聊聊超级巡警V4版的引擎和特色

wangjay1980

转killer: http://blog.xfocus.net/index.php?blogId=2
ASTV4是我计划中对引擎修改的版本，本来这个计划还在很远的将来，但因为一个契机，我把它提前了。

在ASTV4之前的引擎，我们内部称为第一代引擎，我们甚至为此写了OEM文档和接口调用文档。至于效果，熊猫烧香一战中大家已经能看到一二。作为我曾经引以为傲的，高速轻载的扫描引擎，就这么划上句号，心理还真有点不舍。

不过我还是执意的开始了第二代引擎的研发，这个内部开发代号“冰毒”的引擎^^。初衷就是要作为一个重量级引擎的架构设计。从引擎的角度看，这将使得AST系列将能够直面迎战国际一流的安全产品，我们这三个月鸟悄的，静谧的，就是在干这事。

ASTV4系列将会有哪些新特性呢，这里先聊几点，更多的大家自己挖掘：)：


1、误报处理：

ASTV4将使用快速签名扫描方案，这使得V4版在对微软系统文件不用做误报测试也能做到0误报，同时采用了一种iChecker技术，对我们认证的文件，将不在重复扫描，这会加快扫描速度，尤其是系统目录的扫描。下面是在虚拟机中对系统目录的扫描时间统计。

第一次对Windows系统目录扫描：(花费1分35秒)
目录扫描开始: 2007-06-06 14:42:15
目录扫描结束: 2007-06-06 14:43:50
第二次对Windows系统目录扫描：(花费32秒)
目录扫描开始: 2007-06-06 14:46:47
目录扫描结束: 2007-06-06 14:47:19

2、多维特征：

这是我们独创的一种特征技术，在这一版中，我们将其完善。本质说起来，这也算一种启发扫描。不过在我看过的启发扫描的产品中，除了AVP对DOS/WIN9X病毒的启发逻辑，NOD32对WIN API的判断逻辑有一些可圈点外，别的基本都是挂个羊头不卖肉，启发人人会做，做的如何就很难说了，幸好我们这东西又不完全是启发，这里面有一些超越启发的东西，当然还在尽量完善。

3、特征库：

如果说，ASTV3以前的版本还因为特征而惭愧的话，那么从V4开始，特征将会有几何级暴涨，尤其是国外的用户，比如欧洲、日本、美国，这些用户将会看到空前的检出率。不仅如此，我们还特意花了许多时间来优化特征，在同类反木马、反间谍产品中，在同数量级特征的内存占用、检出率等方面，我们绝对领先：)

4、界面：

大家都说AST丑，这次完全贴图重画界面，不使用任何第三方控件和界面库，兄弟们已经基本封装完成一套界面类。慢慢只要美工到位，您就等着惊艳吧。

5、壳识别和脱壳：

不能对抗壳的安全产品，长远角度看，将是致命的。所以在ASTV4中开始了对壳的全面处理，事实上在第一版引擎中，我们引擎内部就已经着手处理了。我们采用了三个结合的方案，取各方案之长来处理壳。不废话，选几个国际上对壳处理比较有特色的产品来对比，看例说话。

测试方法：将测试用的WOLLF.EXE(都能查)放到VM中，进行修改。注：各家在不加壳和加了upx壳后不修改均能脱壳查杀，所以我们直接列出修改后的对比测试。

第一次修改，将测试文件使用Upx压缩，然后通过针对各AV的壳识别特征进行修改，使得修改后的UPX壳各杀毒均无法识别。各家处理流程如下：

NAV：壳识别？错误 → 启发逻辑 → 发现可疑病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 发现病毒
AVP：壳识别？错误 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别 → 发现病毒
ASTV4：壳识别？错误 → PE类型分析？成功 →VM ？解密成功 →发现病毒

第二次修改，使用某流行加密壳来处理，测试结果如下：

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 发现病毒
AVP：壳识别？成功 → 静态脱壳？成功 → 发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → → 高级启发？→没有发现病毒
ASTV4：壳识别？成功 → 静态脱壳？成功 → 发现病毒


第三次修改，使用某壳，具备加密/压缩，确认各家都无法脱壳查毒，用该壳加密wollf.exe来测试。结果如下：

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒 (如果设置了高敏感启发则会报警，但该设置误报率很高)
MCAFEE：壳识别？错误 → 通用解密引擎 → 没有发现病毒
AVP：壳识别？成功 → 静态脱壳？失败 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → 高级启发？成功 → 发现可疑病毒
ASTV4：壳识别？成功 → 静态脱壳？失败 → VM ？解密成功 →发现病毒

第四次修改，使用某私用壳具备压缩和保护功能的壳加壳测试，注意本次各家都无法识别出来该私用壳。

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 没有发现病毒
AVP：壳识别？错误 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → 高级启发？失败 → 没有发现病毒
ASTV4：壳识别？错误 → VM ？解密失败 → 多维特征？成功 → 发现病毒


你一定会疑问，上面提到了超级巡警V4的虚拟机，那么它的脱壳能力如何呢。在最近完善和狂加脱壳代码后，俺以职业的信安工作者毫不谦虚的说，这可能是你见过最强的脱壳虚拟机，目前内部模块支持上百种，300个版本左右的壳处理，在脱壳能力上远超越NAV/Bitdefender/NORMAN AV/这些国际大厂，在脱壳数量上是国际上仅次于AVP的产品，相反，我们与AVP不同的机制实现和处理方案，使得我们今后在脱壳领域完全可以与AVP一较长短。

关于虚拟机脱壳，方便的话我们会在今年XCON上出个议题。

虽然我说的比较大，你下载后可能会有一些失望，无法立刻就体会到功能的好坏，这原因很简单，我们打造了强悍的AK，还需要足够的弹药才行。另外稳定性和可靠性还需要时日，低级的BUG也可能有许多没发现，架构一大测试压力就大，做个产品杂活太多，俺打着打着杂就老忘了正事，这里欢迎兄弟们使劲儿批评。

不过已经有了强悍的AK，接下来的事儿，就看咱怎么风骚了。

Follow me !

klovecui

SF.真的有这么好???等出来了要试试才行..

baerzake

如果真的这么好可以试试,我的巡警已经在电脑里睡了大半年了 ,那个界面啊实在让人不敢恭维,还有那个托盘图标 ,希望4出来后能有所改善,那样我以后会把它和AVG一样待遇,2,3个星期拿出来晒晒.

china_killer

小瑞x

woai_jolin

吹的太起了蛮
继续无视而过

jpzy

呵呵，看着说的头头是道啊！
有机会要见识见识！

PS：估计作者是我老乡，鸟悄这种话估计别的地方人不会说！

wangjay1980

‘鸟悄’这是那里的话？什么意思？

cbz107

原帖由 wangjay1980 于 2007-7-19 11:39 发表
‘鸟悄’这是那里的话？什么意思？

轻手轻脚？

caohuolong

看来和国际杀软的对比  我想又多了一个瑞星。。。。

傻猪猪米走鸡

这么好的东西一定撑！到时顺便学学专业的东西…