杀软本来就不能保证安全

最近Flame、Duqu和Stuxnet病毒的更多信息不断曝光, 但这些病毒有的早在一年多前就已破坏了很多系统和设施。 而直到最近,很多杀软都未能查杀这些这些病毒。 这是网络战不希望被提前曝光? 还是杀软的算法有漏洞?

这些病毒,使用一些常用的库,使代码看起来像是一个正常的程序而不是恶意程序,而且没有加壳和混淆代码。但我认为最重要的是使用了数字签名。

众所周知,很多杀软见到加壳的程序一般都直接报毒(极少数软件除外,如FG)。所以,若病毒要逃过杀软的法眼,加壳并不是很凑效的办法。

像Flame那样,使用数字签名,就能骗过很多杀软,因为杀软识别未知程序的时候一般依赖数字签名。


(图片来自外媒)


但Flame使用的是有效的数字签名(不知道它怎样搞到MS的Certificate来签名的 它使用了碰撞),而一般的病毒作者应该很少会花几百dollar来买个有效的证书给自己的病毒签名,更搞不到MS的证书来签名了。

问题是,使用无效的证书来签名,也能骗过杀软。以下是简单的测试,使用Avira 2012。(但不单Avira,很多杀软都有这问题。)

test.exe被Avira 2012判为病毒

而为test.exe加上一个无效的数字签名后,Avira 2012安静了。

所以,那些100%相信杀软的人该注意了。

发表评论 | Trackback
2012年6月5日 | 归档于 Hack
标签: , , , ,
本文目前尚无任何评论.

发表评论

XHTML: 您可以使用这些标签: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
订阅本文评论
CAPTCHA
*