金山之行学习贴系列二：本地防御下的若干问题

蓝芯云安全

断网虽然不是每一个网友都会面临的问题，但一款杀软的断网防御却是所有网友都关注的问题，原因就是：所有的人都不希望那个“万一”出现在自己的身上，这与金山毒霸大力开发云防御所导致的“第一个中毒”的担忧有异曲同工之妙。现在病毒更新、生存周期越来越短，有的病毒甚至只需要在一次聊天中完成一次盗号、盗网银的任务即告消失，生存周期甚至小于1小时。面对这样病毒，如果云防御漏网，那用户该怎么办？

系列二：金山毒霸的本地防御机制

金山毒霸的云安全防御体系在这里我就不赘述了，简单来说，边界防御就是“御敌于国门之外”。因为我们在联网下的入侵途径是可以被枚举的，毒霸防御住了网页挂马、文件下载、聊天传输和漏洞攻击以后，基本来自于网络的威胁就很低了。但是如果断了网，这部分边界防御将威力大减，此时的电脑安全，将由什么来守护呢？

毒霸的本地防御简单来说，由三部分组成，或者准确的来说是2.5个部分，那就是：

一、本地流行病毒库及白名单
二、本地系统行为防御
三/2.5:U盘启发式防御（其实U盘防御应该被包含到系统行为防御中，但实际上毒霸的U盘防御是独立的）

其实对于第一部分，我非常无奈，因为这本不应该需要介绍的，但不知道是无意还是刻意，金山毒霸的本地病毒库“被去除”了，所谓的“被去除”就是它明明是存在的，甚至还不算太小，但有些人在宣传中，或者在提问中，张嘴就是“金山毒霸没有本地病毒库，我该怎么办呢？”、“金山毒霸完全去掉了本地病毒库，这是不安全的”云云。无论是懂装不懂的先入为主的提问还是不懂装懂的斩钉截铁的回答，这无形中将金山毒霸的本地病毒库妖魔化了，在此我要重申，金山毒霸的本地病毒库存在且一直存在，它从来没消失过。

那么此篇文章的重点放在毒霸的本地系统行为防御机制上，金山毒霸到底有没有本地系统性为防御呢？答案是：有！但是它不如一般的HIPS那样，设置繁琐，选项众多，并且频繁弹窗来告诉你：我在干活，你看你看！

根据金山毒霸的工程师指出：金山毒霸的本地系统行为防御在联网状态下一般处于静止状态，只有在进行文件传输、网购环境、断网环境下的时候才会悄然开启，并默默地保护用户的计算机安全。毒霸的系统防御目前主要是防护几个重点的关键位置，当文件对这些位置进行访问或调用的时候，毒霸的主防将会提示高危行为，并默认拦截。这些位置的行为规则是基于本地的，所以不用担心在断网下会影响效果。

我这个帖子的目的其实不是来吹毒霸的本地行为防御有多么强大的，恰恰相反，就我以上所说，毒霸具备本地防御技术，但是其强度远远无法与卡巴斯基、Comodo甚至微点相比。假如我在这里吹牛说毒霸的本地防御强度达到了卡巴的水准，那肯定是不客观的。为什么我要提到这个问题？就是因为这涉及到一个关键的概念：断网下，威胁在哪里？

这有牵涉到了我所说的第三或者第2.5个部分：U盘防御。可以说，在断网条件下，用户所面临的威胁，最大的应该是来自于U盘，其次是局域网威胁例如ARP攻击，再小众的就是蓝牙、红外、光盘、软盘等等基本被人遗忘的传播方式。那么根据对于威胁的定位，可以这么说：在小部分的断网用户处的最大威胁是U盘。

那么U盘传播的病毒又会基于以下三种形式：
一、U盘自启动感染型病毒
二、U盘脚本类替换型病毒
三、U盘携带的非自发作性普通病毒

对于这三类U盘病毒，首先毒霸可以抑制自启动，其次毒霸会对U盘进行主动扫描，这个扫描是根据毒霸自身携带的U盘启发式进行的，金山毒霸的U盘启发式源于最早的金山毒霸U盘专杀工具，这个小工具最终是专门为打印店等公共断网环境研发的，可以进行高强度启发式扫描+安全环境下打开U盘，且完全是基于本地的。这个工具的强力查杀功能已经与蓝芯2引擎整合，对于通常的U盘自发作感染型脚本、替换源文件等类型的病毒有相当强力的查杀和修复能力。

众所周知，U盘病毒的更新、传播周期都是非常非常长的，基本没听说过U盘病毒大规模发作的情况，像1kb文件夹、暴风一号等著名的U盘病毒，其出现的时间都是很久很久，其中原因，主要还是因为利益问题，U盘传播病毒除了传播自身以外，想要完成盗号、盗网银的任务基本是不可能的，更多的是玩笑程序、恶意破坏程序或者技术展示。而金山毒霸对于这些程序的高启发非常有效。加上毒霸的本地白名单，可以在U盘这样的小环境中，将误报降到最低。

但是对于U盘携带的普通病毒，例如我下载了一个”XX游戏破解器“，其实是一个病毒，我将其拷贝到另一台电脑上，主动运行了，那毒霸该怎么办？面对这样的欺诈用户运行的行为，毒霸选择了非白即黑的判别机制。由于U盘传播的文件量一般较小，而且每次需要运行的程序数目也不多（很少有人会一次拷贝几十个exe然后运行吧），所以相对于整个系统而言，非白即黑的判别机制将会是最简洁并行之有效的鉴定机制。当高启发无法发现非U盘类普通病毒时，非白即黑机制将起作用，抑制未知文件的运行，并给出用户警告。

但是，在这里，有人会问了：假如用户真的被病毒所欺骗，他就非要运行”XX游戏破解器“咋办？那金山毒霸将继续启动本地行为防御机制，对系统关键位置进行防御，而且最重要的是：这一部分的行为防御将不受云白名单的影响。很多人担心，假如病毒被毒霸误判为白，那岂不是一路放过？我要爆料的就是：其实毒霸在云端对于文件并不是完全的黑白判定，而是分为：全黑、疑黑、灰、疑白、白五个大级，并且对于白文件，有细分的打分机制。例如JPG、RMVB这样的文件，判白的分数很高，因为这样的文件确实没有什么威胁（RMVB漏洞攻击还是比较少的）。而对于正常公司的exe安装包一类，白的等级也很高。而对于一些个人制作的小软件，部分害怕被破解是加了壳的，白的等级就比较低。例如注册机、破解文件等，有一些也确实就只是注册机而已，即使判白，分数很低，一旦这些文件访问了系统关键位置，仍然会被本地行为防御拦截。

当然了，假如用户看到毒霸行为防御提示高危，仍然执意要点允许的话，毒霸还有最后一道防线，那就是沙箱。沙箱其实是很重口味的防御机制，一个完整、合理的沙箱，对于用户计算机是一个极大的拖累，沙箱由于其自身的特殊性，为了尽可能真实的运行程序，需求的代码量是非常巨大的，仅仅为了偶尔一用而投放到所有用户电脑上，与金山毒霸的轻巧理念相悖。假如用户连沙箱也执意不入的话，我想，全世界已经没有杀软能够救他了。

看到这里，大家都已经看明白了。毒霸的防御体系，绝对不是云那么简单，也不仅仅是云一条路，而是完全一条龙式的防御。大家会看到，毒霸的本地防御，确实存在强度不足的问题。为了解决这个问题，难道毒霸要选择加强本地主防到卡巴、comodo那样高的程度么？显然是不可能的。因为金山毒霸将研发重心放在了云，卡巴斯基、comodo的主防，是耗费了一个公司全部或者90%的研发能力的，毒霸选择了云，自然拿不出另外的90%能力去研发本地，为什么不这样做，其实理由也很简单：

根据刚才的陈述，一个用户，恰好断网，用U盘，恰好U盘有毒，恰好毒霸的启发式没有扫描出来，恰好毒霸的黑白验证被用户选择了允许、恰好毒霸的行为防御没有弹窗或者说弹窗了被用户点了允许、恰好用户又没有入沙、恰好用户中的不是盗号木马（断网也不可能盗号）而是破坏性病毒的情况，基本等于0啊！可以说，在使用毒霸的用户当中，应该是不到1%的用户存在这样的情况，而毒霸的研发资金投入了1%到这上面也是完全情有可原的，而现在的状况是毒霸投入了很大一部分资金与精力，为断网用户来保证安全。

毒霸的下一步目标，是实现聊天过程中，用户被”一次性“的盗号、盗网银病毒的威胁防御。如之前所说，一个病毒的生存周期如果是1天，杀软应该做到半天反应；如果是1小时，杀软应该做到半小时反映，如果是1分钟，那么应该是30秒。透露此次金山之行，水银系统的一个数据：现在毒霸已经做到了单日94%的文件10秒内鉴定完成，98%的文件99秒内鉴定完成，平均大小1.77M，最大3.1M（25日当天）。假如一个盗号病毒仅仅为盗取特定用户的金钱而诞生，生存周期仅数分钟（生成一个虚假的网银界面），又恰好过了云鉴定，毒霸如何防御呢？一是要加强对挂马网址的鉴定，其次还是要引入对于未知文件的抑制机制。对于未知文件不能查杀但可以抑制，就相当于对于嫌疑人不能判罪，但是可以收监审查一样，提醒用户不要轻易相信该程序提供的信息，待鉴定后再运行。但假如用户执意要运行的话，说实话，任何杀软也不能阻止用户的行为，否则就是流氓软件了。而毒霸要做的，是尽量给更多的用户，带来更多的安全。

目前金山毒霸主打云防御，金山内部也有诸多争论：是给100%的用户90%的安全，还是给99%的用户100%的安全呢？现在金山毒霸选择了后者，但是对于那1%的用户，金山毒霸竭尽所能，为其提供60%的安全。我不得不承认，毒霸在对那1%的用户安全上，由于有限的投入，仅能保证现有的安全性，但现在的问题是更多用户苛求金山对那1%的用户，投入像卡巴一样多的资金去研发强度达到comodo的主防，这显然是不合适的。但我觉得，金山毒霸目前正在做的，是为每一位用户都提供尽可能多的安全性。我也郑重提示：如果您处于长期断网，或者处于企业级多用户局域网中时，请使用HIPS类或者企业级或服务器级的本地杀毒软件，金山毒霸将在您回归互联网的时候欢迎您的使用。闻道有先后，术业有专攻，仅此而已。

十三少

沙发抱走

peniel1

地板

sfzjn

地下室。

K_Ghost!

前排占座 看着

wanghai360good

学习下

淼淼于心

前排学习

公司内网（连不上外网）传来的病毒算不算断网下的一种形式？

蓝芯云安全

qianhang1213 发表于 2011-7-29 23:39
前排学习

公司内网（连不上外网）传来的病毒算不算断网下的一种形式？

仔细看最后的几段

1404895714

知道了，了解了，占座。

ZwKK6088

终于来了