杀毒软件科普篇

zhq445078388

首先按照现在的杀软市场 将杀软分为3类
1、以云安全为主的（基本传统杀软都转云了）
2、高启发+本地库（如nod32  小红伞 微点杀毒）纯启发（百锐）
3、本地库+hips+立体防御+特殊云（如：卡巴斯基，诺顿，趋势科技）
---------------------------------------------------------------------------------------
首先看云安全
云安全是传统杀毒的延伸技术
同样属于传统杀毒的延伸的还有启发式技术 虚拟机技术
------------------------------------------------
传统杀毒是什么？
为什么传统杀毒会急速发展 以至发展到了云安全的地步？
---------------
传统杀毒
所有使用特征码比率到杀毒核心技术的80% 就属于传统杀毒
传统杀毒软件的代表自然是：
金山系列安全软件 360杀毒（双核版本） 可牛杀毒 卡巴斯基 诺顿
瑞星 微点杀毒

根据目前所定义的杀软三代说法
我将纯特征码杀软定义为2代杀软初期
如 早期的江民 卡巴斯基 金山
有能力 并且已经将该技术应用到极限的是：卡巴斯基

2代杀毒软件的2代是什么？
广谱杀毒技术
广谱杀毒技术被成为最早的启发式
广谱通过提取一个家族的样本共同点来定义为病毒特征码
也就是说特征码从1对1 多对1变成了1对多
最早将广谱技术投入使用的是金山毒霸
紧跟的是江民 以及费尔
------------------------------------
2代杀毒的2代巅峰时期
虚拟机技术被应用到了杀毒业
而所有的杀软公司的虚拟机技术都没有到微软 vm的境界
所以基本所有的杀毒虚拟机都是脱壳机（就算是现在nod32 官方也说虚拟机是用于鉴定程序本体）
最早投入使用并且被大家所熟知的杀毒软件就是：瑞星
目前虚拟机技术极好并且大家喜欢使用的是：瑞星 微点杀毒软件 诺顿 大蜘蛛（dr.web）
瑞星在这个技术取得了突破 从而获取了国家的支持
-----------------------------------------
2代杀毒的3代初期
高级启发式技术
不在通过检查程序固定代码
而是将程序转变成汇编代码 或者转出程序输入输出表
通过静态汇编 查询输入表的方式 定义程序的性质
最早的高启发 是大蜘蛛 dr.web
目前大家所熟知的高级启发式技术 分别是：nod32  小红伞 微点杀毒软件 百锐启发式引擎
----------------------------------------
2代杀毒经过这3个阶段的发展
发现一个极其严重的问题
那就是病毒库依赖问题 号称无库启发的百锐启发式引擎 其实是有库的 库在程序代码中被集成
百锐遇到强壳 必须依靠其他手段脱去壳子 才可以识别
并且识别率不足60%
中关村策划第一人 毛一丁在被采访时说过：其实熊猫烧香没什么技术含量 如果他不更新 所有杀毒软件都能杀掉他

是的 杀毒软件在更新 木马/病毒也在更新 这怎么做呢?
云安全应运而生
--------------------------------------------
初期的云安全
保持连接的高速病毒库缓存技术
如 现在的卡巴斯基云安全 就是处于这个阶段
云安全服务器作为一个巨大的病毒收集机器
客户端就是一个个的上传器 发现未知文件进行上报
云端鉴定完毕 更新病毒库 客户端同步更新
----------------------
现在的云安全技术是二代云
巨量的云特征库与许多杀毒软件或所谓云鉴定器的配合查询文件安全性
当云端杀软/云鉴定器信息比较平均 不宜评分的情况下 转入人工服务
这样一来  就出现了两种模式
一种是云启发 如金山的微特征技术 如360云特征引擎
一种是云校验技术
巨量的校验值信息放在众多库中
多进程或多线程技术同时枚举
还有一种是p2p技术
基于云校验技术
云校验得到的缓存被临时保存在本地 当附近有用户需求时 自行发现自己有匹配信息 将自己的匹配信息发送
如风暴微塔p2p反病毒
------------------------------------
云的威胁
云被什么威胁？
被多种已知威胁所威胁 且无法避免
1、来自大范围的ddos攻击
2、dns服务器被攻破而导致的解析错误
3、线缆故障

云无法弥补的漏洞：
首次创伤
任何一个人都无法忍受漫长的云鉴定
我们不能因为云鉴定而双击一个程序后等待10~99秒

并且云对未知病毒/木马很容易判白 转鉴定
这期间 首次创伤就出现了
一个木马要生效 也许只要1分钟 半分钟
在内存重定向掉云安全中心是很简单的
并且 区域发作 大量变种可以直接导致云安全体系在该区域崩溃
正如熊猫云无法捕捉2天500*3次变种的熊猫烧香一样
平均一个熊猫烧香存活期只有3.84分钟
就算云的响应时间是4分钟
而
自我变种技术 与变种机的出现
可以比当初熊猫烧香更快的变种  哪怕你是10秒响应  也可能不如我的病毒更新快
所以及时是现在少地区多变种仍旧可以使得80%以上依赖云相应的云安全体系崩溃
另外 具有强大自我保护功能的木马 一旦在云空白期被运行 那么 将极难清除该恶意程序
----------------------------------------------
第三代技术：
行为判定技术
现在的瑞星 微点 都具有真正意义上的主动防御技术
但是带有行为分析的沙盘 我们也可以将他归类到第三代技术 如eq 科莫多等
为什么不加入hips？因为hips只能算作行为分析辅助工具 不能算入反病毒技术
即使没有hips工程师一样可以观察程序行为 而有了hips  只是降低了这个门槛

行为判定技术的好处
1系列规则 大小不会超过2mb  对应的木马/病毒则直接以种类来划分
一串加权规则 则对应了未知的木马/病毒多少个？
搭配强悍的自我保护功能
加上轻量级的白名单
足以应对除漏洞入侵的所有威胁（前提是厂商的规则足够好）

但是问题来了 主防的误报是大家有目共睹的
那么 我只能说 主防是安全的救世主 但是是小程序的灾难
但是要主防规则那么好？不太可能
所以我只能说 立体防御才是救世主
主动防御的规则达不到想象中的那么完善 用一种特殊的引擎去掉误报才行
（如微点的“程序识别”机制）

我感觉到了一点危机？。。
是来自与云安全fans的吗？
可是 云安全厂商纷纷加入hips或轻量级主动防御
这是最好的说明

liaomo817

讲得不错，支持一下。

seehere

不错，支持。

jefffire

云鉴定周期未必这么长。
比如金山云，本地匹配三到四个特征点（分块的哈希值），如果没有，则会计算另外12个特征点并上传云端进行匹配，上传大小不过几百字节而已，若云端匹配成功则能迅速返回结果，整个时间在秒级。除非16个特征点全部落空才会整体上传。
360的云QVM，则是上传三套QVM判定所需的万余个特征点，压缩后上传大小在1kb左右，秒级鉴定。

zhq445078388

jefffire 发表于 2011-8-2 21:09
云鉴定周期未必这么长。
比如金山云，本地匹配三到四个特征点（分块的哈希值），如果没有，则会计算另外12 ...

哪怕在10秒内完成鉴定 只要一个区域有一个成功运行 那么云安全体系就会崩溃
一个区域同时散播500个变种
运行成功的毒利用云挟持技术可以轻松常驻 这就是云的首次流血定律
一个完善的黑客团队 他们可以同时开发5个以上的不同族的木马
利用多套生成器可以1个小时生成数以千计的木马
这些木马被批量的丢在同一个区域 云安全体系很容易崩溃
哪怕每200个免杀版里面有1个成功运行 一天过去 100+的用户就会被感染
而利用这100+的客户端进行轻量级的木马自增/减
可以额外得到每小时2000的木马变种 如此循环

FOXFFF

学习了。。。知识就是这么积累的。。。

zsowen

可牛不是已经挂了么？

流年春去

进来学习下

8023ky

支持一下楼主，知识丰富了

gongjianyc

恩，  可以