本帖最后由 wjhstu-VxG 于 2012-5-6 19:44 编辑
文件防护(File-Based Protection)
包含组件:
·防病毒引擎(Antivirus Engine),赛门铁克独特的扫描引擎被广泛部署于超过3.5亿台计算机上。它是一个稳定,高性能的核心,提供先进的检测抵御最新的威胁。通过LiveUpdate无缝更新。
·自动防护(Auto Protect),赛门铁克的实时文件防护检测被写入或从文件系统的威胁。嵌入内核级别,是一种高性能,底层的扫描引擎,无需人为响应提供最新威胁的保护。
·启发式引擎(Malheur & Bloodhound两种),基于文件的启发式扫描技术,可以根据文件属性,检测常规(使用Malheur引擎,即MH.xx)以及利用exploit/漏洞(使用Bloodhound引擎)的未知恶意软件。
深度解析:
·广泛的文件支持(Broad File Support),检测压缩文件和嵌入其他文件的隐藏的恶意软件。支持的文件类型包括:
DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX
·脱壳引擎(Unpacker Engine),检测加壳的的恶意软件伪装。脱壳引擎支持重复脱壳,能处理多达几百个加壳技术家族。
·通用虚拟机(Generic Virtual Machine),分离式引擎,检测脚本(detection scripts)和通用脱壳逻辑(un-packer logic)都由病毒定义更新,而不必更新程序。
-引擎底层代码(Byte code-based system)基于C#或Java,可靠性高并易于更新;
-适用于极为复杂的启发式和庞大的病毒变种家族检测,如 Trojan.Vundo;
-作用于所有非传统(.exe,.bat)的文件格式,例如PDF,DOC,XLS,WMA,JPG格式等;
·反多态引擎(Anti-Polymorphic Engine),包括先进的CPU仿真技术,检测隐形的多态恶意软件1。
·反木马引擎(Anti-Trojan Engine),使用先进的散列技术(Hash)和高效的算法,在一微秒内扫描数以百万记的木马/间谍软件。
·光子引擎(Photon Engine)
-使用模糊(广谱)签名(fuzzy signatures),对新的未知的变种恶意软件家族(malware strains)提供出色的检出率;
-数以万计的模糊签名同时使用,扫描性能大幅提高;
PS:诺顿蛮喜欢取名字的……
·高级启发式引擎(Advanced Heuristic Engines),使用本地/云端启发式签名及声誉数据,更好的检测服务端多态恶意软件家族1(server-side polymorphed strains)。
-不断完善的恶意软件特征与启发式研究/签名库;
-可疑文件都与Symantec的声誉云/数字签名数据库关联;
-引擎根据情景调整灵敏度,比如启发式对新下载的文件比已安装的应用程序灵敏的多;(对此大家感触最深了……)
注1 关于多态恶意软件家族(server-side polymorphed strains)
好吧,这个名字是我自己取的,因为貌似找不到曾经可能有过的中文翻译,Symantec对其的定义如下:
"For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. "
简而言之,就是同一个恶意软件,入侵至不同的电脑时,产生的文件是不同的(File CRC),以此来逃避传统检测方式,有兴趣了解的同学可以点这里Security Response Blog |