【本地查杀至上论】未来杀毒软件的发展方向

白日余晖

这几年，各种病毒传统的传播方式开始渐渐失效：邮箱不论是网页版还是客户端都把安全抓得牢牢的，何况后面还有杀毒软件盯着，邮件病毒光辉不再；360卫士流行后，国内打补丁的意识普遍提高，直接远程传播也变得不太现实，至少不会出现冲击波那样“三天倒下一大把”的“毒王”；Autorun被彻底封堵，再加上各安全厂家普遍关注U盘，U盘传播也变得越来越艰难；各浏览器开发商也把安全当作第一要素，再加上补丁传播加快，直接利用浏览器漏洞传播业变得比较困难。所以，剩下来的只有一条路：捆绑、隐藏在其它软件中传播。
【捆绑的优势：深度结合，诱导运行】
现在病毒的捆绑不再是以前那样简单地用捆绑器捆绑在其他程序中，而是深度地结合。最简单的是做成DLL，在程序启动时直接加载（这种还是比较好区分的），稍微复杂一点的，把木马分成各个函数，插在其它程序的中。这样一来，整个程序会变得体积庞大，不利于云查杀直接上传，而又便于掩盖其特征。
另外，一些本来就有些“灰色”的程序很方便诱导用户运行，比如外（@#@）挂、XX播放器、算号器、破解器之类的，很多时候用户运行它们的时候往往会忽略杀毒软件的主动防御提示！主防被突破，除了找到漏洞或者利用已经被信任的程序，还有最可怕的方法就是让用户关掉它。

个人认为一般“灰色”程序提示用户忽略或者关掉主动防御，是很容易被接受的，像外（*）挂这样的本来就有会引起主动防御报警的行为，而大多数用户并不会认识到主动防御的价值，他们认为杀毒软件在运行着安全就有保障了。同理，要是软件直接提示关掉杀毒软件，到容易引起用户的怀疑和恐惧。

【技术进步，让病毒运行即是失败】
近八年来，国内相关行业的水平都出现了长足的进步，从灰鸽子的SSDT HOOK，到后来更高级的NTFS流、感染MBR等待，病毒对抗杀毒软件已经不是一味地“躲”，而是主动出击，一旦让病毒运行，获取了RING0权限或者加载了驱动，就意味着整道防线已经被突破。某些厂商采取的依靠程序运行后行为分析的策略是危险的，现在所谓的行为分析无非依赖系统服务（通过SSDT HOOK或者inline kernel hook)，而病毒加载完驱动后自身就可以执行IO指令，不再依赖系统服务。也就是说，病毒加载了驱动后，就已经具备躲避检测甚至“干掉”杀软的能力，这个时候后所谓的“动态检测”已经是一纸空文。
【本地第一道防线：还是文件监测】
假设一个病毒要运行，它必定要走过的一步就是将代码（至少是最初始的代码）传递到本地，而通常代码的载体就是文件（应该没有哪个浏览器大胆到可以直接执行网络上下载的代码）它要运行，它要创建进程，它要被读取，都得调用系统服务，那么杀毒软件就能监测到，也就是说，严格的“执行前扫描”是可以实现的，因此，本地查杀引擎的能力，才是第一位的。云查杀可以躲避，主动防御也容易欺骗用户忽略，但是本地引擎至少可以扫描一次，假如这一次扫描成功，那么病毒还是进不来，假如没查出，就等于失败了一半。
===================附：一个典型的恶意程序运行路线==================
1.通过各种方式将程序文件传递到系统中。
               |
                        |
2.代码能被加载进内存。
               |
                        |
3.代码被执行，可以通过自己的进程，也可以寄生在别的进程中。
               |
                        |
4.完成一系列动作（初始化、脱壳等）。
               |
                        |
5.尝试获取RING0权限（比较常见的是加载自己的驱动，以前还有种方法调用物理内存对象之间使用CALL GATE）。
               |
                        |
6.能够控制所有硬件，为所欲为。

白日余晖

【关于云查杀，不得不说】
1.国内网络的问题：
经过今年这轮艰难的“提速”之后，略有提升（2Mbps算是普及了，4Mbps也有所发展），但对于云安全这点增长还是不够的。假如一个200K的文件，就要消耗掉1S。
对于现在云传输的优化模式（主要指有选择地传输文件部分内容），也比较容易应对：设计一种指令“扩增”算法，将指令“扩大”（比如每一bite放大到byte），就可以轻松增大传输量。（当然，加壳技术进步一些的话也会有效）。
2.隐蔽手段:
目前似乎针对云的隐蔽手段还不是非常多，但相信之后这会是研究重点：避免被认为是可疑文件，使得杀软不上传该文件。如果在这方面取得进展，对于云查杀是个很大的威胁。

IA32架构基于CISC（复杂指令集），长度从1byte-15byte不等。可以分为前缀、操作码、Mod R/M、SIB、操作数几个部分，其中前缀、操作码和操作数长度可变，而除了操作码外其它都是可选的，并且前面的部分还会影响后面，所以当一个字节搞错，后面都会出错。所以一旦无法完全还原整个指令，或者无法找到入口点，所有的指令就都是一团乱码。

潘中医

云不是救世主

酱紫啊~

云不是万能的

英九

云最近发展确实很快

a445441

现在云还不完善只能起辅助作用，加速入库 主防还是王道。。

黑羽

再好的防御也敌不过心理战，中毒乃小事，开挂玩着游戏才是王道

公正妹

这个理论放在十年前比较合适，现在谁脱离云，谁就自掘死路。

白日余晖

公正妹 发表于 2012-8-10 20:27
这个理论放在十年前比较合适，现在谁脱离云，谁就自掘死路。

云很容易无法起效。
过度依靠云只有死路一条

ujty

对云的神化，恰恰说明了云现在还远远没有普及。