查看: 3212|回复: 17
收起左侧

[金山] 金山开始内测“火眼”病毒行为自动分析系统

[复制链接]
zwl2828
发表于 2012-5-16 15:16:42 来自手机 | 显示全部楼层 |阅读模式
转自:CNBETA

“火眼”系统是一套自动化的病毒样本动态行为分析系统,可对未知文件的具体行为给出详细的分析报告。之前,要分析一个可疑文件是否有害,需要使用杀毒软件扫描文件(或多引擎扫描)。但对可疑文件的具体行为分析,往往需要依赖专业病毒分析师的人工分析。

火眼系统简介:

1.传说
孙大圣在太上老君的八卦炉里炼了七七四十九天,炼就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照,便立刻显露原形。

某年月日,安全实验室几个技术宅被老板关进八卦炉炼也不知过了几个七七四十九天,待到技术宅们开光显身之际,他们也炼成了一双“火眼”。

2.“火眼”是什么?

简单说,“火眼”就是一套自动化的病毒样本动态行为分析系统,可对未知文件的行为给出详细的分析报告。
这一点来讲,火眼和静态文件鉴定是两回事,这是火眼和云鉴定的本质区别。

将火眼系统与医学检验设备类比可以很容易理解:

以前生病去医院做检查,检验师须配制分析试剂处理血样,在显微镜下仔细判读细胞的形态、数量、评估生理特性。效率很低,且受经验影响很大,同一份血样由不同的医师判读,可能相差甚远。

现在简单了,检验师直接将采集的样品放到一个自动分析仪中,几秒钟即可打印出化验单。医师看了化验单就大致了解病情,而一个比较了解医学知识的人,对着化验单,也能看个八九不离十。

“火眼”就是这样一套自动化的病毒样本分析系统,安全爱好者将自己采集到的可疑样本提交到系统中,等几分钟,系统就会给这个病毒样本打印出一份“化验单”。不太专业的安全爱好者对照这份“化验单”也能猜个八九不离十。

设计火眼的动机:
毫无疑问,和医学科研一样,计算机病毒自动分析仪产生的最初动机,就是提升病毒分析的效率,用系统去模拟一个专业病毒分析师对可疑文件进行专业分析。
在没有“火眼”之前,安全软件发烧友一般用下面三种方法来分析鉴定文件是不是病毒:

1.杀毒软件扫描
用杀毒软件对目标文件执行扫描是最常见的作法,一个杀毒软件可能不准,就用多个杀毒软件,常见有网民在一台电脑使用2,3个杀毒软件检查。或者将样本提交到VirSCAN.org扫描,若有多个杀毒软件报毒,就判断这个文件是病毒。到底这个文件是不是病毒呢?实际上扫描之后仍然是吃不准的。因为不清楚这个可疑文件到底有哪些具体的恶意行为。

2.专业分析
通过解壳、解密,反汇编,或者使用IDA、OllySafe这样的专业工具对可疑样本进行分析。这只有具备相应专业技能的软件工程师才能做到。

3.简单行为分析
很多人不具备逆向分析的能力,会使用一些简单的工具完成病毒行为分析和指导手工清除。可采用的工具有:Sreng、AutoRuns、Xurte等等。比如前几年就流行使用Sreng,发现问题就扫描一个日志,再交给更专业的人分析日志,然后再做一个手动恢复的建议。

也有使用Sandboxie运行可疑文件,观察具体行为,或先用installwatch记录文件运行前后的系统配置镜像变化,用Regshot这样的软件比较都有哪些注册表条目被修改,然后判断这个可疑文件是不是有害的,或者花更多时间使用虚拟机来更清晰的观察程序运行之后的结果。

以上这些方法虽相对精确,但明显存在以下问题需要克服:
1.疲劳
分析员使用IDA、OllySafe静态分析病毒代码,就如同常人阅读一本书,需要从头看到尾,才能大致了解这本书的意图。而分析员可能需要一天到晚看病毒代码,头晕眼花看走眼极有可能出现分析结论出错或者分析不全面。

2.效率
一个分析员处理一般的病毒,一个工作日不过三、五十个,如果需要详细的出具一份病毒分析报告,则需要大量时间。在遇到难缠的病毒时,还可能需要几天时间。普通网友用虚拟机等工具观察一个可疑文件需要花更长的时间。

3.门槛较高
不是随便拉个人过来就能做病毒分析,病毒分析师的门槛较高。一般安全爱好者同样需要对系统有相当的了解。

4.简单分析无法完整展现可疑文件的具体行为
对职业病毒分析员也一样,有人擅长分析蠕虫,可能更了解网络方面的病毒指令,而对其他部分可能会忽略,完整而详尽的病毒分析相当耗时间。

火眼官方网站:https://fireeye.ijinshan.com/
阅读火眼分析报告实例:https://fireeye.ijinshan.com/reportlist.html
自然卷丨依佐
发表于 2012-5-16 15:28:34 | 显示全部楼层
这玩意、看着不错。。
whuangjin2
发表于 2012-5-16 16:17:26 | 显示全部楼层
看看“火眼”.
到处闲逛
发表于 2012-5-16 16:28:55 | 显示全部楼层
成熟后加到毒霸那就强悍了


血魔鸳薏
头像被屏蔽
发表于 2012-5-16 16:42:24 来自手机 | 显示全部楼层
和云鉴定一样的东西
tc1003 该用户已被删除
发表于 2012-5-16 18:25:43 | 显示全部楼层
看起来不错   用起来。。。。。。。。
rsin
发表于 2012-5-16 18:31:43 来自手机 | 显示全部楼层
不置可否用这样一行代码废掉火焰。
延时3小时在运行自身。。。。。。然后火焰就等吧
yyyyhh123
发表于 2012-5-16 18:33:55 | 显示全部楼层
早就内测了。。。
木山
发表于 2012-5-16 18:35:33 | 显示全部楼层
linxer流泪了。人家是xuetr.


cnbeta网友评论
qwe12301
发表于 2012-5-16 20:35:42 | 显示全部楼层
本帖最后由 qwe12301 于 2012-5-16 20:36 编辑
rsin 发表于 2012-5-16 18:31
不置可否用这样一行代码废掉火焰。
延时3小时在运行自身。。。。。。然后火焰就等吧


具有删除病毒延时代码的功能,比如静默5分钟,火眼会对其进行静态解密删除这个功能的代码
不过也可能病毒有其他手段延时运行,这就需要持续的做对抗了。

延时运行这还不是主要的问题,最主要的还是反行为测试。
相信火眼公开测试后一定会出现一批可以检测火眼内部环境的恶意程序,这同样也是需要官方做后台的持续对抗和改进的地方。

针对这种反虚拟机的问题,火眼内部有好几套机制同时运行来尽量减弱这种情况:你所看到的结果其实是多个运行实例的合并结果
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-19 20:22 , Processed in 0.135087 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表