢,先发现后补救。而这也是数十年前,电脑病毒甚是流行的原因之一。而启发式的识别则会在一个虚拟空间内检测病毒程序的行为,解剖病毒程序的结构,从而判定是否会对系统造成威胁。熊猫烧香病毒流行的时候,微点就做到了不升级病毒库就能查杀该病毒。
杀毒软件会提供“实时防护”,也就是当你打开程序、下载文件时,杀毒软件都会对当前操作的程序进行一次扫描,如果发现可以文件还可能进行一次启发式分析,当然这些都发生在从你双击程序到程序打开前的几秒空白时间里。短短几秒钟,从杀毒软件在后台默默运行的服务到正在被监视的explorer.exe进程,从双击操作的消息被转发到user32.dll,再从CreateProcess操作跳转到杀毒软件设下的SSDT HOOK中,再从鉴定病毒到删除、处理病毒程序,每个环节都涉及高权限的操作。进入内核态之后,无论是杀毒软件,还是系统代码、驱动程序,大家都在内核态中各自穿行,一点点的不稳定因素都可以导致蓝屏,内核态的代码被注入、篡改,都能导致丢掉整个系统的控制权。
杀毒软件所安装的驱动程序、内核钩子,所启动的服务、守护进程,都可以视作对原系统的修改。如果它们自身存在缺陷而被替换的系统组件固若金汤,那么安装了杀毒软件的系统反而更容易遭到入侵。
总结一下就是杀毒软件本身具备高权限,如果被病毒附体,那看门人就变成了大强盗。那么普普通通的浏览器为何也能被入侵呢?
4369a054f4ea705e30eea7ccecb4ca19_hd.jpg (2.51 KB, 下载次数: 14)
下载附件 保存到相册
以Chrome为例,Chrome本身具备一些安全措施,保证恶意程序不会通过浏览器释放到系统环境中。这些技术包括ASLR、DEP和沙盒等。其中ASLR全程即Address Space Layout Randomization(地址空间布局随机化),每次打开Chrome时其核心组件都位于内存中不同的位置,就基本消除了通过在特定位置注入恶意代码来入侵浏览器的可能。DEP即Data Execution Protection(数据执行保护),可以帮助避免Chrome在保留用于不可执行代码的内存区域中插入恶意代码。而Chrome的沙盒技术则利用了Windows所提供的安全机制来实现:受限的Token
Job机制
窗口站隔离
桌面隔离
一致性级别(Integrity Level)
篇幅所限就不在这里一一解释所有概念,大家可以自行查阅维基百科。
除此之外,随着HTML5技术的发展,网页应用所能获取的本地权限也越来越多,此前Chrome就出现过授权给网页应用一次以录音权限、该应用就能持续监听用户声音的事件(Speech recognition hack turns Google Chrome into advanced bugging device)。本地缓存、硬件绘图等新组件也为浏览器带来了潜在的被入侵机会。
现在我们可以讨论正题了,为什么说现如今取道杀软比浏览器更容易获取漏洞并利用?
相比浏览器,杀毒软件本身具备的高权限,使病毒一旦侵入,可以获得更大的自由和活动空间,进行更大范围的监听或造成更大范围的破坏;
现代浏览器提供了完善的机制来对网页应用进行限制,而系统对应用程序的限制主要靠UAC和杀毒软件来保证,对高权限应用程序的需求一直存在(QQ为了防止输入密码时按键被记录,就需要部分代码运行在内核态)而网页应用理论上是绝对不能获取高权限的;
杀毒软件的更新频率要高于浏览器的更新频率,其中存在更多分析杀毒软件行为的机会。
虽然Chrome的安全机制也有被攻破的时候(Google Chrome hacked with sophisticated exploit),但即便被攻破,也只能获得中等的执行权限,要想对系统造成破坏,仍然需要经过UAC和杀毒软件的关卡。费尽心机却不能获得最高权限,作为病毒制造者,为什么不直接从杀毒软件下手呢?
事实上,真正盯上卡巴斯基的人,不是盗号软件的作者们,也不是白帽黑帽黑客们,而是像NSA和英国GCHQ这样的情报集团。而卡巴斯基自曝的入侵事件,也被声明是“国家级的入侵”。
其实漏洞这种东西,你永远不知道正在被利用、没有被公开的有多少,因为建立在软件上的绝对安全,是不存在的。
评论
反病毒软件自身除了操作系统以外就没有可以限制他行为的东西了
评论
是你的金库的保管员偷金条容易,还是存金条的用户偷金条容易?
金库保管员可以到金库里面溜达,是为巡视。客户跑进去算什么?要被抓出来的。
--
杀毒软件具有更高的权限,完全扫描整个系统的行为也可以被用户理解。
而浏览器如果这么做基本就等于承认自己是个病毒。
评论
这还用问么,获得系统控制权的第三方软件比如杀毒软件自己有漏洞。
而浏览器要么是系统自带的已经严格授权控制了,要么就是绿色软件根本不需要系统root授权。
举个例子,你敢用小公司经费不足开发的杀毒软件么,漏洞百出,安装前还先让你确认root授权,后果自然可想而知。
还有杀毒软件能做成绿色软件么?
评论
其实原因可以非常简单。所有软件都有漏洞且均会被利用,不同的是相较于浏览器杀毒软件一般拥有更高的权限,自然黑客便更乐于寻找后者的漏洞而非前者。所以并不是说杀毒软件更容易被获得漏洞,而是有更多的人去寻找漏洞,以达到不纯的目的。
用一个通俗的例子来解释的话可以想象一下如下场景:假设你是一个江洋大盗(黑客),想要窃取金库中的黄金(计算机中的信息)。那你自然会去偷银行经理(杀毒软件)的ID卡因为它可以打开金库的大门。至于银行出纳员(浏览器)的ID卡你根本不会去考虑,因为你知道即使偷了也没有什么卵用。
评论
就像黑客帝国里的史密斯啊!
评论
百度杀毒教你做人
评论
为什么政府比企业更容易犯错误?
评论
当然是因为反病毒软件权限大啊
评论
先问是不是。再问为什么
评论
就凭一篇新闻就得出杀软漏洞更容易获得,那么Windows算什么?报道出来的apt攻击有几个是利用杀软漏洞的?
评论
我觉得部分正确但夸大。
Joxean Koret说这句话,主要想表达的还是:安全软件需要更多的权限,使其容易成为攻击目标,只要攻破了安全软件就很容易拿到系统的最高权限,为所欲为。其他还比如:
安全软件由很多组件构成,其中任何一环出漏洞,都会波及整体。
应用程序只需要能够解析自己的文件格式就行了,但杀毒软件需要能够解析各种文件格式(压缩包,程序加壳,文档宏,啥都得懂),受攻击面反而更广。
等等具体可以参考这个pdf: http://joxeankoret.com/download/breaking_av_software_44con.pdf 里面列举了杀毒软件从头到脚都可能成为被攻击对象
评论
谢不邀。要解答这个问题,我们首先要通过杀毒软件运行原理来解析这个问题:
1.杀毒软件一旦运行,就会以系统特权级别来监控程序运行,在利用杀毒软件漏洞时就会更容易获取权限“0”,也就是Administrator(管理员)权限,所以说会省去攻击者不少扩大漏洞的时间,这样一来,攻击者便首先选择杀毒软件来扫描漏洞(虽然利用杀软漏洞攻击还是占少数)。
2.现在的杀毒软件多数具有自动更新功能(比如中国某款软件),这就给了一个攻击者一个可乘之机,他们通常会选择一个连接网络的程序作为一个“桥”进行系统入侵。
3.杀毒软件默认设置是随电脑启动而启动,在网络上运行时间比其他程序更长,这也增加了它被扫描到的几率(尤其是某款杀软自带的开机小(xiong)助(hai)手(zi))。
未完待续(其实是我困了......)
评论
关键在于杀毒软件的权限比较高,杀毒软件的很多行为都是需要高权限的。我们把系统比作重地,那么杀毒软件就和士兵一样了。那么士兵保卫重地的前提是进入阵地。那么杀毒软件保卫系统的前提是进入系统,这样杀毒软件就有相当高的权限了。由于任何软件都是有漏洞的,就好像人都有弱点一样。如果这些软件漏洞被利用,就好比士兵变成了间谍。堡垒最容易从内部攻破。如果你的杀毒软件被利用了,那么你的系统就会从内部崩溃。
我们再来说说浏览器。浏览器好比一个信息窗口,在重地里好比一根电报线,就算电报线被占领,他也还要过士兵这一关。
综上所述,其实不是说反病毒软件的漏洞更大,只是黑客意识到了攻破杀毒软件的性价比更高,所以疯狂的寻找漏洞,导致你认为杀毒软件更容易被攻破并加以利用而已。
(作为小白一枚,欢迎各位指出我的错误,天錾不胜感激。)
评论
所谓灯下黑,就是说这个吧。但是论点貌似有错,杀毒厂商还是最不易被攻破的,因为一切都起源于做事的人,杀毒厂商自然有着大批的安全人才,不过是偶尔被钻了空子吧
评论
一场足球赛,懂得利用对手教练缺点的球队一定比懂得利用对手球员缺点更容易赢。
评论
全民裸奔,然后发个文章windows系统比浏览器更容易获得漏洞。
评论
杀毒软件对于自身总是给予各种特权和免监控。如其他软件报卡巴有病毒,用户也一般当作病毒库的误报,为避免这样的误报,杀毒软件一般给其他杀毒软件的主文件和病毒库白名单待遇。
攻破杀毒软件好比你家保安叛变了。。。
评论
你看看,你能结束它的相关进程不。 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?