2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
1. 界面
2. 引擎 及
3. 行為監控
而今次就是要探討的是2009的行為監控
技術 : 03/11/2008 補充
Of course we improved these function and yes most adware is blocked through
registry entries, but also the bevaviour is monitored so if some programs uses
algorithms like or similar to a keylogger or trojan it's also blocked. In
general we improved our search engines and our backub function is working
better than before. Of course GData tries to disinfect the files and tries to
block malware function and behaviour but that isn't always possible.
對比 2008, 這版本 (2009) 已改善這項功能.
事實上, 大部份 "廣告軟體" 會因為修改系統登錄資料而被封鎖, 除此之外, "行為" 亦被監控, 因此, 如果程式所使用的算法相類似鍵盤記錄程式或木馬程式被亦會被封鎖.
整體而言, 我們 (GDATA) 了改善 "搜尋引擎" 而 "備份功能" 亦較之前的版本好.
當然, GDATA 嘗試解毒檔案和嘗試封鎖惡意軟體的函式及行為, 但不是每次都成為功
測試 :
為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.
樣本一 :
行為 :
QUOTE:
建立檔案
目錄 檔案 C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt1.tmp C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt6D.tmp C:\Documents and Settings\使用者名稱\Local Settings\Temp\ .tt1.tmp.vbs C:\Windows\System32\ blphc35dj0erc1.scr C:\Windows\System32\ lphc35dj0erc1.exe C:\Windows\System32\ phc35dj0erc1.bmp C:\Windows\System32\Restore\ MachineGuid.txt
QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lphc35dj0erc1 C:\Windows\System32\lphc35dj0erc1.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier InstallID 69f3c199-439e-4507-bc0b-2407cecad524 HKEY_CURRENT_USER\Control Panel\Desktop ConvertedWallpaper C:\Windows\System32\phc35dj0erc1.bmp HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE C:\Windows\System32\blphc35dj0erc1.scr HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage 0x00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispScrSavPage 0x00000001 HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver EulaAccepted 0x00000001
QUOTE:
修改註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestor DisableSR 0x00000000 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders AppData C:\Documents and Settings\NetworkService\Application Data HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Cache C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files HKEY_CURRENT_USER\Control Panel\Colors Background 0 0 255 HKEY_CURRENT_USER\Control Panel\Desktop ScreenSaveActive 1 HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper C:\Windows\System32\phc35dj0erc1.bmp HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle 0 HKEY_CURRENT_USER\Control Panel\Desktop OriginalWallpaper C:\Windows\System32\phc35dj0erc1.bmp
QUOTE:
網路連線GDATA 的行為監控結果 :
成功偵測到 Startup 的行為
行為的詳細資料
成功把檔案移動到隔離區
樣本二 :
行為 :
QUOTE:
建立檔案
目錄 檔案 C:\Windows\ 1.bat C:\Windows\Help\ B41346EFA848.dll C:\Windows\Help\ B41346EFA848.exe C:\Windows\System32\ 2.bat
QUOTE:
插入處理程序
目標程式 插入的模組 C:\Windows\explorer.exe C:\Windows\Help\B41346EFA848.dll C:\Program Files\messenger\msmsgs.exe C:\Windows\Help\B41346EFA848.dll C:\Windows\System32dllhost.exe C:\Windows\Help\B41346EFA848.dll C:\Windows\dns\sdnsmain.exe C:\Windows\Help\B41346EFA848.dll C:\Program Files\internet explorer\iexplore.exe C:\Windows\Help\B41346EFA848.dll
QUOTE:
GDATA 的行為監控結果 :
建立註冊表
路徑 名稱
數值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 (Default)
C:\Windows\Help\B41346EFA848.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32 ThreadingModel
Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765} (Default)
SSUUDL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {1DBD6574-D6D0-4782-94C3-69619E719765}
無法偵測到可疑行為, 系統已感染
樣本三 :
行為 :
QUOTE:
建立檔案
目錄 檔案 C:\Documents and Settings\All Users\Application Data\fyhilcnk\ nevedqfm.exe
QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run dvZRWdGoeW C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe HKEY_CURRENT_USER\Software\Uninstall dvZRWdGoeW 0x48BFA73A
QUOTE:
GDATA 的行為監控結果 :
開啟連接埠
應用程式 協定 連接埠 C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe UDP 隨機
無法偵測到可疑行為, 系統已感染
樣本四 :
行為 :
QUOTE:
建立檔案
目錄 檔案 C:\Windows\System32\ j3ewro.exe C:\ autorun.inf C:\Windows\System32\ jwedsfdo0.dll C:\Windows\System32\ jwedsfdo1.dll C:\Windows\System32\ jwedsfdo2.dll
QUOTE:
插入處理程序
目標程式 插入的模組 C:\Windows\explorer.exe C:\Windows\System32\jwedsfdo2.dll
QUOTE:
建立註冊表
路徑 名稱 數值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run jvsoft C:\Windows\System32\j3ewro.exe
QUOTE:
修改註冊表 路徑 名稱 數值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0x00000000
QUOTE:
GDATA 的行為監控結果 :
下載檔案
URL 目標資料夾 http://www.12aas.org/xjj/cc1.rar C:\Documents and Settings\使用者名稱\Local Settings\Temp\
無法偵測到可疑行為, 系統已感染
結論 : 03/11/2008 補充
就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.
得到官方說明產品的技術, 雖然不詳細, 但我們知道 GDATA 2009 行為監控是多方面的, 不只是註冊表. 可是, 由這個簡評可以反映出事實並未如官方所說的.
期望 : 03/11/2008 補充
作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.
另外, 在「技術」的最尾, GDATA 是有想過發展並應用 SandBox 技術在其行為監控, 可是, 他們似乎遇到障礙.
估計 :
由於這次的結果真是大失所望, 估計導致的原因有一 :
德文版GDATA 2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
因此要待英文版釋出作進一步的測試
進一步測試結果 : 10/10/2008 補充
由於今天 G DATA 官方終於發佈英文版, 可以讓這個測試繼續以驗證之前提及的估計
可惜, 結果與德文版一樣, 即是說現在的 "System Protection" 仍然不是十分穩固
QUOTE:
10/10/2008 加入「進一步測試結果」這內容[ 本帖最後由 000110 於 2008-11-3 15:16 編輯 ]
03/11/2008 補充「技術」,「結論」,「期望」這三項內容
Edited by 000110
我也來說兩句 查看全部評論 相關評論