无意间看到的

li5232766

                                                   火绒开放式行为启发框架
Table of Contents
1 整体架构
1.1 行为分析引擎
1.1.1 感知
1.1.2 抽象
1.2 行为分析单元
1.2.1 评估
2 核心概念详解
2.1 任务
2.2 任务组
2.3 分析单元
2.4 资源
3 行为启发框架工作流程
3.1 整体流程
3.2 关于评估流程
3.2.1 分析单元独立评估
3.2.2 引擎综合评估
3.3 关于评估模型
4 分析单元详解
4.1 结构总览
4.2 属性节点
4.3 关系节点
4.4 观察点
4.5 评估函数
5 典型案例
5.1 观察程序行为
5.2 总结程序行为
5.3 建立评估模型
5.4 编写行为分析单元
6 开发者手册(火绒Lua扩展说明)
6.1 评估函数
6.1.1 原型
6.1.2 参数
6.1.3 返回值
6.2 常量
6.2.1 评估结果
6.2.1.1 HR.AR_analyzing
6.2.1.2 HR.AR_clean
6.2.1.3 HR.AR_malware
6.2.2 特殊路径(Special Path)
6.2.2.1 HR.SP_normal
6.2.2.2 HR.SP_system
6.2.2.3 HR.SP_progfiles
6.2.2.4 HR.SP_commfiles
6.2.2.5 HR.SP_programs
6.2.2.6 HR.SP_startup
6.2.2.7 HR.SP_temp
6.2.2.8 HR.SP_home
6.2.2.9 HR.SP_desktop
6.2.2.10 HR.SP_appdata
6.2.2.11 HR.SP_quick_launch
6.2.2.12 HR.SP_favorites
6.2.2.13 HR.SP_removable_media
6.3 辅助函数
6.3.1 观察点相关函数
6.3.1.1 HR.hitcnt
6.3.1.2 HR.hitall
6.3.2 文件相关函数
6.3.2.1 HR.dirname
6.3.2.2 HR.basename
6.3.2.3 HR.filetype
6.3.3 进程相关
6.3.3.1 HR.procinfo
6.3.4 安装软件相关
6.3.4.1 HR.specpath
6.3.4.2 HR.expected_specpath
6.3.4.3 HR.living_in
6.3.4.4 HR.lookup_progname
6.3.5 资源访问列表相关函数
6.3.5.1 HR.file_modified
6.3.5.2 HR.file_extracted
6.3.5.3 HR.regkey_created
6.3.5.4 HR.regval_modified
6.3.6 其他函数
6.3.6.1 HR.split_cmdline
6.3.6.2 HR.sfc_protected
6.3.6.3 HR.digital_signed
6.4 观察点参数
6.4.1 MT_execmon (执行监控)
6.4.2 MT_filemon (文件监控)
6.4.3 MT_regmon (注册表监控)
6.4.4 MT_procmon (进程监控)
6.4.5 MT_netmon (网络监控)
6.4.6 MT_behavior (行为监控)
1 整体架构

整体架构如下图所示，火绒行为启发框架由两大部分组成：
行为分析引擎；
行为分析单元；

li5232766

1.1 行为分析引擎

行为分析引擎职责：感知和抽象；
1.1.1 感知

行为分析引擎通过动态监控和静态分析来感知被分析实体（任务、任务组）的动作及属性；
1.1.2 抽象

行为分析引擎收集感知到的程序动作及属性，模拟病毒分析师的分析过程，对收集到的动作及属性进行抽象，产生程序行为；
1.2 行为分析单元

行为分析单元职责：恶意行为评估（后面简称评估）；
1.2.1 评估

行为分析单元通过行为分析引擎感知并抽象出的程序动作、属性及行为，根据一定的算法评估待分析程序（任务组）的恶意程度；
2 核心概念详解

下图展示了本文全部核心概念之间的关系，本节会对这些概念依次进行说明，理解这些概念是编写行为分析单元的基础；

2.1 任务
由行为分析引擎抽象并管理的执行体，通常一个任务对应一个进程；
2.2 任务组
由行为分析引擎按照一定逻辑(例如:进程父子关系)抽象并组织、由一个或多个任务组成的集合，称为任务组；
任务组是行为分析的基本单位；
2.3 分析单元
由行为分析引擎组织并调度，由一系列观察点以及相应的评估函数组成、用来识别某个或某类恶意程序行为的逻辑单元；
行为分析引擎把行为分析单元映射到每个任务组上，使每个不同的任务组都可以得到相同的行为分析单元视图；
2.4 资源
行为分析引擎把文件、注册表、网络统称为资源；
引擎为每个任务组独立维护与上述资源相对应的资源访问列表：即文件修改列表、注册表修改列表、网络访问列表；
上述列表作为任务组的属性，可以被行为分析单元查询；
3 行为启发框架工作流程
3.1 整体流程

下图展示了行为启发框架的整个工作流程：

3.2 关于评估流程

如上图所示，评估过程由两个阶段组成：
分析单元独立评估阶段
引擎综合评估阶段
3.2.1 分析单元独立评估

行为分析单元根据一定的评估算法，对任务组的恶意程度进行评估，并返回以下三种评估结果：
分析中；
发现恶意行为；
不存在恶意行为；
3.2.2 引擎综合评估

行为分析引擎根据全部行为分析单元的分析结果以及内置综合评估算法对任务组的恶意性进行最终评估，并返回以下两种最终评估结果：
发现恶意行为；
不存在恶意行为；
3.3 关于评估模型
分析单元建立分析逻辑的理论模型(评估算法)；
评估模型完全由行为分析单元独立实现，行为分析引擎不负责评估模型的实现；
不同分析单元可以实现完全不同的评估模型；
4 分析单元详解
4.1 结构总览
下面的代码展示了一个行为分析单元的框架结构：

li5232766

<?xml version="1.0"?>

<!-- 行为分析单元 -->
<analyzer>

        <!-- 属性节点 -->
        <name>分析单元名称（例如：Suspicious/Xxx）</name>
        <guid>GUID（例如：12345678-1234-1234-1234-123456781234）</guid>
        <author>作者名称</author>
        <description>分析单元说明</description>

        <!-- 观察点 -->
        <checkpoints>

                <!-- 关系节点 -->
                <item action="观察点（例如：NET_http）" filter="过滤条件（例如：update/*）" handler="评估函数（例如：NET_http_handler）"/>

                <!-- 评估函数 -->
                <script>
                <![CDATA[

                -- 评估函数用Lua语言描述
                -- -------------------

                -- 对应 action="观察点（例如：NET_http）" filter="过滤条件（例如：update/*）" 的评估函数
                function NET_http_handler(event, index)
                        -- 评估逻辑实现
                        -- ...
                end

                ]]>
                </script>

        </checkpoints>
</analyzer>

真小读者

火绒官网的东西，而且之前就有人发过了

qq2chd

这不是广告帖，这不是广告帖，这真的不是广告帖~！
这是一个粉丝的热心，热心，热心~！