微軟停止Windows XP服務(wù)支持已有半月時(shí)間�����,全球仍有大量XP用戶未升級(jí)系統(tǒng)�,安全軟件對(duì)XP系統(tǒng)的防護(hù)能力成為關(guān)注焦點(diǎn)。據(jù)外媒報(bào)道�,國(guó)際知名安全機(jī)構(gòu)COSEINC對(duì)XP防護(hù)軟件進(jìn)行了模擬攻擊測(cè)試,結(jié)果顯示��,八款安全軟件對(duì)XP漏洞攻擊的平均攔截率僅為63.3%��,來(lái)自中國(guó)的360安全衛(wèi)士則是唯一100%攔截所有漏洞攻擊的安全軟件���。
XP漏洞攻擊測(cè)試 360唯一全部攔截
COSEINC選擇了15個(gè)已知漏洞進(jìn)行“黑盒”測(cè)試��,模擬黑客針對(duì)IE8瀏覽器�����、Office2003和XP內(nèi)核漏洞進(jìn)行攻擊�����。攻擊效果為利用漏洞執(zhí)行程序��、啟動(dòng)惡意進(jìn)程���、獲取系統(tǒng)權(quán)限等���。如果安全軟件無(wú)法阻止漏洞利用,則意味著防御失敗��。
在COSEINC測(cè)試中���,360安全衛(wèi)士攔截全部15次漏洞攻擊�����,防御成功率排名第一Avira(小紅傘)成功攔截12次攻擊���,以80%的攔截率排名第二卡巴斯基和AVG均攔截11次攻擊,并列第三位�。
其他兩款國(guó)產(chǎn)安全軟件表現(xiàn)欠佳,金山毒霸和騰訊電腦管家均只攔截5次攻擊��,防御成功率僅為33.3%,在COSEINC的測(cè)試中排名墊底����。而在此前國(guó)內(nèi)進(jìn)行的XP挑戰(zhàn)賽上��,騰訊和金山也分別在兩分鐘內(nèi)被黑客攻破�。
圖:XP防護(hù)測(cè)試中,360成功攔截所有漏洞攻擊
360 XP盾甲防護(hù)秘技:為XP提供安全“大補(bǔ)丸”
據(jù)COSEINC報(bào)告顯示����,本次評(píng)測(cè)是基于XP已知的漏洞進(jìn)行的。針對(duì)這些漏洞��,微軟均已經(jīng)發(fā)布相應(yīng)的安全補(bǔ)丁�����,相關(guān)漏洞細(xì)節(jié)也共享給了安全廠商�����。但從此次評(píng)測(cè)看來(lái)����,如果沒(méi)有微軟補(bǔ)丁����,漏洞攻擊樣本簡(jiǎn)單變形就可以繞過(guò)大多數(shù)安全軟件��。
作為本次評(píng)測(cè)中唯一成功攔截各項(xiàng)漏洞攻擊的安全軟件���,360XP盾甲的秘訣是把很多Win7�����、Win8甚至iOS才有的防護(hù)技術(shù)移植到XP系統(tǒng)上�����,給XP一劑安全“大補(bǔ)丸”����。
全方位解讀360XP盾甲防護(hù)技術(shù):
1�����、DEP數(shù)據(jù)執(zhí)行保護(hù)����,這個(gè)安全特性使得攻擊者存儲(chǔ)在數(shù)據(jù)中的惡意代碼無(wú)法執(zhí)行����,雖然XP SP2內(nèi)核開(kāi)始支持此特性����,但是默認(rèn)只對(duì)系統(tǒng)程序開(kāi)啟�����,且可以很容易地通過(guò)ret2lib的方式被惡意程序關(guān)閉�����,在新的操作系統(tǒng)中默認(rèn)是不允許關(guān)閉的
2�����、ASLR地址隨機(jī)化���,Vista開(kāi)始支持此機(jī)制���, 這個(gè)安全特性使得攻擊者編寫(xiě)的惡意代碼無(wú)法在用戶系統(tǒng)上運(yùn)行
3、SEHOP���,XP SP2就有了��,但那時(shí)系統(tǒng)的很多庫(kù)還不支持safeseh編譯�����,所以直到vista才算真正有作用��。它的作用是對(duì)SEH鏈條的完整性做防護(hù)和檢查�����,防止通過(guò)覆蓋SEH執(zhí)行惡意代碼
4�、Security cookie:用于防止棧溢出執(zhí)行惡意代碼,Win系統(tǒng)在Win8之前security cookie的隨機(jī)數(shù)熵質(zhì)量較低����,且和模塊加載時(shí)間相關(guān),隨機(jī)性不強(qiáng)��,Security cookie+在模塊加載時(shí)增強(qiáng)其cookie的熵質(zhì)量��,Win8開(kāi)始有類似機(jī)制
5����、memory alsr:在內(nèi)存中制造空洞����,隨機(jī)化內(nèi)存分配�����,可以對(duì)抗heap spray�����,UAF漏洞利用等
6�����、Null page protection:針對(duì)空指針引用型的內(nèi)核漏洞做防御 Win8開(kāi)始系統(tǒng)加入此機(jī)制
7�、anti stack pivot:防止通過(guò)ROP(面向返回的編程方式��,用于對(duì)抗DEP)切換堆棧�����, Win8開(kāi)發(fā)者預(yù)覽版中曾加入����,正式版本中取消
8���、vdm block:阻止調(diào)用存在大量漏洞的vdm組件, Win8開(kāi)始加入
9����、KALSR:內(nèi)核地址隨機(jī)化,阻止用戶態(tài)獲取內(nèi)核地址信息����,防止內(nèi)核漏洞攻擊, Win8.1開(kāi)始對(duì)ie�����,metro app加入
10���、anti-rop:防止ROP方式繞過(guò)DEP執(zhí)行惡意代碼�。
360XP盾甲的這些安全特性加固了XP系統(tǒng)以及Office����、IE瀏覽器的安全性弱點(diǎn)。同時(shí)可以看到�,anti stack pivot和anti-rop這樣的安全特性,在最新的Win8.1和蘋(píng)果操作系統(tǒng)也不具備。再加上沙箱隔離防護(hù)措施�����,即使是遍布漏洞的XP系統(tǒng)����,穿上360XP盾甲后,黑客也難以攻破�����。
