随着windows操作系统的日益普及(当然99.99%的人用的是盗版),病毒的编写技术也逐步提高.熊猫的那把火烧得可真是惨烈啊~~后来的"AV终结者"以及最近又有一种名为"机器狗"的木马病毒(能穿透一切还原软件甚至硬件还原卡).一个比一个有"创新"精神呐~~当然杀毒软件公司也不是吃素的.很多新的理念也已经被提出,如本文题目所列:虚拟机技术-启发式-主动防御.
先说虚拟机技术吧~
“虚拟机杀毒技术”即是在电脑中创造一个虚拟CPU环境,将病毒在虚拟环境中激活,根据其行为特征,从而判断是否是病毒。有专家认为,所谓虚拟机技术,就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,从而观察病毒的执行过程。这个技术主要用来应对加壳和加密的病毒,因为这两类病毒在执行时最终还是要自身脱壳和解密的,这样,杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。 (引自:百度百科)
总的来说,这门技术其实是一种脱壳技术,传统的杀毒引擎通过扫描特征码来识别病毒和木马.所以99.99%的virus肯定是加壳的(最普遍的是UPX),杀软相应的就必须脱壳.
这样一来,问题就出来了,如果某个病毒加了十几个近百个壳,杀软还能完全脱壳吗?这也就是虚拟机技术产生的一个必然原因.模拟出一个系统,任凭加了再多的壳也要运行啊!虚拟机技术就是触发其运行再进行查杀的辅助技术.但是考虑到资源的占用率等问题,杀软公司把虚拟机的技术精简了再精简,以至于不能完全模拟出一个系统来.这样漏洞必然产生,原本的效果也大打折扣(即使是完整的虚拟机也有病毒能穿越其感染宿主计算机).个人认为,虚拟机杀毒技术应该是传统式杀毒到达的一个瓶颈.
启发式杀毒在这个时候产生应该是必然的.什么是启发式杀毒呢?
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。(引自:百度百科)
启发式的技术几乎现在位于世界顶端的杀软都加入了,其中做的比较出名的有NOD32,小红伞等.
在高级启发里,可以看见"虚拟机",表明了这门技术走了一脉相承的发展道路(站在巨人的肩膀上吧~~).启发也有其不完善的一面,就是误报多!纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率, 而其误报率极易控制在0.1%之下.即使这样,误报还是带来不少麻烦的,"诺顿"误杀门事件大家都知道的吧~~N多用户系统崩溃啊~~真是比熊猫烧香还惨啊~~(至少大熊猫是个国宝,你进了系统看到这么可爱的小家伙也舍不得杀啊~~养眼也不错,顺便宏扬爱国文化嘛~~).当然好的启发不是没有,那个NOD32就很少误报..还是那句话,99.99%的人都用的是盗版软件,而NOD32这家公司TMD技术太先进,防盗版防得太好了,几乎找不到正版序列号,即使找到没多久就会被封的~~不稳定因素太多了~~
应运而生的主动防御技术也许是划时代的吧~~
在“主动防御”技术的的实现上,主要是通过函数来进行控制。因为一个程序如果要实现自己的功能,就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的,在Windows里一般是通过DLL里的API提供,也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为,通过看它调用了什么样的API就大概清楚了,比如它要读写文件就必然要调用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函数,要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API,如果挂接RING3层的API将有可能被绕过),就可以知道一个进程将有什么动作,如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统,用户可以在它的安装目录里找到几个驱动文件,其实这些驱动就是挂接了ntoskrnl.exe,ndis.sys等系统关键模块里的API,从而对进程的普通行为,网络行为,注册表行为进行监视的。(引自:百度百科)
主动防御用的其实就是行为分析法!打一个比方吧~有个特工要去你们国家执行一项暗杀任务(别问我为什么举特工的例子,其实就是最近这方面小说看太多了),然后呢这个国家的安全组织已经得知有特工来杀他的高层人员,所以在机场啊火车站啊这些地方一个个排查..根据情报显示是个男的,但那个特工可以化装啊~或者直接做个手术什么的,(货真价实啊!),这样一来即使你扒光他的衣服(类比于"虚拟机脱壳技术"稍微粗鲁了点,见谅),她还是个变性的~~接着你开始调查这个人的背景什么的,来自哪个国家.根据手中已经掌握的资料去确认(类比于"启发式"),但要知道来自同一个国家的人多来~~人家如果是来旅游的还要你管啊?(当心告你侵犯隐私权哦~).但是,一旦有人靠近这些敏感的高层人物,主动防御的魅力就体现出来了.在特工雷霆一击之时,你可以瞬间爆了他的头(CS都玩过的哦~~其实我是高手,CS爆头专家).例子就说到这儿~~
Leave a Reply