从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。
智能行为监控
随着防火墙的发展,现在的ZoneAlarm,Kaspersky等都发展成了所谓的“安全套件”,能够多方位的保护用户的系统。查杀未知的病毒和木马是所有防火墙厂商都非常注视的一环。在目前来说,查杀未知病毒木马,最行之有效的方法,就是类似于ZoneAlarm,Karpasky Internet Security,Mcafee,System Safety Monitor等安全工具的智能行为监控手段。实践证明,这种智能行为监控针对未知的恶意软件有着强大的杀伤力。例如,灰鸽子无论如何加壳变形,能够躲过杀毒软件的查杀,也不能逃避ZoneAlarm的智能行为监控;很多地下流传的没有公开的木马,放上去安装,在安装过程中也一样会报警;甚至很多0day overflow exploit在执行过程中就会报警。可以说,这个可能是目前最有前景的防火墙新技术。
例如,一个智能行为监控模块,可以监控以下进程行为,并且判定为恶意软件或者提示用户,让用户选择是否允许:
把自己注册成每次开机自动启动;
装载可疑的内核驱动程序;
注册未知的新服务;
修改或者替换系统重要文件;
使用raw_socket接口;
可疑的word宏或者脚本;
可疑的邮件附件例如可执行程序;
安装windows消息钩子;
创建远程线程到其他程序;
创建受控制的傀儡进程;
对系统API的请求来源代码和数据区在同一区域;
监控上述的这些行为,全部都可以使用系统钩子,消息钩子和API钩子等技术来实现,洗劫这里就不详细谈了,熟悉hook的技术人员都应该知道怎么做了。
反流氓软件技术
目前的信息安全领域,由于病毒的不可控性和黑客的技术门槛提高,黑客攻击和病毒攻击均有大幅度减少的趋势。但是一种新型的安全威胁却在日益的发展壮大,这种很不同于传统病毒的安全威胁,就是从开始就彻底的有明确商业目的的流氓软件。这种软件为了自己的商业利益,不惜牺牲客户的权益,强行在客户的浏览器上安装,驻留系统,强制制止用户卸载或者删除自己。这类软件也带来了非常大的麻烦,经常性地弹出广告页面,篡改用户浏览器主页,篡改用户浏览器搜索引擎,降低用户系统性能,更严重的是很多设计低劣的流氓软件会让用户的系统变得很不稳定,经常性的死机和重起。大量的防火墙客户对流氓软件深恶痛绝,希望防火墙能够在流氓软件安装的时候能够提示客户,给客户一个选择的机会。因此这也成了新一代防火墙应该拥有的功能模块。
由于流氓软件不同于一般病毒木马,有着强大的商业支持,升级换代非常快,并且碍于各方面的影响,防火墙和杀毒软件不好将其作为病毒木马来查杀,否则可能会引起法律和商业等背景关系上面的很多问题,所以比较好的一个选择,就是防火墙厂商使用行为监控方法来提示用户流氓软件的安装。
流氓软件除了拥有普通木马或病毒的以下几个特征,
把自己注册成每次开机自动启动;
装载可疑的内核驱动程序;
注册未知的新服务;
之外,还有一个很重要的特征就是劫持浏览器。以下的为了避免麻烦,均不举软件实例。
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,这个被叫做BHO插件的东西,是最多流氓软件和ie插件的栖身之所,监控这个健值是最重要的;
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks,这个健值可用来劫持搜索引擎;
HKLM\Software\Microsoft\Internet Explorer\Toolbar,很多浏览器插件也会注册在这里;
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Extensions HKLM\Software\Microsoft\Internet Explorer\Extensions 这四个键值也有流氓插件钻入的可能。
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main和 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main这两个子目录下面有大量的IE首页,搜索页面等敏感信息需要保护或者提示用户,这里就不仔细说了。