击败安全系统系列文章之突破卡巴6

计算机

[原创]击败安全系统系列文章之突破卡巴6
文章标题:[原创]击败安全系统系列文章之突破卡巴6顶部 xyzreg 发布于:2006-05-1911:46 [楼主][原创]击败安全系统系列文章之突破卡巴6
文章作者：xyzreg[E.S.T]（http://doc.xuehai.net）
信息来源：邪恶八进制信息安全团队（http://doc.xuehai.net）

击败安全系统系列(0)之前言

最近越来越感觉现阶段的各类安全系统设计上都存在一定的不足，没把各种可能的安全威胁考虑进去，在CeverHackers面前就无能为力了。为了帮助各类安全软件设计上更完善，我决定写这一系列文章，内容涉及防火墙、杀毒软件、HIPS、NIDS等，以各大主流产品为例，逐个描述对付他们的方法，以及怎样完善他们的安全设计。其实InformationSystemDesigner更应该站在Attacker的角度来设计产品~

其实，引领安全发展方向的感觉很不错的。非常希望早Ri看到非常完善的安全产品，以解救广大各类深受信息/网络安全威胁的人们，呵呵。




击败安全系统系列(1)之KasperskyInternetSecurity/KasperskyAntiVirus6.0

2006年5月15Ri，著名的反病毒安全软件厂商KasperskyLab发布了划时代的安全软件套装KasperskyInternetSecurity6（简称KIS6）以及KasperskyAntiVirus6.0（简称KAV6）。KIS6/KAV6比卡罢以前的产品有了质的提高。KIS6包含了文件防毒、邮件防毒、网页防毒、事前防卫（包括进程行为监控，监视各类代码注入、安装全局钩子、加载驱动/服务等行为；文件完整性检查；检查各类运用RK技术的文件/进程/端口/注册表隐藏；Office宏保护等）；反间谍软件、防火墙、反垃圾邮件等功能。KAV6比KIS6缺少了防火墙模块。

整体来说，KIS6非常强大。Руткит讨论组里，我们一致公认KIS6是目前最强的个人类安全套装。卡巴实验室里的确实都是精英，实力雄厚，许多东西都运用的Undocumented技术，导致我上一版本的WinDbg一进入内核调试状态就崩溃~ KIS6的注册表监控的非常全：NoWinodwsApp，ShellServiceObjectDelayLoad,ShellExcuteHooks,SharedTaskScheduler,SafeBoot,\Winlogon\Notify,AppInit_DLLs，开关机脚本等其他安全软件较少监控的自启动键值他都监控了；另外KIS6监控了各类代码注入，包括SetThreadContext的方法；监控了加载驱动、服务加载、通过\\Device\\PhysicalMemory对象进Ring0等；监控全局钩子的安装；文件完整性检查；反Rootkit，检测隐藏文件隐藏进程隐藏端口隐藏注册表；值的一提的是涂改PspIdTable方法隐藏进程的方法KIS6也能查。另外KIS6的防火墙的控管规则也比较细，不像国内的个人防火墙是以进程为最小控管单位，KIS6如国外的其他一些防火墙把控制策略细化到具体进程的某个端口，比如默认情况下只允许Explorer.exe访问HTTP80

第1页下一页