avast_avast安装win10有用吗_捷克的杀毒软件(2)

若恶意PDF文档不依赖于堆喷射就可以执行ShellCode,以及假设堆喷射行为绕过以上所有杀软，那么就得转到杀软对恶意PDF文档漏洞触发之后的行为检测上，其中检测效果

最出众的的为Kaspersky和Norton，Kaspersky会对恶意PDF文档所嵌入的木马文件进行签名对比病毒库等检测，若符合其规则就直接警告，这其实属于木马免杀的范畴了，不懂所以略过，若木马可以绕过Kaspersky的主动防御，那么Kaspersky对恶意PDF文档的检测就如同虚设了。再来说诺顿，在这几款杀毒软件中，诺顿是对唯一对ShellCode的行为进行检测了的，而且其对Adobe Reader进程做了特别的保护相对于其他的PDF文档阅读工具。恶意PDF文档的ShellCode在执行过程中会生成一系列的的文件如正常文档，木马程序等等，诺顿会对ShellCode所使用的API进行监控，一旦符合其规则就会禁止执行并弹出警告信息。基本上诺顿对常见的ShellCode的行为都进行了检测，没有一定的奇技淫巧ShellCode是过不了诺顿的，就算过了这一关，其还有更强大的云查杀，在木马执行之前诺顿会与云查杀服务器进行查询，判断是否是正常的应用程序且会返回此程序在网络上的使用情况，并交由

用户进行判断，一旦符合检测规则，则会连同恶意PDF文档一起进行警告，相对应的Kaspersky只会提示某个程序符合其检测规则。

2 NDay漏洞的检测

针对NDay漏洞的检测，其实主要是看各个杀软对漏洞的分析程度，一般来说，对NDay漏洞的分析都是很透彻的，意思就是NDay漏洞的触发原理和触发过程杀软已经能够检测，并且给出相应的漏洞编号，Avast对恶意PDF文档检测就是如此，其他的杀软也在慢慢的跟进。

杀软定位一个NDay漏洞， 若能够定位出溢出或者利用的关键点，是能够检测出所有利用此漏洞的恶意PDF文档，如同任你有千变万化，我有火眼金睛在身，恶意PDF文档无从藏身。但从攻击与防御的角度看，恶意PDF文档也是有办法完全隐藏漏洞溢出点的，这于杀软的检测规则有关，当然也与恶意PDF文档的编写者对抗杀软检测的经验有关，最重要的要属对PDF文档的文件结构的熟悉程度。

NDay漏洞的利用形式与0day漏洞的利用上是没有区别的，区别在于漏洞是否公开，NDay漏洞有助于杀软更精确的定位恶意PDF文档，市面上常见的杀软针对NDay漏洞都有很好的检测效果，这是针对恶意PDF文档的文件结构不复杂的情况，恶意PDF文档若足够复杂，个别杀软是无法检测出来的，尽管是NDay漏洞，但却可以做到0Day漏洞的效果。具体来说诺顿卡巴斯基以及小红伞对NDay漏洞的检测查杀比较准确。基本上以上三款软件可以绕过的话，其他的杀软都是小Case。

3 其他情况的检测

这里的其他情况指的是PDF阅读器自身功能限制不严谨产生的绕过检测执行木马的漏洞，当然也有0day nday之分，0day的话，杀软的检测主要就是看各家杀软的功力了，一般来说很难有效的检测出来，需要配合其他的检测手段，如诺顿和卡巴斯基的主动防御，至于另外的杀软，检测效果不理想。捷克的杀毒软件此类漏洞一旦爆出，杀软更新以后再想绕过就没有办法了，因为此类漏洞的形式是固定的，很难找到变形或者变通的办法，属于典型的见光死。捷克的杀毒软件

三 恶意PDF文档与杀毒软件的对抗

之前已经涉及到部分的对抗内容，通俗一点就是指恶意PDF文档针对杀软所做的免杀操作。这部分内容只讲述方法，具体应用不会涉及到。有些话不能说的太细，O(∩_∩)O~！

恶意PDF文档与杀毒软件的对抗就我的理解可以分为三个阶段，个人理解，肯定有不对之处，还请见谅。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-34648-2.html