Fast alle der antiviren verwendet für ihre Operationen Kernel-Modus-Treiber, genauer gesagt die SSDTs modifizieren. SSDT steht für System Service Descriptor Table und enthalten Adressen von Routinen (als Systemdienste bekannt), dass Code-User-Modus aufrufen kann indirekt als Ergebnis der speziellen Systemaufruf Anweisung. Die Steuerung der SSDTs, führt jeden Übergang vom Benutzermodus an Kernel-Modus bei der Kontrolle, und das ist, warum sie von Antiviren-Programmen für die Echtzeitschutz oder Selbstverteidigung Operationen preffered werden.

Durch Modifizieren der in den Tabellen gespeicherten Adressen zu ihren eigenen Routinen als "Hook-Funktionen" zu zeigen, sind die Antiviren-Programmen können verschiedene Prüfungen auf Anrufe von einem Programm aus ausführen, um herauszufinden, ob es eine Bedrohung für das System oder die Antivirus itself- erinnern Sie sich die Selbstverteidigung Funktion.

Wenn der Angerufene sicher betrachtet wird, ruft sie den Systemdienst die ursprünglichen Parameter übergeben, die sie von dem Benutzer-Modus-Anwendung einsehen.

Die Angriffsmethode KHOBE (Kernel HOOK Umgehen Motor) es ist wirksam gegen gegen den Benutzermodus und Kernelmodus-Haken genannt.

Zum einen kann eine Anwendung direkt auf die Systemaufrufbefehl verwenden, ohne Aufruf von Windows-API (Application Programming Interface-contained in verschiedenen System-DLLs), auf diese Weise von Antiviren-Programmen im Benutzermodus Ebene vollständig die installierten Haken zu umgehen.

Zweitens auf Kernel-Ebene können harmlos Code an die Antivirus durch die Haken Funktionen zur Analyse übergeben werden, und sobald es die Sicherheitskontrollen zu umgehen, schalten Sie das System die Ausführung auf den bösartigen Code, die für die Analyse nie unterliegt. Dies wird aufgrund der Multi-Threading-Technologie von Prozessoren und der Hauptrolle durch den Prozessor scheduler gespielt. Das ist es, wenn ein anderer Thread der Anwendung auf den Prozessor geplant ist, unmittelbar nachdem die Hook-Funktion Sicherheitskontrollen, es könnte das ursprüngliche Argument-Zeichenfolge im Benutzermodus Teil der Adressraum und an die Hook-Funktion als "das Original" gespeichert ändern, ohne dass der Haken Handler jede Änderung zu erkennen, weil zu weit in die Kontrollen Routine fortgeschritten. Der Zeiger für Anweisungen können nicht geändert werden, da es an den Kernel-Stack kopiert wird, kann aber den Bereich des Speichers modifiziert werden, an dem Zeiger auf die verwiesen wird beeing accesible aus Benutzermodus. Wenn der Prozessor-Scheduler wechseln dieAusführung an den Hook-Funktion und dem ursprünglichen Systemdienst aufgerufen wird, wird ein Teil des Codes geladen werden, die nicht gescannt wurde, jeweils den bösartigen Code.

Mit einem Wort, es ist wie Orangen zu kaufen und Empfangen statt Äpfel.

Allerdings ist dies ein Szenario von den Forschern aus TOCTTOU Forschung getestet Angriff und der Öffentlichkeit zur Verfügung gestellt auf und kann an die Winows basierten Systemen alle Versionen einschließlich 7 angewendet werden, ist es nicht 32 oder 64 Bit ist egal. und unter Verwendung von Multi-Core-Prozessoren, wie es ist in vielen modernen Computern den Angriff effektiver gemacht werden, weil mehrere Threads der gleichen Anwendung können gleichzeitig ausgeführt werden, und der Prozessor-Scheduler-Schalter im entscheidenden Moment nicht "ein Muss".

Die Liste der Antiviren-Programmen anfällig für diese Art von Angriff ist sehr lang:

-3D EQSecure Professional Edition 4.2 -avast! Internet Security 5.0.462 -AVG Internet Security 9.0.791 -Avira Premium Security Suite 10.0.0.536 -BitDefender Total Security 2010 13.0.20.347 -Blink Professionelle 4.6.1 -CA Internet Security Suite Plus 2010 6.0.0.272 -Comodo Internet Security Free 4.0 .138377.779 -DefenseWall Personal Firewall 3.00 -Dr.Web Security Space Pro 6.0.0.03100 -ESET Smart Security 4.2.35.3 -F-Secure Internet Security 2010 10.00 build 246 -G DATA Totalcare 2010 -Kaspersky Internet Security 2010 9.0.0.736 -KingSoft Personal Firewall 9 plus 2009.05.07.70 -Malware Defender 2.6.0 -McAfee Total Protection 2010 10.0.580 -Norman Security Suite PRO 8.0 -Norton Internet Security 2010 17.5.0.127 -Online Armor Premium 4.0.0.35 -Online-Lösungen Security Suite 1.5.14905.0 - Sicherheit Outpost Suite Pro 6.7.3.3063.452.0726 -Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION -Panda Internet Security 2010 15.01.00 -PC tools Firewall plus 6.0.0.88 -PrivateFirewall 7.0.20.37-Sicherheit Schild 2010 13.0.16.313 -Sophos Endpoint Security and Control 9.0.5 -ThreatFire 4.7.0.17 -Trend Micro Internet Security Pro 2010 17.50.1647.0000 -Vba32 Personal 3.12.12.4 -VIPRE Antivirus Premium 4.0.3272 -VirusBuster Internet Security Suite 3.2 -Webroot Internet Security Essentials 6.1.0.145 -ZoneAlarm Extreme Security 9.1.507.000

Wie ich immer gesagt, denken Sie 100 durch ein Antivirus geschützt% die schlechteste Vorstellung ist, können Sie haben, Sie bessere Computer-Infektionen, die durch Wissen nur verhindern kann. Viele Entwickler oder Forscher auch von den Security-Software-Unternehmen erkennen, dass in unseren Tagen, nicht die traditionellen Methoden zur Verteidigung gegen die neuen Bedrohungen einfach nicht funktionieren oder viele Schwachstellen hat.