瑞星和360只顾口水战，软件的安全问题到底还要不要理~~~~

前段时间 360曝 瑞星杀毒软件有本地提权问题，最近瑞星也曝360“后门”漏洞！
360还发声明称将就"后门技术"事件起诉瑞星

瑞星网的专题报导 360 “后门”提权，还有视频
http://www.rising.com.cn/2010/360/


瑞星公布360安全卫士"后门"技术细节
http://www.cnetnews.com.cn/2010/0203/1623200.shtml

瑞星：请奇虎360停止愚弄用户 立即停止安装"后门"
　　近日，360产品陆续出现严重缺陷：2月1日360安全卫士被爆存在“本地提权”漏洞，截止到2月3日11 时，其产品并未修复，而官方宣称已修复（见 360 的官方报道 http://bbs.360.cn/3229787/34800737.html?recommend=1）。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”，任意读取用户隐私文件。问题暴露后，奇虎360不但没有承认自身问题，反而通过删除网络新闻、个人博客、威胁媒体、枪手发帖等手段欺骗用户，掩盖事实真相、混淆视听。瑞星公司本着对所有360用户安全负责的态度，现公布360 “后门”部分技术细节，请奇虎360尽快停止安装“后门”，停止侵害用户权益的行为。 

　　请奇虎 360 公司以严谨的态度尽快面对以下问题。第一：请对 360 安全卫士存在的“后门”进行解释；第二：对 2 月 1 日公布的 360 安全卫士“本地提权”漏洞仍未修复，却在官方宣布已经修复的问题做出解释；第三：请尽快对以上两大严重产品缺陷进行修复。 

　　360 安全卫士“后门”细节分析 

　　360 安全卫士后门程序涉及的主要文件是：在安装进入系统时自带的驱动文件 bregdrv.sys 、 bfsdrv.sys ，以及对这两个驱动文件调用的动态链接库 bregdll.dll 、 bfsdll.dll 。 

　　bregdrv.sys ： 360 内核模式驱动，该驱动程序通过调用操作系统的未公开 CmXxx 系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据， 直接调用 CmXxx 系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失； 

　　bregdll.dll ：用户态动态库，该动态库封装了对 bregdrv.sys 的调用，为用户态程序提供注册表操作后门的接口；该动态库仿照 Windows 操作系统 API 接口（加 B 作为前缀）导出了如下注册表操作函数， 但与 Windows API 不同的是， bregdll.dll 导出的函数在实现上绕过了操作系统的所有安全检查，直接调用极为低层的未公开 CmXxx 系列函数实现 ： 

　　1.BRegCloseKey 2.BRegCreateKey 3.BRegCreateKeyEx 4.BRegCreateKeyExW 

　　5.BRegCreateKeyW 6.BRegDeleteKey 7.BRegDeleteKeyW 8.BRegDeleteValue 

　　9.BRegDeleteValueW 10.BRegEnumKey 11.BRegEnumKeyEx 12.BRegEnumKeyExW 

　　13.BRegEnumKeyW 14.BRegEnumValue 15.BRegEnumValueW 16.BRegOpenKey 

　　17.BRegOpenKeyEx 18.BRegOpenKeyExW 19.BRegOpenKeyW 20.BRegQueryValueEx 

　　21.BRegQueryValueExW 22.BRegSetValueEx 23.BRegSetValueExW 

　　360 后门部分功能代码截图一

 

　　通过 CmDeleteKey 实现注册表键值的删除操作 

　　bfsdrv.sys ，该驱动程序通过直接向文件系统发送 I/O 请求包（ IRP ）来实现文件操作，这种方式可以绕过基于过滤驱动的文件监控（包括卡巴斯基、诺顿等安全软件）。 由于该程序没有对调用者进行检查，导致可以被任意程序（如各种木马程序等）利用达到修改、删除用户正常文件的目的。 

　　bfsdll.dll ：用户态动态库，该动态库封装了对 bfsdrv.sys 的调用，为用户态程序提供文件操作后门的接口；该动态库仿照 Windows 操作系统 API 接口（加 FS 或 Bfs 作为前缀）导出了如下文件操作函数， 但与 Windows API 不同的是， bfsdll.dll 导出的函数在实现上绕过了所有文件系统上层的过滤驱动，直接向文件系统发送 I/O 请求包实现 ： 

　　1.BfsMoveFileExW 2.FSCloseHandle 3.FSCopyFile 4.FSCopyFileW 

　　5.FSCreateFile 6.FSCreateFileW 7.FSDeleteFile 8.FSDeleteFileW 

　　9.FSFindClose 10.FSFindFirstFile 11.FSFindFirstFileW 12.FSFindNextFile 

　　13.FSFindNextFileW 14.FSGetFileAttributes 15.FSGetFileAttributesEx 

　　16.FSGetFileAttributesExW 17.FSGetFileAttributesW 18.FSGetFileSize 

　　19.FSGetFileSizeEx 20.FSGetLongPathName 21.FSGetLongPathNameW 

　　22.FSGetShortPathName 23.FSGetShortPathNameW 24.FSPathFileExists 

　　25.FSPathFileExistsW 26.FSPathIsDirectory 27.FSPathIsDirectoryW 

　　28.FSReadFile 29.FSSearchPath 30.FSSearchPathW 31.FSSetFileAttributes 

　　32.FSSetFileAttributesW 33.FSSetFilePointer 34.FSSetFilePointerEx 35.FSWriteFile 

　　上述 API 均通过 DeviceIoControl/NtDeviceIoControlFile 来调用驱动提供的不同文件操作功能，这些操作均会绕过基于过滤驱动的文件监控。 

　　360 后门部分功能代码截图二 



bfsdrv.sys 写文件操作代码截图 

　　360 安全卫士没有遵循正常的操作系统安全机制，却直接绕开了系统安全检查机制。其不仅具有“后门”功能，而且该程序存在重大安全隐患，利用此程序不需要任何身份认证，可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。 

　　例如，任意普通用户可以在低权限的情况下实现删除系统安装的安全软件，隐藏自己的恶意程序。而通过 bregdrv.sys 对注册表的操作，可以利用其在系统底层任意操作注册表的权限，达到更多的目的，如： 

　　l 通过修改注册表存储的用户信息，将 guest 用户激活并克隆成管理员，但是在系统表面看来， guest 用户仍然是被禁用的。 

　　通过修改注册表实现映像劫持，将 sethc.exe （系统粘滞键功能）替换成 cmd.exe ，这样就可以实现在登录界面上按 5 下 shift 键直接呼出一个系统权限的 cmdshell 窗口，执行任意指令。
-------------------------------------------------------------------------------------------------------------

360发声明称将就"后门技术"事件起诉瑞星

http://it.sohu.com/20100203/n270032561.shtml

    2月3日下午，瑞星公布了360安全卫士“后门”技术细节，请奇虎360尽快停止安装“后门”，停止侵害用户权益的行为。对此，360向媒体发送了“紧急提醒”，称瑞星公布后门技术已经涉嫌触犯刑法，将就此正式起诉瑞星。

    以下为其声明全文：

　　各位尊敬的媒体朋友：

　　瑞星这几天接连发布攻击360的文章，已远远超出正常口水战的分寸和尺度，不但公然捏造所谓360“后门”的技术细节，而且竟然公开发布针对360的攻击代码，这种做法已直接触犯刑法，别说安全厂商，连大多数黑客都不敢这么做！

　　在安全行业，公布攻击代码相当于传播病毒，刑法将这种行为定义为“提供专门用于侵入、非法控制计算机信息系统的程序”。在瑞星之前，即便是黑客和木马团伙，也很少有人敢在国内网站上以正式身份公布攻击代码。瑞星作为一家安全厂商，为了打击对手，竟然公然在自己官网和其它媒体上公布攻击代码，这种行为相当于号召黑客和木马犯罪团伙对360发动一场联合攻击，不但已触犯刑法，而且完全置近3亿网民（其中有几千万同时也是瑞星自己的用户）的安危于不顾！这在全世界范围内尚无先例，已完全超出正常人的理智。

　　我们对瑞星这种完全不计后果的做法感到十分震惊和错愕，为此将于今天正式向法院起诉，并向公安机关报案。目前此事已不再是简单的口水战，发展下去后果难测，希望媒体朋友们不要再发表瑞星的稿件，以免卷进不必要的麻烦，已经发布攻击代码和所谓“后门”细节等稿件的媒体，也请尽快撤除。　　


---------------------------------------------------------------------------
我来说两句

引用新闻原话
360 安全卫士没有遵循正常的操作系统安全机制，却直接绕开了系统安全检查机制。其不仅具有“后门”功能，而且该程序存在重大安全隐患，利用此程序不需要任何身份认证，可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息

可能对于普通用户来说，可能会觉得不怎和可怕，但在服务器上，这可是非常严重的事，因为一个很小权限就能得到很高权限或读取一些不可访问的数据，还可以修改注册表达到一些权限或启动某些服务，那是很可怕的事！
这比提权还要简单，真叫可怕！

至于360还说要将就"后门技术"事件起诉瑞星,这事说明360确实垃圾，有错要懂的承认,有问题要去改,不要告来告去这些问题就会没有！有错就要去改,没有了漏洞，才能保障用户的安全！你可真是给了入侵者一个很大的后门！

软件有漏洞并不可怕，可怕的是有漏洞不去改进！
微软的漏洞不断，但微软肯承认问题，并能在比较短的时候修补漏洞，我觉得这才是大公司应有的的风范,这方面，我觉得国内的安全公司有必要向微软学习！

至于瑞星，因为以前的 瑞星和微点事件” ,我对他的感觉也不好！

不管什么公司，安全软件有问题就应该修补掉，不是搞一些口水战，而不顾用户的安危，这是很可悲的事！

[本日志由 d99 于 2010-02-05 11:25 PM 编辑]