金山毒霸 K+ 2.0 揭秘 （二）：进程行为之启发式防御

cutemole

K+ 2.0 揭秘 （二）：进程行为之启发式防御




1）尽管小鱼这样机灵,还是难以逃脱翠鸟锐利的眼睛。

一个黑样本想逃过传统的查杀，一般会做一些免杀特征或者使用一些特殊手段的加壳压缩技术。以这种手段来对付如今的云查杀，则很难起作用。云会实时上传库内没有的样本，收到上传样本后，强大的后台自动化鉴定及人工鉴定立即快速响应，如此闪速的云查杀，往往令病毒木马作者出乎意料。如此一来，病毒木马无法传播开来，危害指数自然降低到最低，因此使得传统免杀方法黯然失色。

传统方法的免杀无法对抗云查杀，一旦运行黑样本，就会被主防毫不留情的拦截杀掉。而金山K+主防智能化之一，就是把防御和云查杀巧妙结合，这种采用云技术的防御，可以拦截所有可识别的黑样本和所有未知文件的危险操作。

2）看似天衣无缝，实则存有缺陷

有了盾，自然有人寻找破盾之矛。病毒木马作者竭力挖掘云的缺陷与漏洞，以期攻击并突破云。例如缺陷之一：假如样本过大，云在收集上传时，自然会占过多服务器带宽资源，给服务器带来沉重的负荷，另外也会在时间上拖慢鉴定速度，所以云往往会设置样本上传的大小。于是病毒木马作者就利用这点来躲避云查杀，从而绕过国内所有看似天衣无缝的云主防。

3) K+启发式( KFS, K+ Forensic Scan)原理架构：



如上图 K+主防是完全自主创新本地防御，采用文件流分段分析启发技术，分流后的二进制数据逐流进行校验，计算出不同的文件流熵值，然后把此熵值作为文件的计算权值。另外再融合金山十几年PE文件独特的启发式技术，二者结合起来可以阻拦90%的以上对抗云查杀样本。例如著名的ACE网银吸血鬼就是通过K+的本地启发式率先拦截的。

十三少

沙发可以吗
支持一个

617902068

这么晚了还在更新，学习学习。

止战之殇

支持下

cutemole

互相学习

hongjiegg

占楼

Liub

支持科普  希望金山攻防兼备啊 同时不失轻巧  

【乱】

支持科普 希望此楼理性讨论

dl123100

1、段、片、流的不明确表述，容易让人产生误解。
2、

采用文件流分段分析启发技术，分流后的二进制数据逐流进行校验，计算出不同的文件流熵值，然后把此熵值作为文件的计算权值。

本文熵（entropy）和之前的微特征fuzzy hash一样,都是国外数字取证(digital forensic)工具（如Responder Pro）广泛使用的技术，也在很多安全厂商的自动分析流程和一些杀软的启发式分析中体现。entropy（熵）在我自己的专业是一个非常经典的概念，就安全厂商而言利用起来有很多局限，它被用于安软、取证已经很多年了，对抗方法也早已为人熟知，国外的Zbot就专门针对了entropy方式的检测。
3、“把此熵值作为文件的计算权值”，不知是否有笔误，从字面意思看，显得比较简单。
4、按本文的介绍，流文件鉴定多采用计算熵值。文中还用了网购木马增大体积过云查杀的例子，似乎仍然用分片计算熵值对抗。而实际上，许多增大体积的网购木马因为增大体积方法如果使用常规分片方法提取后计算得到的熵值，显示整体随机化程度并不高，这样利用熵效果并不怎么明显。国外的某些对抗传统方式计算entropy检测恶意软件的paper也提到了类似的情况。这里分片的提取很重要。
5、PE文件独特的启发式技术很笼统也很让人怀疑，前面的熵值也被某些杀软用于配合启发分析。此外，仍然需要对PE格式尽可能的了解，增强容错能力。
6、K+ Forensic Scan（K+取证式扫描）里有forensic倒是直白，因为直接使用了数字取证领域的常见技术。不过，一般而言，取证式扫描是系统级的信息收集分析，就Windows而言，可以是磁盘级文件、注册表分析，内核内存的获取分析，网络数据包的捕获分析等，远远不限于对PE文件的分析。那些常见专业取证工具所使用的技术还谈不上高级。金山使用已有的专业词汇，容易让人误解。

lzw555

前排占位，9L犀利。。