|
|
[color=#00008B]本文不代表译者的观点。转载请保留以下信息:
翻译:cyberarmy
Rootkit大师说:是杀软公司迫使我写Rootkit的
Posted on 12/20/2005 @ 10:34:46 in Security.
聪明的电脑用户知道当电脑被感染了Rootkit后,系统将受到根本性的改变。随着在WINDOWS系统的Rootkit的发展,Hacker Defender (hxdef)已经成为了使用最广泛,最流行也是最危险的Rootkit,它的作者holy_father将会告诉大家他写Rootkit的原因以及怎样可以检测到hxdef。
杀软公司出售的只是一种表面上的安全感,他们并不会给你的电脑带来真正的安全。杀软仅仅对付那些一般用户看的见的程序,他们并不在乎这些程序的根源。
如果我公布hxdef的反检测代码,杀软公司仅仅做的只是给病毒定义添加几个字节,或者通过某些手段来欺骗我的引擎。他们做给用户看:本公司产品可以处理使用了我的逃避检测引擎的rootkit。但是他们并没有解决问题,因此将会有更简单的办法不断的逃避杀软的检测。
这种态度为安全软件公司带来金钱和利益,因为用户下载升级,购买新版的产品。这就是为什么安全软件公司并不想改变现状。
我承认,杀毒软件可以保护用户不被广泛传播恶意蠕虫的感染。但是对于用户真正意义上的危险来自于使用私有工具的有针对性攻击。这些工具和我的程序使用相似的方法。因为杀软公司根本无法下载并提取病毒码所以它们不会被检测。安全软件公司只能查到那些已知的工具,但是因为问题的根源没有被解决,攻击者会成功的使用这些工具并达到目的。
我们必须要改变现状。Hacker Defender和其他Rootkit开发计划迫使安全软件公司关心问题的核心,开发出越来越好的产品。几年来,我看到了成果。现在状况变的比以前好了,但是Rootkit检测程序和反病毒软件还有更长的路要走。
这就是我为什么会继续寻找逃避这些低能产品检测的方法,直到反病毒公司给出真正解决方案的那天为止。这也是为什么我的很多顾客都是提供系统穿透测试的电脑安全从业者而不是恶意破坏的坏蛋。
很多人常常问我为什么要写Rootkit而不写安全程序。很显然我必须在这两者作出一个选择,Rootkit程序或反Rootkit程序。如果选择写Rootkit,那么就不会有人用我写的反Rootkit程序,反之同样是浪费我的时间。所以我选择了编写Rootkit,因为这会让所谓的安全软件公司感到寝食难安。
举个例子,微软宣称Windows恶意软件清除工具(MSRT)可以检测Hacker Defender。我总是使用最新版的MSRT来检测Hxdef,但是它连最新的hxdef公开版(hxdef 1.0.0 revisited)都检测不到。这个版本已经推出了好几个礼拜,任何人都可以下载到而且我还公开了源代码。
大家可以在自己的电脑上试试看。
收费版的Hacker Defender,是使用经过修改和干扰来逃避反病毒软件检测的公开版代码。每次提供程序给客户前我都会用升级到最新版的8个反病毒软件检测(Avast!, AVG, Kaspersky, McAfee, NOD32, Norton, Panda, PC-cillin)。每个客户的程序代码都是独一无二的,所以一个客户的程序被检测到并不会影响到其他客户的程序。
大家可以想一想,对危险或恶意程序进行如此简单的代码干扰就可以逃避反病毒软件的检测。简单的就像在程序里修改几字节的数据就可以欺骗你那昂贵的反病毒产品。
这让我们不得不思考反病毒软件是如何工作的,那些所谓可以检测未知威胁,强大启发的式引擎究竟意味着什么。大家不妨到一些反病毒公司的网站上看看他们有些什么产品和功能,然后自己对你最喜爱的恶意程序修改几个字节的代码,这样你就会有自己的结论。
更高级的收费版本还包含可以逃避所有现在最有名最新版的Rootkit检测程序检测的引擎。这些Rootkit检测程序包括:Blacklight, 冰刃, UnHackMe和RKDETECTOR 2.0等。
很奇怪的就是Hxdef的反检测引擎已经使用了好几个月之前,而且至今没有改动(除了修正一些细小的Bug)。即便如此,现在也没有任何一个安全软件可以通过这个反检测引擎。
大家都在期盼着第一个可以通过Hacker Defender反检测引擎的真正意义Rootkit检测程序。Hacker Defender的存在只是为了告诉杀软公司他们还需要不停地完善自己的产品。 |
|
闽公网安备35020302032614号 )
IP卡
狗仔卡
发表于 2006-1-20 15:48:50
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡