有關AVP.....Kasperksy



贊助商連結


acatz
2002-04-10, 01:46 PM
[轉貼]

這篇文章,原載本月的<電腦應用文摘>考慮到很多人在國外,可能買不到這份雜志,

特別奉獻給大家!!

特特特特別感謝: 文字錄入 NO.1 SmartP (改天給你捶背 )

文字錄入 NO.2 nickwolfe (改天請你吃qiunaokujin liaoli)

___________________________________________________________
編者按:就算對電腦一無所知的人,聽到"電腦病毒"四個字,也會流露出一副敬畏的神態.去年美國"9.11"事件后,人們更把流傳在互聯網上的病毒視為恐怖行為的一部分.在充滿神祕色彩的電腦病毒界,大致有兩種人:AVER和VXER. AVER,就是Anti-Viruser,即編寫反病毒軟體的人;與這相對的VXER不言而喻就是編寫"病毒"的人了(姑且先稱這為"病毒",因為這些人從來不用Virus這個詞來描述他們定的程序,多用VX).由於商用反病毒產品架構的成熟化,便利目前的反病毒技處於無法產生飛躍性突破的膠著狀態,對病毒界來說,這是一個不容易產生天才的時代,我們姑且稱這為"后英雄時代".作為民間反病毒領域曾經很活躍的一員,江海客在編者的邀請下,經他在安全焦點論壇上的一個帖子<<關於反病毒與病毒----我的一點心里話>>為藍本,為本刊撰定了專稿,讓我們超過隔離帶,一窺這個不太為人所知的病毒世界.

后英雄時代的 AVER與VXER
文/江海客([email protected])

話題的起因
這幾年,我離技術已經越來越遠了,不過還不能說自己對病毒就完全喪失了發言權,畢竟還是跟著反病毒和病毒技術的對抗與發展學習了幾年,而且謀略成為一個民間的AVER的努力也一直在延續.介事實上,民間AVER永遠難以擺脫業余的境界,難以擺脫基礎和條件的限制,隨著商用反病毒產品描述的不斷規範化和成熟化,這種趨勢就越來越明顯.不是說你定一個killCHI你就是很有水準了,1對面1的分析的方法、技巧、編碼查殺很多都只對自我提高有些價值,不中心構造商用反病毒產品。反病毒曆史上靈機一動的小聰明都有不會成為諒技術的,什麼引導區覆蓋法,什麼微量互鎖,什麼免疫加殼,無一不被時間拋棄了。
而同時商用反病毒產品的技術,越來越樓台高鎖,大家的交流只限於樣本交換,而沒有技術交流,對於技術內核外人就更難以涉足了。民間愛好者採用逆向工程的角度來剖析現有的大型反病毒產品,已經有些勉強,僅僅從引擎和庫結構的角度,分析起來應該還可以一做,但類似虛擬機的工件已經不是個人所能為之,而針對企業級解決方案層次的軟體,對全平台的支持,實際原理都並不復雜,關鍵在於巨大的編碼量並不是單兵作戰所能承擔的,這都是民間愛好者必然遇到的又一難以解決的困難。

煮酒論英雄
對一些曾夢想做反病毒產品資深ASM程序員的人來說,他們覺得生不逢時的原因是,整個反病毒產業格局已定,各大反病毒企業的整個引擎結構也都已經基本成型,天才的時代已經結束,剩下的多數只是留給普通工程師的一些經驗性工件。這甚至使大型AV(Anti-Virus,防病毒)公司的多數程序員見香需要付出很多精力,事實上得到的很多樣本在表態分析中都已經基本解決,成型的虛擬機和樣本評估機制,加上強大的知識庫使他們可以很悠閑地應付工作,譬如當他們遇到Magistr時根本不用從頭分析里面的兩個加密引擎。或許你會發現,AV企業的一般工程師,玩起SoftICE的手法,遠沒有Cracker熟練。
但我依然熱愛這個領域,這個領域有我以及我的朋友們的偶像,比如Eugene Kaspersky和Alan Solomon.
Alan Solomon博士是反病毒領域為數不多的大師這一,這位劍橋的畢業生1988年投身反病毒研究。他是最早把偏移量的方法與特征匹配相結合的,現在看起來這個思想很簡單,但在當時確實讓AV軟體從極度笨拙的全對象特征匹配中角脫。他所造就的Dr Solomon's一度是歐洲最受歡迎的反病毒軟體,但如今這位技術的巨人卻隱匿在托拉斯的陰影里。1998年,NAI(美國網絡安全聯盟,由反病毒企業McAfee Associates與網絡安全公司Network General合並而成,是世界十大軟體公司之一,編者注)憑借資本的力量,在全球收購了10家軟體公司。Solomon的S&S(Dr Solomon's)就是其中之一。
但AVER們對NAI的創始人之一的John MacAfee的敬仰之情遠遠不及Alan Solomon,盡管前者同樣曾經是很優秀的程序員。在他們眼中,這種吞並是一種強取豪奪,而不是技術上的優勝劣汰的結果。當然程序員們並不都會從醬和市場的角度去理解問題,融他們也可能不能工巧匠潛必作程序員了。其實,與其說這次兼並是為了謀求市場的成功,不如說是尋求技術的優化,MacAfee的相擎經過一番打造,基本被換成了Dr Solomon's 的。在戌小組中,一派原Solomon的人馬帶領MacAfee的工程師們高歌猛進的景象,看著MacAfee的弟子對Solomon的門徒崇拜備至的感覺,大可使不明真相的人以為,被吃掉的不是Dr Solomon's 而是MacAfee.
作為AVP (AntiViral Toolkit Pro)的締造者,Eugene Kaspersky 也是傳奇般的人物。自從他們989年進入這一領域,這個軟體就一起以shareware的姿態傳播,但卻始終是業界技術口碑最好的反病毒產品之一。與NAI、Symantec這樣的動作性企業不同,Eugene Kaspersky帶領著他的實驗室一直默默無聞地在技術的道路上前進。
AVP 得到高手們眾口一詞的贊揚首先是因為其在虛擬機和啟發式掃瞄方面所做出的巨大貢獻,有人指出AVP對未知病毒的監測上已經達到了一個極限水準。在對這個軟體進行分析時,我曾深深地被其異常精彩的內部結構震撼,整個引擎和庫的構造可以說不公是一種科學,更是一種藝術。
一些資深的使用者也能感受到AVP整個規划完全無愧於大師水準,與其它的反病毒產品需要在頁面上指點著使用者哪個版本需要用哪個資料庫昇級不同,AVP只用一套資料文件,就能輕松完成從以前DOS版本在For NT Sever版本的引擎和資料庫的昇級。AVP 的反病毒庫公認是最出色的,不公是VXER們,甚至一些反病毒公司,都有使用AVP的LOG(病毒列表)來交換樣本,堪稱為奇觀。
Kaspersky的路也不是一帆風順,與Dr Solomon's 被兼並不同,AVP在職1999年底遭遇了散伙風波。散伙的起因來自一個當初比較草率的組合,人微言輕后起這秀的Gabriel Pislaru一度率領反病毒產品AVX加盟AVP旗下。這位羅馬尼亞小伙子確實也是一名天才程序員,他一個人完成了AVX for Proxy Server, AVX for ICQ Plugin 等幾個軟體的開發。對於一直專注於卓面領域的Kaspersky來說,期待AVX能從server平台入手,形成完整的產品線的戰略考慮不言而喻。
但出乎意料的是,高手之間的沖突,卻往往得吏加殘忍。1999年底羅馬尼亞人不公拋棄了他的俄羅斯大哥,跑到美國去了,更對使用者宣稱,AVX就是AVP的昇級版本。頓時,此舉遭到了圈內的一致譴責。一些資深的VXER都站出來對AVX進行了批判。好在Kaspersky迅速進行了調整,在全球統一了Kadpersky Labs的旗幟,而且終於在於2001年底拿來出了比較完整的服務器產品線。
與兩位當今業界的老大MacAfee和Symantec相比,Kadpersky Labs這種學院派企業並不起眼,而即使是Dr Solomon's 在最鼎盛的時候,也不是那種能打出“《財富》500家中的有XX%使用我們產品”廣告的東西。上面這兩位大師所耕耘的歐洲土壤,畢竟不如美國的IT土壤肥沃,歐式技術紳士眼中發現的只是病毒,而美國牛仔們看到的則是市場。所以很少有大眾媒體把光環套在他們腦袋上,給予他們贊揚的都是業內的程序員們,那是一種對英雄的尊敬和崇拜。在地下病毒網站上,只會討論如何逃避AVP的檢測,而對NAV不悄一顧。當然也有資深工程師說這並不公平:“在結構和庫方面,AVP當然是最好的,但在一些程序細節上,不是NAV更勝一籌”,但很少有人知道Symantec的NAV的作者是誰,反正不應該是Norton自己。在技術人員的視野中,產業霸主總是被忽略在技術巨人的陰影里的。
然而我們並不清楚兩位大師如今是否愜意,在AVX出走后,Kasperksy連avp.com的域名都失去了,而AVP更名KAV仿佛是一種無奈的個人崇拜,而Solomon早早失去了自己的公司,還好MacAfee技術人員仍然對他崇拜得五體投地。

民間的衰落
至於國內的反病毒圈子,我覺得說得已經很多了,而且也沒什麼好說的了。沉默的重要原因,是去年年初的一件事情給了我很大的打擊,由於比較敏感的關係,不再想提了,何況看起來根本和我沒什麼關係。不過當時創造性的不是我一個人,一個哥們打電話給我說他要退出圈子了,他說“從今后中國反病毒圈子的任何事情和我再沒有關係”,那種心情可能就是所謂絕望吧。他的悲哀或者我們的悲哀在於我們堅信這個領域需要秩序,而事實上種種期待是一種妄想,而且作為民間的AV FANS,我們的工件可能從嚴沒有被認可過。同時這些民間AVER出路呢?自己自立旗杆,從頭做起,顯然是痴心妄想。如果投入商用反病毒公司的懷抱,大概都會有一促難以名狀的悲哀。也許放棄這個領域,雖然無奈,卻不失為最好的選擇。
說到這里突然想起了陶辰,2000年初,他的sodu99還是國內碩果僅存的唯一民間反病毒產品,而他自己的正式工作是某處資曜企業的工程師。2000年初的一天夜里,在一家小店和他對飲之后,看著他消失在街頭的背景,我突然感到,如果有一天他放棄sodu99的昇級,也許是一種暖和。我不幸言中。
當年水木清華的Virus版斑竹BlueSee在告別了263副總的位置后,目前在一家軟體公司擔任CTO,盡管回歸了技術,但領域和麼病毒沒有任何關係。
AV98是從企業到民間的,現在公安部通過病毒防治檢測的名單上已經沒有這個軟體的名字了,在動作遭遇巨大挫折后,AV98作為一個免費的產品,仍在繼續昇級。雖然憑借著與國處廠商緊密的聯系和比較豐富的技術儲備,維持昇級並不是問題。但作者劉杰還是聲明將在1個月內關閉網站,他也不想撐下去了。
其實如果跟不上商用反病毒技術的發展,做一個民間的AVER可能遠比做VXER艱難,希冀獲取商用反病毒技術的內幕除了自我分析,很難有更好的便利途徑。在網上幾乎很難找到有價值的資料,至少公開逆向工程的結果是不受鼓勵的,AV企業的程序員,也不會自己來學雷鋒,從商業競爭的角度不說,這個結構的公開,對使用者的結果本身就可能是個災難。這連AVP、FSAV這樣杰出的反病毒產品,都遇到過類似MIRROR等一些專門鉆某個反病毒產品空子的病毒,讓他們掃瞄時進入死循環。更不要說其它產品了。大家還記得SAC定的那個KV300掃瞄到利用軟體Bug少許活就格掉使用者硬碟的小程序吧(也就是所謂的KV300邏輯鎖)?

VXER的地下風景線
反病毒技術需要大量的積累,而VXER往往只需要用到下個局部的小技術就可以了。就像I worm.loverletter(就是所謂愛蟲病毒,編者注)的作者可能不懂匯編,甚至連下個C程序員都不是,但它卻大面積流行了。其實當今很多滸的病毒,都有不是作者有多麼高的程式化水準,而是用了類似社交工程或者心理學一類的方法。比如庫娃病毒的作者連編和都有不會,但卻利用了網民的窺視心態,以比如Word97.Messlia作者用一個色情站台list的word文件作為病毒載體,比如I-worm.sircam那種取本機文件名的手法。
當然,那些資深的VXER對此是不齒的,他們不以自己的病毒傳播如何廣泛為榮。這些人的品性有些類似老牌黑客的紳士風範,這些人中確實也有我很欣賞的。比如對win32的內核有很深了解的29a的Benny,事實上,他定的東西,不出意外是永遠不會傳播到你機器中的,但AVE(AVP病毒百科全書)仍然會給與他的“作品”以大量篇幅。Benny這樣的人,針對一個新的平台,新的思路,定一個新病毒,並不房間地支傳播,而是首先把它Post給予反病毒企業,想象反病毒公司那些呆頭呆腦的樣本分析工程師們發出----“我靠,原來病毒也是可以這樣編”的驚呼,然后心情緊張的把樣本交給公司中的前輩高人尋求指點,他們就已經心滿意足了。
據說Benny只有20歲,但他卻秉承了很多前輩的氣質,在法律的邊緣地帶生存得十分理智,他始終心研究為宗旨,不超越雷池一步。在13歲的時候,他擁用了自己的電腦,在同齡人專注於游戲的時候,他就開始了Pascal的學習。1年后,他在感覺已經很了解結構化的方法之后,開始了他的匯程式化序員之咯。有幾種技術上頗有創意的病毒都出自他手,比如去年被AV企業廣泛關注的第一種跨Win32和Linux平台的病毒。
類似Benny這樣的人並不是很多,但也構成了若干部落,他們更在意行家對他們的欣賞,他們以自己的作品在AVE中有一席之地而榮幸。他們需要的不是全球使用者對他們的咒罵,而像Eugene這種正派高手惺惺相異的目光。這些資深VXER的生態,和那些資深HACKER一樣同樣是IT世界中最為扑朔迷離的地下風景。
我是斷然反對程序員編寫病毒的,但我認為反病毒企業是絕不能只站在自己的角度,而不去揣摩VXER可能使用的手法,否則就會陷入極度被動的境地。反病毒本身也不該是孤立技術,而應該是安全體系的一部分,但也許是因為這個市場最先成熟,需求旺盛,其最先完成了資本原始積累的過程,所以全反病毒領域總是如同松鼠的尾巴包裹全身一樣緊緊地“保護”住這地領域。不知是否是這個原因,網絡安全的各種會議、論壇上、你熱愛難找到反病毒公司的身影。兩個圈子仿佛是隔離的。這在過去還會有任何問題,過去HACKER與VXER是涇渭分明的,不會“勾結”在一起。因為VXER本身就是更隱蔽的,至少,拉斯維加斯的黑客大會上,不會有他們的身影,他們更難有自己的聯歡會。與對黑客的毀譽參半相比,Benny那種邪中的三分正氣,是很難為人所見的,而大家始終認為HACKER在面對VXER的時候,有足夠的理由不悄地揚頭而去。寫黑客工具的人可以說,工具是我造的,使用工具的人應該自選負責,但寫病毒的人很難去說,毒葯是我配的,但不是我賣的。原因很簡單,一般情況下,攻擊行為是定向、可控制的,而病毒的傳播是一種“散射”,如同 潘多拉盒子里的魔鬼,一旦放出去,就難以預料傳播多遠,何時才能查殺干凈......
但從目前來看,反病毒技術和網絡安全技術必須結合,VXER圈子本身就是良莠不齊,而多數新派的VXE更是越來越缺少那種紳士的遺風。他們毫不猶豫而貪婪的使用HACKER們的成果,機時當今的HACKER他也很難保有前輩要與VXER划清界限的高潔,窨是認向靠攏,很難說請,但至少RedCode和Nimda的風格斷然不像VXER所謂,而更像從事網絡安全研究的人的手筆。許多HACKER手中都留個自己寫的小木馬作為“祕密武器”,這也早是公開的祕密。
則同時,基於年以來,AV Ware (反病毒軟體)一直是面對病毒居高臨下的,他們面臨的多數只是病毒刪除他們自身文件之類的威脅,很少經曆過黑客們像尋找OS漏洞那樣的嚴格剖析。機時由於企業級反病毒方案的日趨滸,其自身的安全問題必須得到解決,消息通告、庫的昇級頒發等環節是否有足夠的強度,已經變得非常重要。AV Ware的Control Center(控制中心)完全可能成為攻擊主電腦的突破口,這也約非聳人聽聞。

尾聲
VXER更為地下的生活,但他們積累了比估計遠為豐富的經驗和強大的能量,這種技術儲備如果也黑客工的思維結合,可能會帶來災難性的后果。我過去說過我是不想表現先知的,否則就是給VXER們提示思路。對此,我現在也不想,我們能做的和該做的,是為這個脆弱的住處社會的肌體增加一點免疫力。

贊助商連結


yessteven
2002-04-11, 12:36 AM
請問哪裡可下載中文化的AVP.史萊姆已經沒啦!!