【国内虚拟技术王者】瑞星

潘中医

今天找瑞星的一个老专杀软件偶然发现一个估计瑞星工作人员都忘的地方，翻看内容发现瑞星才是中国最强最早的虚拟技术的研究者。

地址：http://it.rising.com.cn/new2008/ ... 6996650d50474.shtml

文章内容如下：

题目《“沙盘”只是在炒作 瑞星2001年就有》

内容：

主持人：下面一个环节是抽奖仪式，有请瑞星研发部副总经理刘刚先生。

    提问：想知道瑞星“云安全”是如何实现的？

    主持人：有请研发部的刘总回答。

    刘总：从单机变成了网转的繁育之后，对威胁的监控就更主动了就算用户没有加入“云安全”，他在更新病毒库的时候也会得到相应的好处，对这些威胁的更新更及时。其次怎么实现的就比较复杂了，首先在客户端上必须建立足够强大的本机防御功能，比如说刚才提到的木马行为检测，还有脚本的行为检测，以及其他的一些本机的问题，并且把这些功能利用互联网把它联网的话，什么意思呢？就是说由这个功能的联动把它组建成一个非常大的立体的繁育网去捕获每一个功能所拦截到的一些威胁信息，并且对这些威胁信息进行深层次的挖掘。

    主持人：谢谢刘总的回答，还有什么问题？

    提问：067是怎么解决的？

    叶超：首先我们肯定要报告这个新闻，让大家做好准备。另外样本积极搜集，我们更新病毒库，其实在我看来067虽然很严重，但是产生的效果远远没有冲击波大，在我看来这个病毒和普通的病毒差不多。067的现象是机器上莫名的中病毒了，至于说做到具体的木马做完以后要看是什么木马来利用这个漏洞进行传播，因为它只是为木马、蠕虫等等的传播提供了一个渠道，所以说中完以后会有什么现象呢？只能说是中病毒了，或者说程序崩了，具体的要看是什么木马传播的。如果说是盗号木马产生的就是我会盗号，就是这样子。

    主持人：谢谢！大家还有什么问题吗？

    提问：瑞星更多的是提供在病毒通过的环节上，我想在这个环节上因为有很多的效果，比如说这半年来捕获的数量是达到了近千万，我想问一下后面的环节中对病毒的处理和分析有没有这么大量的分解能力？如果把样板转化为特征以后，那么在用户下载以后，没有这么大的能力了……

    刘刚：更精确的判断，以目前来看，三年内不可能，因为带宽的问题还有整体的计算能力问题都达不到这个要求，至于病毒库的不断增长还有计算量的要求，客户可能会受不了，这个问题我认为对于瑞星是不存在的，瑞星从07版、08版到现在的09版，一直在优化病毒库的算法、结构，在病毒进入没有减少的情况下，我们的病毒库已经在行业内是比较小的了，所以这个问题我们暂时不会遇见。就算在几年后我们的资源战略不断的增加，这也会促使我们发展分布式查毒这样一类的跟互联网化的清楚检测清毒的功能。

    提问：我想请问一下，在“云安全”查毒的计算是在云端还是在用户端，如果在云端技术计算的话，会不会导致自己的漏洞抢先被攻击？

    刘刚：这其实是一个很好的问题，很多人都担心加入了“云安全”是不是自己的隐私就没了？其实这个担心是没有必要的，首先瑞星的“云安全”不是无度的提取客户端的所有信息，我们只提取跟威胁相关的分析后的信息，并且这个提取发送到瑞星的“云安全”服务端的行为是完全可以被用户控制的，也就是说你们可以自主的选择加入“云安全”或者不加入“云安全”。至于刚才说的信息的利用，这个在瑞星也不会存在，比如说我们现在上报了一些拦截的信息，比如说拦截到某个恶意行为做了一些系统修改或者说拦截到一些恶意行为更具体的恶意丸子，或者病毒本身的下载地址，这些跟威胁相关的信息就算被拦截对攻击者来说也是无义的，因为这本身就是攻击者的信息，这些信息不会带有客户端本身的一些特征的，比如说这个客户端具体存在什么漏洞，或者其他的涉及客户端隐私的问题是不会存在这里面的。

    提问：我想问一下，现在我知道有些杀毒软件没有文件扫描的功能你怎么看待这个问题？

    刘刚：我知道你指的是哪一个杀毒软件，其实杀毒软件没有文件扫描这只是一个系统，其实你们仔细观察的话会发现他们有文件监控的。特征串——这是他们攻击的第一大目标，他们其实也在使用特征串，应用在文件监控上面，一些恶意行为没有办法精确的报出叶超说过的漏报的问题，如果定义的太深会误报，定义的太松会漏报。第二个应用是在白名单上面，他们的行为因此主要使用行为分析的技术来做首要技术，所以它的误报问题是非常严重的，相信随着他的用户量越来越大，这个问题会越来越暴露。如何抑制这种误报的问题？他们用的就是特征串，所以这种东西我们认为这是非技术的商业的一些炒作，这个对于我们研发的这边来看，基本上是没有意见的。

    提问：上午听了你们介绍关于“云安全”的体系架构，从我的理解来讲，希望能够通过“云安全”利用互联网上的架构，还有很多的合作伙伴一起来协同，针对这种恶意程序的处理，现在我想问的是不知道下午做没做介绍，针对云的我解决方案里面，是否有过打算把信息安全，整个网络安全的行业里面的其他一些针对某些技术领域的解决方案都拿到“云安全”架构里面？因为我想到这个问题是因为有些技术上面的东西，如果要说要这样做的话，就意味着是一个庞大的体系架构，甚至需要定制架构的接口和标准，不知道有没有这样的内容？

    刘刚：下午报告只介绍了行为分析这一大类的两个具体的实现原理，其实不涉及到“云安全”更多的技术细节，比如说早晨介绍过的技术查杀平台，这个平台已经有标准了，我们指定的对互联网上一些活跃木马的判定功能，并且将它做成一个简单的标准，提供给我们的合作伙伴，比如说迅雷、快车还有其他的一些客户端，至于您刚才说的具体的繁育的功能或者说一些标准，我们会陆续的讨论。其实在瑞星看来，我们是非常开放的，也不排除和我们的同行业中的一些战友进行合作，就是把更多的安全软件纳入到“云安全”的架构里面来。

    提问：现在的瑞星有没有沙盘的技术？

    刘刚：沙盘被过渡炒作了，大家理解一下沙盘是什么作用？在沙盘做一些操作是随时可以被忽略的，仔细的想，虚拟机呢？是不是沙盘？早在01年瑞星就已经完成了DOS虚拟机的构建，03年完成了Windows的虚拟机构建，其实这不是一个新的技术，瑞星在03年的时候做Windows虚拟机的时候主要的应用就是用来进行行为分析，CRH类的病毒，主要是感染性的病毒进行行为判定。接着非常成功的一个应用是04年，Windows虚拟机的脱壳的应用，运用这种虚拟机的脱壳，大家如果去了解它的话就能非常明确的指出，那其实就是一个非常典型的沙盘。一个被加壳的程序在虚拟机里面运行，并且在虚拟机里面展开内存，展开加密或者压缩的部分，接着我们通过把虚拟机里的展开完的内存down出来，然后再来得到结果。这就是非常典型的沙盘，只不过现在有很多做数据存储的厂商，比如说以前在DOS底下我所知道的磁盘的，硬盘的还原卡，那些厂商他们为了在Windows下的环境，他们去开发了很多这种软件，他们在接下来的互联网化的这个浪潮中明显发现自己的生存遇到了问题，因为大家越来越不会去使用这种工具，他们就炒作一些概念，这个基于沙盘的，非常典型的我把磁盘做虚拟化，然后对这些磁盘的写操作都可以被记录，这个是非常明显的，他把这个是沙盘，其实这些技术是非常早，或者说没有出沙盘这个名词的时候他们已经在用了。还有非常典型的IE，他也号称是沙盘，他虚拟化了IE的一些文件操作，注册表操作，但是实际上它依然是不安全的。为什么呢？因为它虚拟化了一部分的资源，对这些资源进行了重定向，但是他控制不住有可能绕开他的其他资源，或者说系统调用。比如说内存代码的注入，攻击完了IE，完全可以利用IE这个进程去攻击其他的进程，还有其他的非常多的应用。如果想做一个非常理想化的沙盘，那么首推我们不会建议大家基于监控类的去做，肯定是基于虚拟机的，因为虚拟机对系统的伤害是完全可控制的。

人家瑞星在二十一世纪初就在搞虚拟技术估计某些安全公司在那是还没成立的吧

反病毒测试员

这个确实是真的

IOOOOI

弄的早，不一定弄的好
就像，中国发明了火药，却用来造鞭炮一样

jinglu

难怪以前一直说不做沙盘，说是落后的技术。

li13911

确实没成立，不过两个完全不同的技术而已。限制性的和虚拟化的两个不同的沙盘。

10495874

学习了！

瓜g

唉...
当年的瑞星好威武...
08年就有互联网安全技术大会

伤花

一段采访记录吧，很详细，一些问题也很明确了。

mengld

li13911 发表于 2013-10-14 17:25
确实没成立，不过两个完全不同的技术而已。限制性的和虚拟化的两个不同的沙盘。

我觉得瑞星说的是动态启发技术的雏形~~~

dian0098

瑞星是挺早研究这个技术，希望它发展得更好。