申明:言论仅代表个人,与所在公司无任何联系。
这两天看到不少有关
Norton
误报
WinXP
中文版的两个系统文件为病毒的报道。
不过,今天在
CSDN blog
上看到了王开源先生的一篇文章,
“从诺顿误杀WinXP后门误猜国家机密被窃取
”。读完以后,首先,我觉得非常失望。我衷心希望我们的
Open Source
不要沦落到需要炒作类似街头花边新闻来吸引眼球的地步。
任何时候,都让我们摒弃一些浮躁,扎扎实实的从技术做起,这样对我们的软件产业才最有好处。
下面给大家分析一下
Norton
这次事件技术细节。
首先,
Norton
误报的这两个系统文件分别是:
Netapi32.dll
,这是
Windows
系统用来提供基本的网络功能
API
的系统文件。
Lsasrv.dll
,这是
Windows
系统用来提供本地安全功能,如密码验证等的系统文件。
Lsasrv
是
Local Security Authority Service
的缩写。
Lsasrv.dll
被系统进程
lsass.exe
使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的
工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对程序特定区域的一个
Hash
,仿真运行(
Emulation
)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个
HASH
,如
MD5
或
SHA1
。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量
X
位置开始的
Y
字节的
HASH
等等。这个特征码就有可能也检测到病毒文件的变种。但是,也就有可能发生误报。
所以说,防病毒产品的误报(
False Positive
),并不是一个新闻。
Symantec
发生过,
McAfee
发生过,微软的
Onecare
也发生过。
第三,为什么
Norton
出现了对这两个文件的误报。如果熟悉
Windows
操作系统安全漏洞和病毒历史,看到
Norton
误报的这两个文件就可以将发生的情况估计的八九不离十。特别申明,由于我并不在Symantec工作,以下的我个人的估计,也有可能与事实有所出入。
这要从微软的
MS04-011
安全漏洞说起。
MS04-011
的安全漏洞是
Lsasrv
的远程缓存溢出漏洞。
Eeye
有一段非常详细的技术分析。
Windows Local Security Authority Service Remote Buffer Overflow
http://research.eeye.com/html/advisories/published/AD20040413C.html
要想利用这个安全漏洞,需要一个定制的
DsRoleUpgradeDownlevelServer
(
Lsasrv.dll
中的一个函数)的实现。为了做到这一点,攻击者需要自己修改
(patch)
一下
Lsasrv.dll
和
Netapi32.dll
。因此,利用
MS04-011
的病毒往往会包括三个程序,
病毒的主体(网络扫描和发送
Shell Code
)
一个修改过的
Lsasrv.dll
实现
一个修改过的
Netapi32.dll
实现
反病毒公司需要提供对这三个文件的检测。病毒的主体的特征码提取还好办,对于后两个文件,也就是修改过的
Lsasrv.dll
和
Netapi32.dll
,特征码的提取就要非常非常小心了。这是因为,这两个文件,和原始版本的真正的系统文件,差别非常小,只在很少几个地方修改过。如果不注意的话,特征代码提取到了没有修改过的文件部分,这个特定代码,就会把原先好的系统文件也误报成病毒了。如果收到的病毒样本是基于
WinXP
中文版的
Lsasrv.dll
和
Netapi32.dll
的修改,提取特征代码不注意的话,那么误报
WinXP
中文版的
Lsasrv.dll
和
Netapi32.dll
也就会发生了。
最后,我想说两句题外话,如果你想要了解操作系统的工作原理(现代操作系统的工作原理和体系结构都是类似的,不管是
Linux
还是
Windows
),网上的资料,公开的
Symbol
文件,一个好的
debugger
,如
WinDBG
,一个好的反汇编程序,如
IDA
,可以告诉你想知道的所有信息,只要你花时间钻研技术。
6月16日更新:
首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
我刚刚写了 再谈:Norton误报WinXP事件的技术分析 二 ,
http://blog.csdn.net/chengyun_chu/archive/2007/06/16/1654028.aspx
有更多的技术信息,希望对解答大家的疑惑有所帮助。
谢谢