对Norton误报WinXP事件的技术分析
[[wiki]wiki[/wiki]][/wiki]今天在CSDN上看到了王[wiki]开源[/wiki]先生的一篇文章,[[wiki]URL[/wiki]=http://blog.csdn.net/arthur5933/archive/2007/06/10/1646745.aspx]“从诺顿误杀Win[wiki]XP[/wiki]后门误猜国家机密被窃取[/url]”。读完以后,首先,我觉得非常失望。我衷心希望我们的Open Source不要沦落到需要炒作[wiki]类[/wiki]似街头花边[wiki]新闻[/wiki]来吸引眼球的地步。任何时候,都让我们摒弃一些浮躁,扎扎实实的从[wiki]技术[/wiki]做起,这样对我们的[wiki]软件[/wiki]产业才最有好处。
下面给大家分析一下Norton这次事件技术细节。
首先,Norton误报的这两个[wiki]系统[/wiki]文件分别是:
Netapi32.dll,这是[wiki]windows[/wiki]系统用来提供基本的[wiki]网络[/wiki]功能API的系统文件。
Lsasrv.dll,这是Windows系统用来提供本地[wiki]安全[/wiki]功能,如密码验证等的系统文件。Lsasrv是Local Security Authority Service 的缩写。Lsasrv.dll被系统进程lsass.exe使用。
这两个文件都是非常重要的系统文件,一旦被破坏,系统将不能正常启动。
其次,我们简单的说一下反病毒软件的工作原理。所有的工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串,对[wiki]程序[/wiki]特定区域的一个Hash,仿真运行(Emulation)时的一段特定指令,等等。
那么,特征码的普遍性和安全性就是一对矛盾。如果希望提取的特征码最为可靠,不会有误报的话,那么最安全的特征代码就是对整个病毒文件的一个HASH,如MD5或SHA1。但是这样的话,这个特征码就只能检测到这一个特定的病毒文件,而不能检测到任何的变种。如果想提高特征码的普遍性的话,就只能对病毒文件某一特定区域提取,例如从偏移量X位置开始的Y字节的HASH等等。这个特征码就覽wiki]锌[/wiki]赡芤布觳獾讲《疚募谋渲帧5牵簿陀锌赡芊⑸蟊ā
