2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天，作為本次大會的最后一天，將有更加精彩的內(nèi)容呈現(xiàn)給與會者。據(jù)悉，今天將有6個議題逐一呈現(xiàn)給大家，此外也將宣布特斯拉破解的最終結(jié)果以及電子門卡的破解活動。

殺毒軟件，我們并不陌生。它已經(jīng)成了每個電腦的標(biāo)配，也是每個手機(jī)的伴侶，無疑，它成了讓我們安全使用PC以及移動設(shè)備的“保鏢”。然而，殺毒軟件一定安全么?它本身是否也存在了極大的漏洞呢?在本次的SyScan360大會上，Joxean Koret則通過如何攻擊殺毒引擎，如何找到漏洞，如何看到殺毒引擎漏洞的情況，闡述了現(xiàn)有殺毒產(chǎn)品的漏洞，以及目前殺毒軟件的漏洞情況，最后給殺毒軟件廠商提出了意見。

[[116491]]

Joxean Koret認(rèn)為：當(dāng)我們在計算機(jī)上安裝應(yīng)用程序的時候，便已經(jīng)比之前更加容易受到攻擊。如果說這些應(yīng)用程序是本地的程序，則本地的攻擊面就會增加，如果你的應(yīng)用程序是遠(yuǎn)程的程序，會增加遠(yuǎn)程的攻擊面，如果你的應(yīng)用程序是具有最高權(quán)限的安裝、運(yùn)行和最高數(shù)據(jù)包的過濾器，這個攻擊面就會很大的增加。作為傳統(tǒng)殺毒軟件廠商所做的宣傳，他們提到“有了我們殺毒產(chǎn)品讓你們的電腦更安全”，Joxean Koret則表示“這完全是胡說八道。”因為殺毒引擎會使你的電腦受到不同程度的損失，表現(xiàn)的更容易攻擊，另外很多情況下可以降低操作系統(tǒng)。

Joxean Koret提到大多數(shù)的殺毒引擎都會安裝系統(tǒng)的驅(qū)動，這就會轉(zhuǎn)換成為本地權(quán)限的提升，通常都是這種情況，殺毒引擎也必須支持很多很多的文件格式，而且這個列表非常的長?；旧夏阍谀汶娔X上日常工作的格式都必須要支持，這就轉(zhuǎn)化為所有的參數(shù)文件格式的解析器里面都有。即使不是所有，但大多數(shù)的殺毒引擎都有最高的權(quán)限運(yùn)行。

涉及到Panda的安全，引擎安全目前沒有編譯器使用ASLR有一些代碼，Joxean Koret則表示：不需要花費(fèi)太多的經(jīng)歷，在任何的系統(tǒng)上面不需要有其他的層次涉及到國際互聯(lián)網(wǎng)上的一些產(chǎn)品。更多的是需要一些廠商報告一些漏洞，包括一些Panda我們必須要把它關(guān)掉，有一些漏洞按照推理會修復(fù)了一些，但是有一些沒有修復(fù)，他們在短期內(nèi)還沒有計劃修復(fù)，他們通過一些互動和后門，包括Panda安裝目錄的權(quán)限，所有這些安裝漏洞列舉還沒有計劃修復(fù)。

Joxean Koret表示：總體來講殺毒軟件并不讓你特別的安全，它會增加你受攻擊的面，和任何其它應(yīng)用程序一樣有弱點(diǎn)的。有一些殺毒軟件會降低你操作系統(tǒng)的保護(hù)程度，甚至本地和遠(yuǎn)程的漏洞會困擾你。

最后他也給出了一些用戶建議：不要盲目的信任你使用的殺毒軟件，你要相信它是一個錯誤，如果你是政府，還是公關(guān)部的，還有網(wǎng)關(guān)方面的，電腦上不要加入它的子網(wǎng)關(guān)的檢查。你部署之前一定要請第三方幫你核證一下，這是比較好的選擇。

對殺毒軟件公司Joxean Koret給出的建議是：首先要認(rèn)真的研究產(chǎn)品，做源代碼的符合，做fuzzing。還有源代碼的測評不會遠(yuǎn)程關(guān)閉這些;另外還不要使用最高權(quán)限掃描網(wǎng)絡(luò)數(shù)據(jù)包、文件等等這些東西，你并不需要成為root system權(quán)限來描;第三發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包括低特權(quán)的沙盒內(nèi)的進(jìn)程;在模擬機(jī)、虛擬機(jī)的沙盒中的代碼;對于一個瀏覽器來講，對一個文件讀取或者安全產(chǎn)品都是這樣的;不要相信自己的進(jìn)程;不要用日用簡單的HTTP，要使用SSL/TLS;要再驗證整個證書的鏈。