全站搜索
关于卡巴斯基升级后与火绒产品冲突的说明 四川 成都 科汇科技 分销服务商——成都科汇科技有限公司
作者:管理员    发布于:2023-08-16 16:19:06    文字:【】【】【
2023年8月11日,火绒安全收到大量用户反馈:在同时安装火绒与卡巴斯基的终端上,出现关机后反复重启、无法正常进入系统桌面的情况。经过火绒安全工程师本地排查和测试确认,此问题由卡巴斯基近期升级存在Bug导致。

升级后的卡巴斯基驱动程序(klupd_klif_arkmon.sys 版本号:2.16.1.0)会拦截火绒虚拟沙盒驱动模块正常的内部程序逻辑,导致火绒获取到错误的物理地址数据,进而发生系统异常。

此外,卡巴斯基的驱动程序(klupd_klif_arkmon.sys 版本号:2.16.1.0)还存在其他Bug,造成火绒产品其他功能也存在无法正常使用的情况。

针对本次情况,火绒安全已与卡巴斯基反馈,目前还未得到有效回复。为保障用户不受到卡巴斯基产品Bug的影响,火绒产品已采取临时规避措施,但该调整会影响火绒查杀速率和查杀率,还请用户注意。

未同时安装火绒和卡巴斯基的用户不会受到该调整影响。我们会继续与卡巴斯基官方尝试沟通以解决该问题。

另:今年4月卡巴斯基也曾因为HOOK了火绒驱动,影响到火绒产品查杀效率,该问题现已解决。

 火绒安全
2023年8月15日


附文中所述卡巴斯基Bug的具体分析:
此次用户系统大面积崩溃的关键原因是因为卡巴斯基的驱动程序(klupd_klif_arkmon.sys) HOOK了火绒驱动(sysdiag.sys)IAT里的MmGetPhysicalAddress函数导致的。如下图:   
         在对卡巴斯基驱动(klupd_klif_arkmon.sys)进行分析后发现,klupd_klif_arkmon.sys会对火绒驱动(sysdiag.sys)进行IRP HOOK和IAT HOOK,相关代码如下:


IRP HOOK和IAT HOOK相关代码

安装IAT HOOK相关代码如下图:

安装IAT HOOK相关代码

卡巴斯基驱动会根据驱动文件信息判断是否需要进行IAT HOOK,相关代码如下图:

判断驱动是否需要进行IAT HOOK

如果驱动IAT表内存在以下函数就会被IAT HOOK,如下图:

会被IAT HOOK的函数

卡巴斯基驱动(klupd_klif_arkmon.sys) 对MmGetPhysicalAddress函数进行IAT HOOK后的相关代码如下图:

对MmGetPhysicalAddress函数IAT HOOK后的相关代码

在此能发现他会对参数一BaseAddress进行判断,相关代码如下图:

参数一BaseAddress相关的判断

在上图check_prot_physical_addr 函数里能发现有一组列表,当被HOOK的驱动程序想使用MmGetPhysicalAddress访问某一地址时会拿BaseAddress和列表内的数据进行比较,判断是否在列表的访问范围内。如果是在访问范围内会被拒绝。

通过windbg查看后得知此列表内保存的地址是所有驱动程序的开始地址和结束地址,如下图:

被保护的地址列表

此时不难看出,当火绒驱动(sysdiag.sys)在被HOOK后调用 MmGetPhysicalAddress函数访问自身程序地址时会被拒绝并返回0。

卡巴斯基的驱动程序(klupd_klif_arkmon.sys)在初始化时会保存所有驱动程序的开始地址和结束地址,对于后续加载的驱动程序会在PsSetLoadImageNotifyRoutine回调里也进行保存。最终形成一个保护表,被IAT HOOK的驱动里使用MmGetPhysicalAddress函数访问被保护的驱动程序的地址时,MmGetPhysicalAddress会返回物理地址0,后续火绒虚拟沙盒的虚拟化逻辑被破坏,进而导致系统崩溃(即使火绒判断返回的物理地址0,也会导致逻辑失败进而导致火绒反病毒引擎业务逻辑出现问题)。驱动程序获取自身镜像或分配的内存的物理地址属于正常操作,而卡巴斯基的HOOK本质上是破坏了第三方程序的业务逻辑,进而导致第三方程序或系统出现异常。

火绒驱动(sysdiag.sys)使用 MmGetPhysicalAddress获取火绒自身代码页、数据页物理地址(实现虚拟沙盒相关逻辑使用)相关代码如下图:

火绒驱动(sysdiag.sys)使用 MmGetPhysicalAddress获取火绒自身代码页、数据页物理地址(实现虚拟沙盒相关逻辑使用)

同时卡巴斯基的驱动程序(klupd_klif_arkmon.sys)也会对火绒驱动(sysdiag.sys)设备对象“\\Device\\HR::Actmon“的IRP_MJ_DEVICE_CONTROL进行HOOK,相关图如下:
设备对象“\\Device\\HR::Actmon“的IRP_MJ_DEVICE_CONTROL被HOOK
设备对象“\\Device\\HR::Actmon“的IRP_MJ_DEVICE_CONTROL被HOOK

安装IRP HOOK相关代码如下图:
IRP HOOK相关代码

卡巴斯基驱动程序会根据字符串特征来判断当前驱动是否需要安装IRP HOOK,相关代码如下图:

判断当前驱动是否需要安装IRP HOOK

最后获取并保存设备对象“\\Device\\HR::ActMon“,相关代码如下:

获取并保存设备对象“\\Device\\HR::ActMon“

卡巴斯基的驱动程序(klupd_klif_arkmon.sys)安装完IRP HOOK后会拦截修改火绒驱动(sysdiag.sys)相关功能,并且造成影响,相关代码如下图:

判断IoControlCode相关代码

但这里依旧出现了BUG,”\\Device\\HR::ActMon”设备对象的IoControlCode值0x220044是属于其他功能模块的。但通过分析发现此处是在判断文件路径,而在火绒驱动(sysdiag.sys)设备对象” \\Device\\SysDiag::IOKit”里的0x220044是驱动删除文件功能。猜测他是想保护自身文件不被火绒剑删除,但他却判断错了设备对象。判断文件路径相关代码如下图:
判断文件路径

早在2023年4月卡巴斯基的IRP HOOK在代码上存在bug、导致误拦截了部分IOCODE消息、从而导致火绒部分功能失效。如下图:

早前伪码说明

此前BUG用户反馈图如下:


火绒自身关键词:
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统
火绒安全,火绒,火绒安全软件,火绒官网,火绒杀毒软件怎么样,
火绒企业版怎么收费,火绒企业管理员密码,火绒企业版监控员工电脑,
火绒企业版收费标准,火绒企业版价格,火绒企业版与个人版有何不同,
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0, ,火绒安全防护
服务区域:
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,

产品:火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0
火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱


功能:实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
终端管控:
外设管控,
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
日志报告:
中心管理:
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统

品类终端安全:终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,

杀毒软件
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件








成都科汇科技有限公司( 终端安全 软件 解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)