图注:360安全浏览器并没有挂内核钩子,无法进行系统安全拦截。
没挂内核钩子意味着什么?正如上面所说,系统内核已经失守,无法保证没有风险。如果有一个程序启动,你无法验证这是一个正常程序还是一个木马病毒程序;如果有一个程序被关闭,你仍然无法得知是正常关闭还是你的安全防御程序被恶意关闭……风险程度可想而知。
从这个角度来说,360安全浏览器和Chrome并不具备系统安全防护能力。套用网购欺诈者常用的手段,在你使用这两款浏览器在网上购物时,对方通过即时通讯工具如QQ等发送"宝贝细节图"文件给你,实为网购木马病毒文件,双击打开后,木马启动运行,乃至篡改账号劫持交易,这两款浏览器因为没有监控而会一直无动于衷。
代码逆向查验本质
有2个内核钩子的猎豹浏览器能否防住?这需要更深入地对它进行研究。我用逆向工程代码破解工具IDA Pro对它的KNBDrv.sys进行了反汇编,如下图。
图注:用IDA Pro逆向猎豹浏览器的文件knbdrv.sys,查看它有什么函数,具备什么功能。
逆向代码之后,可以看到猎豹浏览器设置了如下拦截点:创建线程、创建进程、挂起进程、保护虚拟内存、终止进程、写入虚拟内存等,如下图红框中。表示什么意思呢?就是此钩子可以对系统中上述任何一个动作进行安全验证。
图注:猎豹浏览器设置了众多拦截点,系统中出现任何此类动作都可及时获知。
更直观地来说,系统中任何进程的启动或关闭,猎豹浏览器凭借这些钩子函数均要检查,利用金山固有的云安全平台,即可判定此程序(进程)是黑是白。正常文件当然OK,如果是木马病毒在启动,当然就会进行拦截。
再啰嗦几句
看了上面的分析其实大家都明白了的,但还是忍不住再多说几句,下个结论。
凭借360的云安全平台,360安全浏览器实现钓鱼拦截、下载文件鉴定不成问题,但这还远不能保证浏览安全和网购安全。对恶意程序的启动拦截,360浏览器还不能独立进行,需要严重依赖360安全卫士或者360杀毒。就这,如果说自己是"安全浏览器",还马马虎虎过得去,但如果动辄当"最"字辈,就只两个字形容:坑爹。
Chrome呢?口碑很安全,但没抓到内核钩子,我分析是由于Chrome采用了沙盒技术。它只要保证自己的程序不被恶意程序攻破即可,系统防护它可以不予考虑。关于沙盒技术,已有不少介绍,不再详述。
