搜索
查看: 28033|回复: 120
收起左侧

[分享] 比特梵德目前所使用技术的详细说明,让新人对BD有一个基本而又明确的认识。

  [复制链接]
,就一个.
发表于 2015-4-26 20:32:31 | 显示全部楼层 |阅读模式
大家使用一款安全软件首先看的就是所拥有的技术,我大BD是一款以防御为主要体系的安全软件,BD的防御理念就是超大病毒库+先进的智能主防+云扫描辅助,它并没有文件信誉分析,也存在少量误报排除即可。

弄出这个就是希望大家对BD有一个真实 彻底的认识,包括BD的所有技术,修复如何,64位AVC是否削弱(没有削弱),削弱的只是IDS。


BitDefender防病毒引擎被业界公认领先,并被多家知名公司的产品所集成。

 防病毒业内唯一的系统修复机制 - 即便计算机已经由于病毒而瘫痪,基于Knoppix的BitDefender系统修复也能够杀毒,并将系统恢复完好。(此技术BD并不随引擎一起出售,所以几乎所有BD系杀软修复都没有BD好就是这个原因)。

BD OEM的技术只有引擎及其静态启发式技术,还有部分AVC技术(我了解的目前只有Advanced 和Escan两家公司OEM了BD AVC技术)。

B-HAVE检测技术,在计算机内生成虚拟环境,模拟软件运行并识别是否存在恶意插件,将病毒与您的操作系统完全隔离。用于分析恶意程序

行为。实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。它运行在

Windows上,以及在所有的Linux和FreeBSD的 BAT / CMD仿真嵌入到虚拟机(此技术已经整合到AVC即活跃病毒控制)



NeuNet启发式检测技术是一种可以自主学习的用于拦截垃圾邮件的启发式技术 就不多说了。



BitDefender的主动病毒控制也就是AVC:(这是目前智能主防的巅峰之作,并不依赖数字签名和文件信誉(好处就是不怕伪造数字签名的恶意软件和白+黑),也不是简单的内置几十个规则,它运用了极其复杂的技术,会同时对程序所有行为分析评分最后结合整体行为得出综合评分,评分运用的是复杂的程序各个行为的启发式算法结合虚拟机技术从而智能的给程序行为打出一个分数,分数超出一个阈值,AVC就会封锁它。)
主动防范,新出现的威胁
BitDefender的主动病毒控制是一种创新的主动检测技术,该技术还采用了先进的启发式方法来实时检测新的潜在威胁。
活性病毒控制连续地监视计算机上运行,寻找恶意状动作的应用程序。每个这些动作被计分和一个整体分数计算每个过程(IDS也运用了同样

的技术。)当总分数的处理达到给定阈值时,该过程被认为是有害的,它是自动阻止。
随着恶意软件的新变种病毒正在以前所未有的速度,启发式恶意软件
检测技术已成为抵御零日威胁的主要手段。 BitDefender的活动
病毒控制是一种创新的主动技术,它采用先进的启发式方法来实现未知病毒极高检测率(官方用极高来形容一点也不过,BD只开AVC双击的拦截率可以媲美甚至高于某些杀软的引擎检测率,通常每100未知个病毒的平均拦截率为百分之85左右(这个数据来自我平时双击过的每日精睿包样本,几乎都是百

分之85以上的拦截率。)


技术概述

启发式是主动检测的一种形式,传统的检测依赖于签名。这些签名的代码片段
从实际的恶意软件样本提取和使用的防病毒程序进行模式匹配。
这种方法的问题是,它需要时间来产生签名:反病毒
供应商需要获得恶意软件样本,开发特征码,然后按下该签名
用户 - 这导致创建上述窗口。启发式检测
还依赖于签名,而不是被简单的指纹,这些签名指定实际
行为这可能表明一个应用程序是恶意的。这工作,因为恶意
计划不可避免地尝试执行行动合法的应用程序没有。示例
可疑行为包括尝试删除文件,伪装进程,复制或执行
在另一个进程的内存空间的代码。由于启发式扫描查找行为
特征,而不是依赖于简单的模式匹配,它们是能够检测和阻止
将公布新出现的威胁为其签名或指纹还没有。

为了保护计算机,大多数启发式扫描仪,包括BitDefender的
B-HAVE启发式引擎,从而被执行的代码开始暂缓申请
在完全隔离的虚拟环境 - 或沙箱 - 从真正的电脑。如果
没有可疑的行为观察,计算机指示正常启动应用程序。
如果,在另一方面,可疑行为被观测到,在计算机被指示阻断
程序。整个过程发生在几分之一秒,因此对几乎没有影响
任一用户的经验或表现。
虽然这种方法确实增强了安全性,但是它还是有几个
缺点。首先,程序仅可在虚拟环境中运行了一段短时间如,显然,
它是不能接受因时间的任何显着量来延迟发射。这意味着
恶意软件能够避免被发现仅仅通过推迟执行任何恶意操作,要么运行时
修改内存,或用于启动过程中的恶意软件。
为了克服这些缺点,BitDefender的不断推出新技术,在其2010年
产品线“的BitDefender病毒有效控制。

BitDefender的主动病毒控制:(下面叙述只代表2010年的技术,现在的AVC技术更加先进)
过了普通动态启发式检测后(也就是过了B-HAVE技术)才会触发的下一级防御

主动病毒控制是BitDefender的2010产品线中增加的新功能

为了提供最大的安全性,所有的BitDefender产品采用四步扫描
顺序:
•步骤1:将文件通过Web,电子邮件或即时访问,复制或下载的每一次
信使,该文件由BitDefender的文件系统驱动程序或适当截获
代{过}{滤}理和发送进行扫描。
•步骤2:将文件核对BitDefender的签名数据库(一个数据库
恶意软件的“指纹”)持续更新以小时为单位。如果该文件的内容
匹配签名之一,该产品会自动尝试消毒的病毒。如果这
操作失败,该文件被移动到隔离文件夹。如果没有签名匹配时,文件
被传递到B-HAVE进行检查。
•第3步:由BitDefender的内部虚拟环境中运行它会检查文件
引擎。如果该文件显示可疑,恶意软件样活性,B-HAVE报告文件为恶意。
如果不是这样,该文件被声明干净和有关过程允许运行。
•步骤4:活性病毒控制监视过程的动作(具体过程)
因为它们是在计算机上运行。它看起来特定病毒的迹象,并给出一定的
得分为每一个动作。当总分数的处理达到给定
阈值时,该过程被报告为有害的,并且,根据用户简档,它可以是
终止或提示用户指定要采取的行动。

与B-HAVE和其他启发式扫描仪,主动病毒控制监控应用程序的一切
行为,只要他们是活跃的,所以不能用拖延战术被打败,有些
先进的恶意软件部署。此外,这种持续的监测也可以防止恶意软件
剥削或劫持已经信任的应用程序。
如何主动病毒控制的工作原理:技术概述
主动病毒控制持续监控所有正在运行的应用程序和进程,除了:
•进程特别是从由用户(白名单过程)监测排除。
•系统过程,如crss.exe,lsass.ese或已知是干净的smss.exe。
•安全服务之前加载的所有进程(vsserv.exe)。
•在Windows XP 64-bit和Windows 2003的64位系统,主动病毒控制
不监控在64位系统下以32位模式运行的进程。

BitDefender的扫描应用程序和进程,只要它们是活性的迹象被连续监测
可疑,恶意软件类的活动,其中包括(这只是最初AVC版本的官方数据,目前的AVC比之前先进得太多):
•不等待或要求任何形式的用户交互
•执行或终止执行时未显示任何类型的用户界面的
•在C复制或移动文件:\ WINDOWS \或C:\ WINDOWS \ SYSTEM32 \
•具有一个不相关的类型的图标 - 例如,一个过程,有一个文件夹图标
•执行在另一个进程的空间代码,以更高的权限运行
•运行已创建与存储在二进制文件信息的文件
•自我复制
•创建在注册表中的自启动项
•试图从工艺枚举应用程序隐藏
•掉落和C语言注册驱动程序:\ WINDOWS \ SYSTEM32 \
作为合法的应用程序有时会执行其中的一个或多个操作(如创建
自动启动项),主动病毒控制并不能决定一个进程是基于恶意
任何单一的行动;相反,它使一个正在运行的分数,并只将其归类一个应用为恶意
当达到一定的阈值。这最大限度地减少了错误鉴定(falsepositives)的发病率
避免不必要的干预由用户。

活性病毒控制大大增加的检出率
回避隐形恶意软件
在互联网的测试,这些都没有用任何标准检测的恶意软件样本的63.5%
BitDefender的扫描引擎或B-HAVE被主动病毒控制检测。

B-HAVE是目前市场上最先进,最有效的启发式扫描引擎之一,主动病毒控制必须提供比其他具有更好的保护的能力
解决方案,并显着减少系统的风险被泄露由一个新的或正在出现的威胁。

创造恶意软件的不法分子变得越来越复杂的条款
被检测它们,以减少它们的恶意程序的可能性使用方法
通过启发式扫描仪。一些恶意软件甚至能够检测到它正在里面运行
虚拟机和延迟显示执行任何恶意操作,直到它已确定
清洁,在实际计算环境推出。雪上加霜的挑战是,
该确定基于其执行的操作的应用程序是否是恶意的是一个
远非简单的过程。例如,将擦除硬盘上的应用程序可
是一个完全合法的系统工具。但是,如果应用程序试图误导用户
运行它后面 - 伪装成图像或一些其它无害类型的文件 - 那么它很可能
是恶意软件。
主动病毒控制是BitDefender的回应这些挑战。它代表了一种全新的
层的计算机和潜在的恶意代码之间的安全性,为用户提供一个预先
前所未有的程度的保护。


比特梵德独有的 Intrusion Detection System 技术

为了辅助 活跃病毒控制技术 比特梵德在2011年推出了IDS(Intrusion Detection System 入侵检测系统)
比特梵德的入侵检测系统和其他安全软件的入侵检测系统完全是两码事,这也是后来比特梵德将入侵检测系统从防火墙模块剥离出来单独作

为一个组件的原因。

该技术运用了启发式技术来监控试图访问网络服务或互联网的应用程序。它的意思是, 在计算机上运行一个应用程序时会让IDS接收到一个

分数和他们在计算机上执行的操作。无论程序安全与否,它始终是从一个恶意软件角度来评估的, 如果它的行为达到一定的水平,那么它就

会超过这个分数被判定一个恶意软件。

诺顿 FS 迈克菲 都有入侵检测系统,他们的入侵检测系统也就是正常定义下的入侵检测系统,他们产品的功能是对网络传输进行即时监视,

在发现可疑传输时发出警报或者采取主动反应措施。而这部分在BD里面是由防火墙来完成的。而BD的入侵检测系统另有作用,检测并阻止尝

试改变系统关键文件和注册表键值的动作,同时会对dll注入动作进行提示。

BitDefender 2011版本包含的入侵检测系统查找以下特征(目前2015最新版技术远不止一下几点)

未授权的连接网络

未授权的读取、写入内存

未授权的访问com控件

未授权的访问系统注册表

未授权的访问系统API

尝试关闭BitDefender进程的动作

尝试注入进程的动作



特意说明,BD的AVC不会被64位系统限制削弱,这是基于它不依赖固定规则,他是靠不断监视程序每个行为和程序整体行为来判断病毒的,无

论32位系统还是64位系统,你运行一个程序他就会有行为,而AVC才会监控,AVC运用的是虚拟化技术,不会受到64位系统限制。而IDS是通过

Hook技术结合特殊的启发式完成对程序行为判定的,所以受到64位系统限制,期待BD下个版本可以将AVC技术和IDS技术合并,都使用虚拟化

技术就不会受操作系统限制了(驭龙大大和我讨论过,他认为样做可以解决64位IDS无效的问题,这些建议我都反馈给了BD官方,官方也有回

应,确实期待BD官方能在下个版本解决。)

评分

参与人数 5分享 +2 魅力 +1 人气 +3 收起 理由
ikimi + 1 版区有你更精彩: )
生命在于运动 + 1
小飞侠.net + 1 感谢支持,欢迎常来: )
a330391 + 2 感谢提供分享
驭龙 + 1 版区有你更精彩: )

查看全部评分

本帖被以下淘专辑推荐:

,就一个.
 楼主| 发表于 2015-4-30 16:43:01 | 显示全部楼层
@驭龙 你之前说的AVC使用了硬件虚拟化 我偶然发现 某OEM产品介绍的AVC组件 居然用调用处理器做事情
QQ截图20150430162904.png
综合症初期患者
发表于 2015-4-26 22:03:26 | 显示全部楼层
好文
不过建议修改一下排版
huihui458
发表于 2015-4-26 23:30:40 | 显示全部楼层
安了他就启动不了QQ对战平台,关闭了主动防御才可以是什么 原因,
david8899
发表于 2015-4-27 00:45:49 | 显示全部楼层
BDIS的IDS还是在防火墙 选项里设置的
,就一个.
 楼主| 发表于 2015-4-27 01:20:49 | 显示全部楼层
david8899 发表于 2015-4-27 00:45
BDIS的IDS还是在防火墙 选项里设置的

2015已经不是了,谢谢!
,就一个.
 楼主| 发表于 2015-4-27 01:34:27 | 显示全部楼层
david8899 发表于 2015-4-27 00:45
BDIS的IDS还是在防火墙 选项里设置的

所以说要多了解最新动态,了解最新技术,换2015吧!兄台
taroyoo
发表于 2015-4-27 02:17:19 | 显示全部楼层
楼主棒棒哒   很喜欢大BD  期待2016!
,就一个.
 楼主| 发表于 2015-4-27 02:30:36 | 显示全部楼层
taroyoo 发表于 2015-4-27 02:17
楼主棒棒哒   很喜欢大BD  期待2016& ...

BD其他我不敢保证,但在智能主防这一块已知杀软里面没一款做得有它好。這是事实,不是吹嘘,无论从小小的样本区双击,还是到国际测试里每年一次的行为测试,都没让我们用户失望!用BD用的就是他的主防。
开开心心卖手机
发表于 2015-4-27 08:54:09 来自手机 | 显示全部楼层
,就一个. 发表于 2015-4-27 02:30
BD其他我不敢保证,但在智能 ...

请教个问题。。楼主觉得BD系杀软的智能主防各有什么优缺点?想听听(^_^)
pal家族
发表于 2015-4-27 08:58:24 | 显示全部楼层
至9L 没有回滚 所以我还是觉得sonar好
当然bd大毒库是卡巴蜘蛛都比不过的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-18 15:45 , Processed in 0.070306 second(s), 14 queries , MemCache On.

快速回复 返回顶部 返回列表