瑞星在污蔑360有“后门”的文章中,把bregdrv.sys和bfsdrv.sys两个文件作为后门存在的铁证,看了实在让人无话可说。bregdrv.sys和bfsdrv.sys是非常传统非常经典的Anti-Rootkit驱动的实现,在绝大多数安全软件中都有存在,怎么可能是所谓的"后门"?瑞星连ANTI-ROOTKIT技术都不懂,竟把别人的高级木马清除技术认为成是“后门”,实在是让国内外安全界的业内人士笑掉大牙。
下面我来分析一下麦咖啡、AVG、趋势、AVAST等几款杀软内含的和360一样的Anti-Rootkit技术,如果按瑞星的逻辑,Anti-Rootkit就是后门的话,这些国际大牌杀毒软件岂不是都有和360一样的“后门”?
在国际老牌麦咖啡(Mcafee)杀毒软件中 ,就有这样的驱动程序,下面是Mcafee的Anti-Rootkit驱动,同bregdrv.sys一样,存在同样的“越过WINDOWS安全检查”,进行注册表操作的实现功能。同bfsdrv.sys一样,同样会“越过WINDOWS安全检查机制”,操作文件、例如写文件、删除文件等等。
MCAFEE有效签名的ANTI-ROOTKIT驱动程序
驱动中的在内核模式下直接调用ZwSetValueKey进行注册表操作的代码片段,这部分代码将绕过Windows安全检查机制,直接操作注册表:
下面是利用ZwDeleteKey的代码,同360安全卫士的bregdrv.sys类似,在内核模式调用ZwDeleteKey,同样会绕过Windows安全检查机制:
下面是国际著名的趋势科技杀毒软件中的Anti-Rootkit驱动,其中同样会调用内核模式的ZwDeleteValueKey,同bregdrv.sys一样,绕过Windows安全检查机制,进行直接的注册表操作:
存在有效驱动的趋势Anti-Rootkit 驱动内核模式驱动
趋势的Anti-Rootkit驱动会接受应用程序发送的控制码,直接调用ZwDeleteValueKey,可以绕过Windows安全检查机制同bregdrv.sys一样。
趋势的Anti-Rootkit驱动会接受应用程序的命令,直接强制删除文件,绕过Windows安全检查机制。
国际著名的AVG杀毒软件的Anti-Rootkit驱动同样会调用内核模式的函数,绕过Windows安全检查机制,进行文件操作,同360安全卫士的bfsdrv.sys一样。
AVG的驱动程序绕过Windows安全检查机制,直接删除文件。
国际著名的AVAST!杀毒软件中的Anti-Rootkit驱动同样有类似的功能,下面是AVAST!的Anti-Rootkit驱动:
可看到有Avast!的公司ALWIL Software的有效数字签名。
所以,瑞星把Anti-Rootkit说成是后门,要么是无知,要么就是故意诬陷。我觉得不排除瑞星真的有可能是出于无知,这倒是和瑞星的技术水平很相称 |
发表于 2010-2-8 19:57:53
发表于 2010-2-8 20:26:38
发表于 2010-2-8 20:32:06
楼主