2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天，作為本次大會的最后一天，將有更加精彩的內容呈現(xiàn)給與會者。據(jù)悉，今天將有6個議題逐一呈現(xiàn)給大家，此外也將宣布特斯拉破解的最終結果以及電子門卡的破解活動。

殺毒軟件，我們并不陌生。它已經(jīng)成了每個電腦的標配，也是每個手機的伴侶，無疑，它成了讓我們安全使用PC以及移動設備的“保鏢”。然而，殺毒軟件一定安全么?它本身是否也存在了極大的漏洞呢?在本次的SyScan360大會上，Joxean Koret則通過如何攻擊殺毒引擎，如何找到漏洞，如何看到殺毒引擎漏洞的情況，闡述了現(xiàn)有殺毒產(chǎn)品的漏洞，以及目前殺毒軟件的漏洞情況，最后給殺毒軟件廠商提出了意見。

[[116491]]

Joxean Koret認為：當我們在計算機上安裝應用程序的時候，便已經(jīng)比之前更加容易受到攻擊。如果說這些應用程序是本地的程序，則本地的攻擊面就會增加，如果你的應用程序是遠程的程序，會增加遠程的攻擊面，如果你的應用程序是具有最高權限的安裝、運行和最高數(shù)據(jù)包的過濾器，這個攻擊面就會很大的增加。作為傳統(tǒng)殺毒軟件廠商所做的宣傳，他們提到“有了我們殺毒產(chǎn)品讓你們的電腦更安全”，Joxean Koret則表示“這完全是胡說八道。”因為殺毒引擎會使你的電腦受到不同程度的損失，表現(xiàn)的更容易攻擊，另外很多情況下可以降低操作系統(tǒng)。

Joxean Koret提到大多數(shù)的殺毒引擎都會安裝系統(tǒng)的驅動，這就會轉換成為本地權限的提升，通常都是這種情況，殺毒引擎也必須支持很多很多的文件格式，而且這個列表非常的長。基本上你在你電腦上日常工作的格式都必須要支持，這就轉化為所有的參數(shù)文件格式的解析器里面都有。即使不是所有，但大多數(shù)的殺毒引擎都有最高的權限運行。

涉及到Panda的安全，引擎安全目前沒有編譯器使用ASLR有一些代碼，Joxean Koret則表示：不需要花費太多的經(jīng)歷，在任何的系統(tǒng)上面不需要有其他的層次涉及到國際互聯(lián)網(wǎng)上的一些產(chǎn)品。更多的是需要一些廠商報告一些漏洞，包括一些Panda我們必須要把它關掉，有一些漏洞按照推理會修復了一些，但是有一些沒有修復，他們在短期內還沒有計劃修復，他們通過一些互動和后門，包括Panda安裝目錄的權限，所有這些安裝漏洞列舉還沒有計劃修復。

Joxean Koret表示：總體來講殺毒軟件并不讓你特別的安全，它會增加你受攻擊的面，和任何其它應用程序一樣有弱點的。有一些殺毒軟件會降低你操作系統(tǒng)的保護程度，甚至本地和遠程的漏洞會困擾你。

最后他也給出了一些用戶建議：不要盲目的信任你使用的殺毒軟件，你要相信它是一個錯誤，如果你是政府，還是公關部的，還有網(wǎng)關方面的，電腦上不要加入它的子網(wǎng)關的檢查。你部署之前一定要請第三方幫你核證一下，這是比較好的選擇。

對殺毒軟件公司Joxean Koret給出的建議是：首先要認真的研究產(chǎn)品，做源代碼的符合，做fuzzing。還有源代碼的測評不會遠程關閉這些;另外還不要使用最高權限掃描網(wǎng)絡數(shù)據(jù)包、文件等等這些東西，你并不需要成為root system權限來描;第三發(fā)送的網(wǎng)絡數(shù)據(jù)包括低特權的沙盒內的進程;在模擬機、虛擬機的沙盒中的代碼;對于一個瀏覽器來講，對一個文件讀取或者安全產(chǎn)品都是這樣的;不要相信自己的進程;不要用日用簡單的HTTP，要使用SSL/TLS;要再驗證整個證書的鏈。