查看: 3248|回复: 9
收起左侧

[分享] 【科普】从杀软的组成和工作原理看云杀软

[复制链接]
ikochina
头像被屏蔽
发表于 2017-5-25 10:51:53 | 显示全部楼层 |阅读模式
本帖最后由 ikochina 于 2017-5-25 11:07 编辑

在我的长测中已经有这个争论,很多人认为云主防是绝对安全的,相比传统杀软是高高在上的,那么我们简单分析下杀软的组成和工作原理。一、先说杀软的组成:
1、云杀软,比如熊猫云、咖啡云,他们依靠的是本地引擎+网络特征库,也就是说特征库完全云化,本地引擎则对文件进行分析、比对、样本收集上传,优势是安装文件夹小、轻巧,对系统占有率低,缺点是特征库完全云话,断网就很难起到效果(断网就完全靠本地引擎算法和分析了),另外一个缺点就是占网络,因为你一个文件运行就得和网络库进行对比,这就有一个上传抓取特征的动作需要占用网络,如果是小文件还好说,如果是1.5兆以上的大文件,就会造成延迟和占网更厉害;
2、传统杀软:比如咖啡、诺顿、小红伞、bd、江民等,它们依靠强大的本地引擎(启发、虚拟机等)+本地特征库+部分主防的方式,它们同样需要联网收集样本,但网络占用和云杀软来说,可以说不值一提,因为只有在本地引擎判断可疑的时候才会上传样本到服务器进行分析,优点是断网查杀和联网查杀能力几乎一样,缺点是安装文件夹大;
3、纯主防:比如咖啡hips、微点(微点、火绒其实都是hips+本地特征库了),它们依靠强大的本地hips和规则对行为、基因等(从2d时代发展到3d、4d,5d)进行判断,异常则提示用户处理,2d时代的主防就需要用户对系统文件和自己操作的文件比较熟悉,3d和4d因为加入了本地特征库,所以提示相对来说比较容易接受,但部分提示还是比较专业;
4、云杀软:目前的云杀软比如360、管家、瑞星、毒霸等依靠强大的本地引擎(启发、虚拟机等)+行为判断+本地特征库+云特征库+云分析+云推送的方式来配合杀毒,它们兼具传统杀软和单纯云杀软的优势,规避了大部分缺点.

———————————————————————分割线—————————————————————
二、杀软工作原理
1、传统杀软:
杀:本地引擎调用本地特征库对文件进行扫描提取特征,比对本地特征库,发现一致或非常接近,则提示用户;
防:本地引擎调用部分本地特征库针对文件行为、轨迹进行判断,如果比较接近病毒或攻击软件的行为,则先拦截,然后比对本地完整特征库,如果能判断则直接跳出病毒的提示,不完全肯定则提示可疑、确定安全则不提示;
样本收集:本地可疑行为和可疑文件则上传到服务器进行机器分析,机器分析不能确认则交给人工分析,分析确定安全则加入白名单,危险则加入离线库,随后放入离线库更新。
2、主防:
主防重在防,但主防杀软发展到现在,基本也是防杀一体了,工作原理实际上和传统杀软差不多,只不过对文件行为和轨迹判断更敏感,内置规则对系统文件、注册表的保护更完善,对未知文件的分析要更深入一些,早期的主防实际上更多的工作是交给使用者的,它只负责监控和比照规则,监控到可疑的就提示你,这个最明显的就是毛豆了,毛豆从最初的hips到hips+到现在的防杀一体,提示越来越少,也越来越安静了,但防御能力并未下降,而且还更人性化;
样本收集:和传统杀软一样
3、云杀软:
杀:本地引擎调用完整本地特征库+最新云拉黑还未加入离线库的云特征库对文件进行扫描比对,发现一致或非常接近,则提示用户;
防:本地引擎调用少部分本地特征库+最新云拉黑还未加入离线库的云特征库对文件进行扫描比对,发现一致或非常接近,则调用完整库比对,还是一致则提示,接近则上传;
样本收集:在传统杀软基础上上传后优先加入云特征库,随后推送离线特征库更新,本地离线特征库更新后则在云特征库不进行调用,也就是说本地引擎还要判断本地特征库的日期和大小,如果本地特征库长期未更新,则加载云特征库比较多,占用网络和延迟就更多,甚至达到单纯云杀软的地步。
云杀软中费尔是个另类,因为它的云是单列的,并未集成到防御和查杀引擎中,需要手动上传或者发现异常后上传,并不能直接加载云特征库来防杀,这也一直是费尔用户所诟病和期望更新的一个槽点,虽然费尔在当下的防杀能力并不算太过低下
———————————————————————分割线—————————————————————
总结:除开单纯云杀软优缺点都非常明显来说,传统杀软和云杀软没什么区别,只是在对最新病毒的扩散反应时间上有差别,云杀软相比传统杀软能更快的控制防范病毒的扩散,但针对最初接触到这个病毒的电脑来说,是没有任何区别的,所以针对未知病毒的防杀,主要就要看本地引擎的算法、脱壳、虚拟机、特征优化这些基础能力了。算法决定对病毒变种的防杀能力、脱壳决定对病毒多层加壳的解密能力(目前国内甚至国际上很多杀软脱壳能力都不够,只要发现非正常壳都报,这也是醉了)、虚拟机则是杀软对病毒进行虚拟机模拟运行,通过动作来判断是否正常,这也是在熊猫烧香出现后开始进入主流的一个技术、特征库优化能力则决定了相同大小的特征库容纳的特征数量和特征库的加载速度,所以这些基本能力缺一不可。而国内很多杀软吹嘘的云主防就比较搞笑了,实际上还远未达到真正主防的水平.

本文纯属原创,肯定有说得不够完善和细致的地方,欢迎提出



评分

参与人数 2人气 +2 收起 理由
gd0709 + 1 很给力!
Johnkay.Young + 1 版区有你更精彩: )

查看全部评分

ssdngs
发表于 2017-5-25 10:53:37 | 显示全部楼层
本帖最后由 ssdngs 于 2017-5-25 11:02 编辑

分析的很精辟,观点很鲜明
ysj963
发表于 2017-5-25 11:33:49 | 显示全部楼层
其实做HIPS的把系统程序和系统文件夹给一个合理权限然后不规范的提醒就好多了。主防不带回滚就是在冒险。
其实是老人
发表于 2017-5-25 13:00:35 来自手机 | 显示全部楼层
晕可以降低本地病毒库的大小减少更新的频率积极快速的响应基于海量样本的算法也很有优势。
Johnkay.Young
发表于 2017-5-25 13:14:12 | 显示全部楼层
拜读了。
ikochina
头像被屏蔽
 楼主| 发表于 2017-5-25 13:16:15 | 显示全部楼层
其实是老人 发表于 2017-5-25 13:00
晕可以降低本地病毒库的大小减少更新的频率积极快速的响应基于海量样本的算法也很有优势。

并不会减少多少得,全盘查杀、防御二次杀还是得调用完整特征库,而云得因为有云特征库(调用主要是最新得还未加入离线库得部分),反而反应要慢一些,所以特征库得优化很重要,优化好得相同大小却容量更大,调用才更快
ikochina
头像被屏蔽
 楼主| 发表于 2017-5-25 18:06:00 | 显示全部楼层
目前防病毒技术(不只是杀软哦)盘点:
启发:这是目前普及率最高得技术,也基本上发展到顶峰了;
虚拟机:大多杀软都有配备,为得就是虚拟机脱壳,当然这里面就包含了脱壳技术;
hips:主防,也许各家称呼不太相同,但目的都一样;
防火墙:自熊猫烧香后很多传统防火墙基本都淘汰了,转而研究更新得hips技术,当然目前大多杀软也集成了部分防火墙得功能;
数据墙:有些杀软叫防水墙,这个基本只有企业杀软中才有了;
云引擎:这个大家都比较熟悉了,主要是配合本地引擎进行样本收集、云病毒库与本地病毒库得整合;
云备份:其实这也是病毒木马催生的防毒技术,在有些时候优盘备份也并不一定能保证数据的安全,所以云备份应运而生;
沙盒:也叫沙盘,其实是虚拟机技术的进一步发展起来的东西,可以算是虚拟机技术二代吧;
陷阱:比如费尔、还有些专门的陷阱杀软,采用的是设置文件、注册表陷阱来辨别病毒行为,从而防御;
自我保护:这个技术从第二代杀软就开始蓬勃发展了,现在很多杀软的进程、服务、文件都能很好的保护,不会轻易被破坏了;
隐私保护:顾名思义是防止隐私泄露的,大多杀软都有的技术;
人工智能:360提过好几年了,不过目前来说还处于发展的初期,很多病毒的分析还是得靠人工,人工智能的发展作为本地引擎和云服务器的一个基本组成部分,其实杀软引擎都可以算是人工智能机器人的构架,只不过目前都还不太完善而已;
还有更多的技术,希望大家也补充补充
FUZE
发表于 2017-5-26 02:00:03 | 显示全部楼层
靴习靴习 !
逍遥小王子
头像被屏蔽
发表于 2017-5-26 07:11:14 | 显示全部楼层
管你什么原理不原理的,只要简单效果好用就行,这就是一个普通用户的心态,才不会管你那么多呢
还有并不是每个人都喜欢电脑和喜欢研究电脑的
一般人用电脑也就玩玩而已,仅仅是娱乐
更何况现在很多人根本不玩电脑了,大部分都是一天到晚抱着手机和平板
就比如你爸爸 妈妈 爷爷 奶奶 哥哥 弟弟 姐姐 妹妹 叔叔 阿姨 姑父 姨夫 舅的媳妇,亲戚 朋友同学
谁没事干天天会研究这些呢?(天天研究软件使用?研究杀毒软件?....)
再说卡饭才几个人,占全国多少比例?是玩电脑,不是被电脑玩...
电脑之类的,一般人除了办公使用要么就是娱乐才用的,一般也就看看电影,听听歌 看看股票 玩玩游戏之类的
再说现在很多人根本不玩电脑了(很多都是手机党了)
要么就是下班泡温泉,泡妞了什么的,谁没事干天天研究这些
又不能赚钱,不能当饭吃的,杀毒软件公司也不给你任何好处,浪费时间....
http://bbs.kafan.cn/thread-2089815-1-1.html
.
shulun743
发表于 2017-5-26 08:30:11 | 显示全部楼层
其实根本就没有什么 传统杀软和 现在杀软之说 ,

只不过有些厂商为了 宣传自己 说自己是现代引擎, 那些是过时的 特征码 , 才有了传统之说!

其实 安全技术是 有继承的,  如 卡巴 nod 这些 国外  、 瑞星 江米 这些国内 都是 多引擎 , 多个子引擎的呀

根本不是什么 现在杀软和 传统之说 ,因为 没有自己的 特征码 + 基因 + 动态启发 + 静态启发 等等 引擎技术的, 通过 OEM 引入相关引擎 ,代表如 数字 管家  百度等 ,来补齐自己的短板!

而纵观 那些 老厂商 那个又 没有云 ,没有大数据分析呢?     所以根本没有传统现代之说!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 09:46 , Processed in 0.125640 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表