诺顿网络安全特警教程

昨天朋友送了一张正版诺顿2008网络安全特警的光盘，其实本人还是比较喜欢国产的杀毒软件，有这样的原因，本土产的杀毒软件对本土的病毒查杀性能更好一些。对于诺顿网络安全特警看他的介绍似乎也不错，不过还是喜欢亲手测试一下。首先对木马查杀的评测。从网上下载了十几个木马，备份了下系统，开始评测。

    对于诺顿网络安全特警有这样的介绍：SONAR智能型双向防火墙会在应用程序尝试向外通讯时，执行SONAR主动式行为监测，提供业界领先、不依赖封锁清单来监测新威胁的安全性。似乎和其他的杀毒软件的主动防御是一样的，具有行为检测的能力。

    首先用曾经肆虐网络的灰鸽子（黑防的版本，这个在搜索引擎里搜索出来的结果最多），国产杀毒软件，金山，瑞星对于这款木马有已经有几十处特征码，例如瑞星，文件查杀就达到了30几处特征码，内存特征也将十几处之多，这样多的特征可以说让木马从成品上变种具有了一定的困难，主动防御特征也在5处以上了。

    网络安全特警2008安装完毕后，升级之后打开所有防御界面如下：（图1）

网管网www_bitscn_com

图1

    之后对生成的灰鸽子黑防专版进行特征码定位。图2



图2

最终定位结果如下：

    >>复合特征码定位结果
    特征码分布示意图:
    [--------------------------------------------------]
    [--------------------------------------------------]
    [--------------------------------------------------]
    [--------------------------------------------------]
    [----------------M---------------------------------]
    用OD载入后特征码在下面的红色一行：
    004A21DA      BD            db      BD
    004A21DB   .  B1 D3         mov     cl, 0D3 网管u家u.bitsCN.com
    004A21DD   .  C3            retn
    004A21DE      BB            db      BB
    004A21DF      A7            db      A7
    004A21E0      A3            db      A3
    004A21E1      A1            db      A1
    004A21E2      00            db      00
    004A21E3      00            db      00
    004A21E4      00            db      00
    转换成反汇编代码如下：
    004A21DA      BD B1D3C3BB   mov     ebp, BBC3D3B1

中国网管联盟bitsCN.com

    004A21DF      A7            cmps    dword ptr [esi], dword ptr es:[e>
    004A21E0      A3 A1000000   mov     dword ptr [A1], eax
    只要修改一下地址004A21DA就可以了，由于向下没有数据，所以整个向下移动一个地址如下
    004A21DA      00BD B1D3C3BB add     byte ptr [ebp+BBC3D3B1], bh
    004A21E0      A7            cmps    dword ptr [esi], dword ptr es:[e>
    004A21E1      A3 A1000000   mov     dword ptr [A1], eax
    弄诺顿扫描一下，文件查杀已经躲过。（图3)



图3

    我们把诺顿网络安全特警的所有选项全部打开监控，运行鸽子的服务端。并且看一下更新日期为2008-3-18



图4