2008-12-10

Crack與防毒軟體誤報

前兩天在AVPClub看到了這樣一篇的討論
內容大概是有網友問說為什麼Patch或Crack容易被報毒
確實!這類的東西很多防毒軟體都會將其視為威脅!
所以有一些人會將這整件是給想程式陰謀論,認為這一切都是廠商跟防毒軟體廠商勾結
但事實上少數的廠商確實有這麼做,但是這整個現象並不能用來解釋新出的也會被報!
如果用簡單一點的話來說明,我們可以把它想像成這樣真正的病毒會破壞你系統中的程式
可能是exe執行檔也有可能會破壞mp3或jepg等格式的檔案
但是破解程式這類的東西(包病毒的不算),在一般人的觀念裡Patch或者是Crack這樣的東西
只要不是騙人而真正可以使用的都應該為"Clean",也就是白色的狀態
但事實上Patch或Crack這類的東西,實際上只是接近"Clean"而色介於白色跟黑色之間的"灰色"
下面我實際用一個灰色的樣本來說明它跟真正會破壞系統的病毒的差別!


首先一般的Crack不會有這麼多動作,尤其是對"非被Crack軟體"之外的行為太多了
從SandBox裡頭我們可以發現,這個破解軟體對註冊表有很多動作

CreateRegValue \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}\StubPath

CreateRegKey \REGISTRY\MACHINE\Software\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}

ModifyFile C:\WINDOWS\system32\sc.exe

CreateFile C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Driver.exe

ModifyRegValue \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1281886e-f313-11db-99f0-806d6172696f}\BaseClass

ModifyRegValue \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b8cd10-9d15-11dc-9a65-806d6172696f}\BaseClass

ModifyRegValue \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12818871-f313-11db-99f0-806d6172696f}\BaseClass

ModifyRegValue \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache

CreateFile C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFD76E.tmp



以下是犀牛執行後的情形:

發現有程式試圖修改Windows系統檔案


欲修改項目sc.exe,這個檔案是用來對系統服務做批次處裡的一個快捷程式,正常軟體沒有理由會修改它
而且還修改MountPoints2底下的註冊表,一般比較常見會去修改MountPoints2的病毒就是映像劫持病毒



接著繼續修改註冊表






再來是KAV的PDM情形:


發現欲添加新的啟動項目




最後是CFP3情形:

存取系統服務管理員


修改sc.exe


修改註冊表


修改註冊表


修改AnyDVD啟動項目


修改註冊表


修改註冊表


提權進入de bug mode,正常軟體很少有這類型為



看完了以後,其實發現這個Crack跟一般的病毒沒有太大的差別
但事實上它並不是一個會被普通人認為是"病毒"的Crack
但是這個Crack在剛出現的第一時間就被許多AV給報毒了!
至於是為什麼?其實很簡單,AV的Engine具有靜態或動態的分析方式
根據Engine的好壞,它可以分辨出這是真的對系統造成威脅,還是只是一個普通的Patch
但不幸的是大部分的Crack撰寫的品質很差,基本上跟病毒是差不多的東西
只是一個破壞局部得到使用者的最終目的,一個則是大規模四處破壞
而使用這個Crack我們可以通過它破壞AnyDVD的使用限制還有防盜功能,達到永遠使用不付錢的目的
藉由這一個例子,我們就可以知道有些Patch跟Crack跟真正意義上的"病毒"只有一線之隔
話雖然如此說,但有些Crack如果弄不好,是可能會對系統造成不可逆的傷害!

沒有留言:

張貼留言