K+ 2.0 揭秘 （一）：进程行为基因分析系统

cutemole

K+ 2.0即将上线，我们会陆续推出一系列的K+技术介绍文章。本文是第一篇，由K+团队的小羊同学执笔。

K+ 2.0 揭秘 （一）：进程行为基因分析系统


（1）为什么要进程行为基因分析：

        对杀软来说，样本有多种状态，比如“黑，白，未知”，黑的就当成是病毒，白的就放行，对于未知样本，一般采取的措施是上传样本，然后加上各种危险动作弹窗。

        金山毒霸覆盖快2亿用户，利用强大的云端黑白名单和上述的防御机制，在初期防御上取得了不错的效果。但是病毒作者也不是善茬，通过各种花样层出不穷来的手段对抗云机制，典型的有：
       
        1，大样本 （避免样本上传）
        2，利用白程序破坏系统
        2，脚本（BAT,VBS)生成病毒 （变相利用cmd,wscript等白进程执行）
        3，断网 （破坏云查询）
        ...

        而当类似于第2和第3点的威胁出现后，白程序放行已经成为了病毒作者过各类云主动防御的法宝。病毒利用白程序可以进行各种各样的危害系统的操作而被防御放过。
        正式因为此，K+才从1.0开始不断完善了进程行为基因分析管理系统，直到2.0该管理系统已经具有非常强悍的分析能力。
       
（2）什么是进程行为基因分析：

        其实我们认为无论进程是好是坏，只要它进行了一个有风险的动作，就一定有一个让它产生动作的原因。也许是您浏览网页时一个IE扩展调用RPC启动的一个服务去修改了一个注册表，也许它是一个你下载一个恶意脚本后运行而导致的进程去改了系统文件。
        但无论如何，一定有一个导致这个进程行为的根本原因。这个原因就是它的基因，而它的基因就能反映出它的本质好坏。在国外的很多研究里，这个技术叫RCA，Root Cause Analysis.
        下面再举些简单的例子来说明什么是行为基因的传导：马和驴XX之后会生下骡子，骡子走路就有了马和驴的基因。A进程被B进程插入后，A又去修改了启动项，A的这个行为基因就依赖于B了。这些就是行为基因的传导。
        而根源基因的序列，也就是血统，事实上是显而易见的真正病毒的载体行为，所以K+就可以轻而易举的识别出来。
        我们再举一个实际的例子，以进程执行传导基因为例：       


        上图中，很容易把进程的父子关系看成是家族繁衍关系，俗话说：龙生龙，凤生凤，老鼠的宝宝会打洞。毒霸监控每个进程危险行为，针对每个进程血统生成基因序列，当一个基因不良或血统不纯正的进程需要修改您电脑里的关键文件、关键配置时，这些行为显然需要经过您的许可。

小紫英

大白羊已阅，表示进程树管理本来就是hips的基本功，父进程回查是360hips1.0时代的功能，小羊同学幸苦了

xiaoicao886

金山这版本号有点太快了吧。

itcql

到时候看看，怎么样

cutemole

小紫英 发表于 2011-10-14 16:09
大白羊已阅，表示进程树管理本来就是hips的基本功，父进程回查是360hips1.0时代的功能，小羊同学幸苦了[:01 ...

完全不是一个概念，进程树管理金山去年就有了，貌似数字的还没做完全呢~

sfsren

等待2.0

小紫英

cutemole 发表于 2011-10-14 16:26
完全不是一个概念，进程树管理金山去年就有了，貌似数字的还没做完全呢~

耍耍嘴皮子的事谁都会，先多解决几个BSOD的问题再说吧

轻巧夺命

一管大师qIwEiXuE写哪一篇啊？我很期待啊。

cutemole

小紫英 发表于 2011-10-14 16:35
耍耍嘴皮子的事谁都会，先多解决几个BSOD的问题再说吧

难得你能认清自己的所作所为，不喜勿进。