对于一些基本概念的厘清

ccboxes

本文原发在求介绍BD的ATC原理的第20楼，鉴于坛中不少人仍不知主防、HIPS等名词的实际意义，交流也多有不便，现在将其在国外大区重发，希望能给读者帮助。

关于各种概念我在坛里科普过好几回了
这次写个长的，欢迎讨论。另外求原创加分，冲击正式写手 。
以下解释如无特殊说明，均针对可执行文件病毒。
为方便说明，每个名词会找一个例子讲解

@windows7爱好者  @fireherman  @欧阳宣  @T.Yoshiyuki @ysj963
谁能帮我@个元老来个原创分啊

以下开始解释，首先要知道几个名词：

启发式分析：与最初始的基于特征比对的查杀技术（安软简单的将文件数据与病毒库中的数据比对，如MD5，相同则查杀）不同，使用启发式分析的安软试图通过一系列手段还原出可执行文件的实际行为，并将其与记录病毒行为方式的启发特征库相比对，在最理想的情况（安软可完全解析出目标文件可能执行的动作）下，一个启发特征就可以查杀一整类病毒，大大节省了空间和性能。实质上是对工程师分析病毒过程的模仿。


设计难度和实现难度：对于工程师（不是对用户！）而言，要评价一项技术是否易用看两方面：一、设计难度，即该技术本身逻辑的复杂程度，逻辑越复杂，编写时越容易出错，对性能的消耗越大；二、实现难度，即该技术对系统环境要求的苛刻程度，要求越苛刻，基础架构就越复杂，运行越不稳定。举个例子，我现在正在编写的智能车控制程序，可以平稳控制小车沿赛道行驶，只需要在小车上焊两个传感器即可正常工作（实现难度小）代价就是使用了复杂的控制算法以仅凭两个数据预测小车可能的姿态和轨迹，使得芯片功耗大，程序BUG多，反应稍慢（设计难度大）。师兄的程序需要在小车上焊六个传感器以获得小车的实际姿态，任何一个不正常就会跑飞（实现难度大），但算法简单，程序短小（设计难度小）


静态启发：属于执行前保护的一种，即安软在可疑文件载入到内存并执行前，对其数据进行的启发式分析，整个过程中，可疑程序没有运行，典型的像ESET的高级启发式（各大都有，但ESET的效果可称最好），对于由高级语言（C++等）编写的程序，由特殊的反编译器反编译(没学过编程的人可能难以理解编译的概念，也不需要，你就知道代码需要编译才能被系统识别运行就行），根据得到的代码分析出程序可能执行的命令种类和顺序，再与启发特征库中的行为方式比较，近似则报毒。这种方式的优点是能在恶意软件对系统造成影响前查杀，能识别大部分变种病毒，实现简单；缺点是受限于PC的性能和反编译器能识别的代码种类，杀毒引擎不可能彻底解析出程序要执行的命令，只能解析出一部分不知正确与否的命令用以比对，可以被加花指令等方式绕过，换种说法就是，静态启发的查杀率存在天花板，无论如何改进引擎都无法逾越


动态启发：为弥补静态启发的缺点，而出现的一种启发技术（如BD的B-HAVE技术），可以看作主防的前身，原理是在可疑程序实机运行前，先在一个隔离的、受到监控的虚拟环境中运行可疑程序几十或几百毫秒，从何获得程序在这一小段时间内的准确行为，将其与启发特征库作比较。优点是能识别不少利用无关指令混淆真正行为的病毒，缺点是占用大，拖慢系统反应速度，以及最致命的——只要在真正的有害行为前加入几秒钟的延时就可绕过。现在存在感已越来越低，几乎无法在平常使用中见到。


HIPS：主机入侵防御系统的英文缩写，拥有FD（文件防护）、RD（注册表防护）、AD（应用程序防护）三种功能。在任何程序试图执行任何行为时拦截并弹窗询问用户是否放行，一般可通过预设规则来减少弹窗数量，增加易用性，实质上是一种把系统控制权完全交给用户的安全工具，其效果完全取决于用户计算机水平，缺点是需要深入系统底层的内核驱动以拦截其他程序的行为，实现困难，对系统运行干扰大大神用此裸奔毒网，小白用此徒增烦恼。Comodo的Defense+，SSF、卡巴的应用程序控制等都是HIPS的例子。


主动防御：主防属于执行后保护，在主防运作时，可疑程序已经加载并正在执行。其定义现今仍有争议，本文取广义，因而分为两种。同时由于主防建立在HIPS的基础上，HIPS的缺点主防也存在。

单步主防：在HIPS的基础上，预先设定从宽松到严格的几套限制规则（默认阻止与询问的行为依次增加），一个新程序运行时，首先通过其他手段判断该程序的可疑程度，再根据这个可疑程度分别套用限制强度不同的规则，实现安全程序进行某动作默认放行，可疑程序进行同一动作时询问或阻止。优点是相对于使用繁琐的HIPS，实现了安全性和便利性的平衡；缺点是极度依赖云端信誉库以判定程序可疑程度（不联网时要么安全性大降，要么弹窗烦死），被白加黑针对严重，存在误放过恶意动作的可能性。典型的例子就是360，背靠全国最大的云端信誉库，360也是目前最优秀的单步主防之一。

多步主防：在HIPS的基础上，去除规则模块，用类似静态启发的启发分析模块代替。在可疑程序实机运行时，实时获取其执行的真实动作，与启发特征库中的行为方式进行比对，发现行为近似就终止其运行，有的多步主防还带回滚功能，可以在终止可疑程序运行后逐步撤销其对系统进行的更改。优点是打破了静态启发的天花板，不再受花指令、加壳等免杀方式的困扰，对变种查杀能力强；缺点是对行为模棱两可的可疑程序（如流氓软件，勒索软件）效果不好，存在误放过恶意动作的可能性（回滚部分弥补了该缺陷）。BD的ATC，诺顿的SONAR、卡巴的SW等都是多步主防。

ELOHIM

前排认真学习一下。
—————————

            

           人气回头补上……

猪头无双

围观大神我等水货静静地冒个泡装13

fireherman

支持原创，支持科普。

paul_guo

感觉静态启发这个我是真不太知道。。。。。。

windows7爱好者

已看完，没有人气了

pal家族

很容易懂，只是打字麻烦，所以
楼主有心了。
给一个 赞 有必要。。。。。。。。。。

不过，，，，，，，，，，如果大家对这样的东西并不感兴趣，发了就没什么用，到时候还是一堆人不知道最基本的概念原理。

不管怎么说，复出是必要的

http://support.kaspersky.com/12370

westbyte

感谢普及概念

1083086612

我想问问启发式分析，静态启发和动态启发是不同的三大板块吗？就是说是三种不同的启发？还有，eset不是更擅长对付已知（已经入库）的变种病毒吗？那按照你的解释，eset就是属于启发式分析了吧

一个启发特征就可以查杀一整类病毒

蓝天二号

1083086612 发表于 2016-10-5 14:59
我想问问启发式分析，静态启发和动态启发是不同的三大板块吗？就是说是三种不同的启发？还有，eset不是更擅 ...

我想说哪个不擅长对付已知（已经入库）的变种病毒？