前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >干货又双叒来了!于老师跟你聊聊白名单那点事儿

干货又双叒来了!于老师跟你聊聊白名单那点事儿

作者头像
用户6477171
修改2024-04-22 17:21:09
6570
修改2024-04-22 17:21:09
举报
文章被收录于专栏:用户6477171的专栏

近期用户给我们留言,涉及到“白名单”的问题越来越多,今天于老师就跟大家聊聊安全圈内常说的“白名单”到底是什么。

“白名单”通俗的解释就是,一个信任名单。在“白名单”里的对象就像是拥有一个通行证,安全软件在遇到持有通行证的程序时,会在扫描、监控、防御等需要对程序进行检测的位置默认放行。因此“白名单”具有很高的权限,如果被不怀好意的人利用,会带来安全问题,所以使用时需要非常谨慎。拿火绒来说,对于白名单机制始终保持着:用,但是不依赖,有,但是不滥用的态度。

然而,目前国内的安全圈里对“白名单”机制却过于滥用。他们先使用极为宽泛的启发逻辑对样本进行”扫描“,这样会产生高概率的误报。这就不难理解,为什么网络上常常看到有人反映”为什么我自己刚刚编译的程序就被某某安全软件报毒?“这样的问题了。

所以这些安全软件通过高覆盖率的”白名单“云(即通常所说的”白云“)来压制这类算法所带来的误报,久而久之,甚至形成了一种“非白即黑“的状态。如果不想办法加入“白名单”,则会被检测为“病毒”。所以很多软件开发者为了避免被误检测为病毒,都会加入到那些安全软件的白名单内。

这种机制背后必然有很多弊端,例如:很多软件研发公司/软件制作者,为了拿到“通行证”,让软件不被检测直接进入“白名单”,就会找到安全厂商,希望安全厂商能够行使“便利”之权,对软件直接放行。这种方式,在安全行业早已成为了一种见怪不怪的“潜规则”。

这种情况导致安全软件会产生极大的“信任漏洞”。而病毒作者正是利用安全软件的“信任漏洞”,混到“白名单”内,进而攻入用户电脑。例如我们之前报道过的恶性病毒“Kuzzle”,它就是利用了安全厂商北信源的数字签名,来躲避安全软件的查杀。由于北信源的数字签名在“白名单”内,所以当安全软件检测到该数字签名时,会对病毒“Kuzzle”自动放过,不进行查杀。

报告地址:恶性病毒Kuzzle“攻破”安全厂商白名单 用户重装系统也难以清除

“Kuzzle”病毒的攻击流程

此外,有的病毒团伙还会想方设法利用在安全软件”白名单“内的程序来实现恶意行为。我们称这类技术为”信任利用“(Trust-Exploitation)技术,也就是坊间常说的”白加黑“。

除了安全软件“内置”白名单,用户通过安全软件也可以自己手动设置“白名单”。例如下图所示(弹窗弹出时程序已被阻止运行):

如果用户点击【信任】,则该程序被加入白名单,下次就直接运行,不做扫描。

但是由于白名单权限过大,用户无法准确判断,我们建议大家谨慎添加白名单。例如上图的界面,已经为严重危险的提醒,建议用户按照安全软件的提示去处理,以免对电脑造成安全隐患。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-03-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 火绒安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档