对于变形虫病毒之类变形病毒的反病毒技术

显示全部楼层 · 发表于 2012-5-4 23:08:16

hx1997 发表于 2012-5-4 20:55
多态病毒？一般是通过启发式扫描和虚拟机技术来检测。

不过现在无论是特征码扫描、启发式扫描还是虚拟机 ...

是啊，它们取用先进的加密技术，每次都不同的加密自身的代码，变成多态病毒了。

显示全部楼层 · 发表于 2012-5-4 23:13:33

5234377 发表于 2012-5-4 21:39
传统的多态威胁不是有抗变形引擎等已经比较成熟的技术可以较为轻松地处理了么？

非也，看看卡巴斯基写的关于 Virut 病毒的文章。

http://www.securelist.com/en/ana ... t_ce_Malware_Sample

Virut 变种很快，只要更新加密算法，多数反病毒软件就需要再次入库才能检测到。

显示全部楼层 · 发表于 2012-5-5 06:12:53

辔繇发表于 2012-5-4 12:23
对于这类病毒应该不是问题吧，一般的启发就能解决。当今威胁最大，最难对付的是那些新出炉的、加壳的木马。

当今威胁最大，最难对付的是那些新出炉的、加壳的木马。好的动态高启就可以解决....脱壳强大的也可以解决比如蜘蛛卡巴（免杀除外）....

显示全部楼层 · 发表于 2012-5-5 09:27:36

hx1997 发表于 2012-5-4 23:13
非也，看看卡巴斯基写的关于 Virut 病毒的文章。

http://www.securelist.com/en/analysis/204792122/R ...

这个考验安软公司的算法处理能力，再次入库的成本并不高，还算能够轻松解决吧。

显示全部楼层 · 发表于 2012-5-5 11:08:11

5234377 发表于 2012-5-5 09:27
这个考验安软公司的算法处理能力，再次入库的成本并不高，还算能够轻松解决吧。

我认为跟在病毒屁股后边走并不算轻松解决了呢。

显示全部楼层 · 发表于 2012-5-5 11:16:17

纯特征码的杀软对这种病毒非常吃力，需要使用行为分析和主防

显示全部楼层 · 发表于 2012-5-5 23:33:06

hx1997 发表于 2012-5-5 11:08
我认为跟在病毒屁股后边走并不算轻松解决了呢。

那您说有不跟在病毒后面的狭义安全软件么（就连行为分析也要定义库支持，HIPS也要防止病毒通过漏洞溢出）？

显示全部楼层 · 发表于 2012-5-5 23:41:58

本帖最后由 hx1997 于 2012-5-5 23:44 编辑

5234377 发表于 2012-5-5 23:33
那您说有不跟在病毒后面的狭义安全软件么（就连行为分析也要定义库支持，HIPS也要防止病毒通过漏洞溢出） ...

好吧，跑题了。

传统的多态威胁不是有抗变形引擎等已经比较成熟的技术可以较为轻松地处理了么？

您说多态病毒可以被抗变形引擎轻松处理，我只是想表示多态病毒还没有很有效的检测方法，一旦更新又需要分析师重新解密并入库，仅此而已。

至于什么狭义不狭义的我也不懂，HIPS 已经算是较主动的防御方式了，可能我表述不太好，应该是只靠被动入库不算轻松解决。

显示全部楼层 · 发表于 2012-5-6 08:38:55

hx1997 发表于 2012-5-5 23:41
好吧，跑题了。

好吧，我了解了。
目前的情况来看是这样的。特征变动得比较大的话，那么也只有重新入库或者行为分析识别了、

[讨论] 对于变形虫病毒之类变形病毒的反病毒技术