2009-05-22

Kaspersky InternetSecurity 9.0.0.437 RC當中的缺憾



Kaspersky新一代的安全軟體目前已經到候選版本的階段了
功能與新特性大致到目前都已經確定了
但我們今天不是要來看它有了哪些增強
也不是要看多了哪些新花樣!
我們來看一下KIS 9.0.0.437中的SandBox功能



以前介紹過SandBox的功用
但是事實上SandBox的功用不只這些
一般我們較為常見的SandBox大部分只實現磁碟讀寫部分的虛擬定向
很少有HIPS能夠實做記憶體部分的虛擬定向,但究竟將記憶體虛擬定向有什麼好處?

簡單的說被重新定向的對象不同,以往我們只將運行於SandBox內的程式對磁碟的寫入
給重新動向到了一塊隔離區內,所有的寫入皆不是真實的寫入
我們只要清空SandBox,所有先前在SandBox內寫入的資料將會消失

而有記憶體虛擬定向的SandBox,它可以保護process與precess之間的存取
用一個實際的例子來說吧,木馬它要盜取你的帳號資料
除了鍵盤測錄(KeyLog)之外,還可以利用讀取precess內的明碼資訊來達到偷照密的目的
這個時候如果我們有一個具備記憶體虛擬定向功能的SandBox
那我們就可以用SandBox來防止木馬存取process,或保護重要的process被其它process存取
這樣的結果可以讓我們的網路環境變的更安全,也比去實做AD要來的有用


首先我們來看一下AKLT 3在SandBox中執行
我選擇不攔截它的KeyLog行為,我們可以看到鍵盤測錄成功




這個測試結果說明KIS 9.0.0.437的SandBox內部並未將記憶體存取給重新定向
所以AKLT 3可以隨意存取其它process

但是如果有從KIS 8.0就開始用的人
應該都會知道KIS有一個虛擬鍵盤(Virtual Keyboard)的功能
這個虛擬鍵盤可以在不依靠AD的情況下通過AKLT 3的測試
原理就是禁止process之間的隨意存取




我基於好奇,把KIS 9.0.0.437的虛擬鍵盤開啟了
神奇的事情居然發生了!!

開啟虛擬鍵盤的情況下居然預設禁止全域螢幕擷取(Take ScreenShot)
不必靠AD就可以通過ASTE的螢幕擷取




開啟另一個螢幕擷取工具,當我選擇擷取全螢幕時
只能得到這樣的全白的視窗畫面,換句話說
在虛擬鍵盤開啟的情況下,所有的螢幕擷取都會失敗!




測試到這邊我們可以從這樣的測試結果得知
Kaspersky確實實現了記憶體虛擬定向,所以它並不是沒有記憶體虛擬定向
雖然實現了,但它卻只用來保護虛擬鍵盤!其它在SandBox中執行的程式卻沒有受到同樣的保護
這是目前我發現一個比較奇怪的地方,該問題會通過上報告知Kaspersky Develop Team

1 則留言: