非典型性杀软VSE浅谈

思亭

本文首发McAfee爱好者中文社区，转载请注明。BY 飞花

1.知己知彼——VSE（VirusScan Enterprise）简介

McAfee VirusScan Enterprise是一个非典型的AV（Anti-Virus），即非典型反病毒软件。VirusScan Enterprise的整体大致由两部分组成——传统杀毒软件（特征码依赖型扫描检测）和不完整的HIPS(Host Intrusion Prevention System——主机入侵防御系统)，回想一下VSE的版本号，8.0i、8.5i，大家是不是能想到什么呢？

传统的杀毒软件由于是特征码依赖型的病毒检测工具，在对付未知病毒方面显得无能为力，即使加入了启发式，对付新型病毒也显得有点力不从心。

HIPS并不依赖特征码，它不以黑名单（特征码/病毒库）来识别病毒，而以行为监控来规范一切行为——无论好的、不好的，有破坏性质的、无破坏性质的。HIPS规则就好比一部法律，明确了什么可以做什么不可以做，当然，它比法律更有能耐，HIPS规则明确禁止发生的行为，根本发生不了，除非HIPS规则因为某种原因失效了。因此HIPS在面对未知病毒的时候有巨大的优势。

AV终结者现世的时候，McAfee VirusScan Enterprise能成为未被终结的AV，因为它是非典型反病毒软件，是传统杀毒软件和不完整的HIPS的结合体。

完整的HIPS应该包括AD(Application Defend)——应用程序防御体系、RD(Registry Defend)——注册表防御体系、FD(File Defend)——文件防御体系。

McAfee VirusScan Enterprise拥有3D，但这3D都不具有完整的功能，而且采用的是非询问式规则编写方法，在一定程度上增加了其难用性。但回头仔细想想，McAfee VirusScan Enterprise拥有相对发达的FD功能，以及相对简易的端口限制策略，作为阻挡病毒入侵的第一步的壁垒，已经相当不错，而且McAfee本来就有自己的HIPS，也无须在VirusScan Enterprise上建设完整的HIPS，再者，McAfee本来就以集中管理的概念来设计Enterprise软件，VSE的非交互式规则编写方法也并没有任何可以埋怨的地方。

世事没有完美，McAfee VirusScan Enterprise也有需要改进的地方，但却不是改变成一般用户就能熟练使用的安全软件，由Enterprise的定位可知，VSE并不是为个人用户而设计的软件，即便是其它为个人用户设计的HIPS软件，用户也必须有一定的系统知识和安全知识才能发挥出HIPS的实力，所以选择了VSE的广大麦粉，必须有一个清楚的认知：VSE在可用性上并非一文不值，一切等你学有所成再下定论吧；VSE在安全性上并非天下无敌，它不能代替完整的防御体系，必须配合各种辅助安软。

2.磨刀霍霍——VSE功能一览

20080415_a6157e626b92eb955aa5q6UxgqUVakFy.gif (19.23 KB)
2008-4-18 14:14



McAfee官方为各个组件在安全工作中的作用作出了定义：
预防：用户界面安全、访问保护、缓冲溢出保护、有害程序策略
检测：自动更新、按访问扫描程序、按需扫描程序、电子邮件扫描程序
响应：警报通知、隔离管理策略、检测项响应、疑难解答

一个完整的安全体系应该包含三个方面，分别是防御、查杀、清理。可以看出，“预防”就是防御这部分，而“检测”和“响应”则是查杀这一部分。清理，也就是感染病毒并成功查杀病毒核心之后，对被破坏的文件、被篡改的项目、残留的病毒文件等的清理。暂时来说，还没有出现比较成熟的清理系统的安全软件，这一部分主要靠人工来完成。

对几个组件作一下简单说明

缓冲溢出保护：想必大家都有开启这个模块，但却未必知道它的重要性。应用程序都有大小固定的缓冲区用于存储数据，一旦攻击者向其中一个缓冲区发送的数据和代码过多，则该缓冲区会溢出，然后计算机会将溢出的代码作为程序执行。攻击者最后的目的是什么？就是权限，因为这些溢出的代码的执行发生在该应用程序的安全内容中，这些内容通常拥有较高的权限才能访问，通过缓冲溢出，攻击者就可以获得通常不能获得的执行命令的权限。

有害程序策略：在有害程序策略的设置界面中，你所钩选的是你希望检测的有害程序类别，有些人可能疑惑，不知道这些有害程序的特征码在哪里，又或者以为有害程序策略的特征码不会更新，其实这些特征码存在于病毒库中，即DAT文件中。这些你需要检测的项目，必须在各个扫描模版中分别设置对有害程序进行扫描才会生效，例如说你可以实现按访问扫描不检测有害程序，而按需扫描则检测有害程序。
20080415_198f82423c8681cc12f7bAb6tdzmGue4.gif (39.61 KB)
2008-4-18 14:14



自动更新：当然你也可以设置手动更新，上面也提到过，传统杀软是过去式的防御，安全依靠特征码，更新病毒库就好象你会为系统打补丁一个道理，定期更新与好的规则一样重要。

按访问扫描：接入文件系统过滤器驱动程序（系统最低层），作为系统服务运行，并在检测项（病毒）出现时通过界面发出通知。无论是特征码匹配还是行为匹配还是缓冲溢出技术检测，都必须开启按访问扫描，如果说病毒库和规则是通缉令的话，那么按访问扫描就是警察，没有访问扫描，病毒库和规则如何强大都是废话。写入磁盘时扫描和从磁盘读取时扫描有什么不同呢？写入时，扫描的是本地磁盘传入的文件，创建和修改的文件；读取时，扫描的是本地硬盘传出的文件，所有在本地硬盘上打开、执行、重命名的文件。

访问保护：大家普遍关注的话题，VSE中不完整HIPS所在位置，涉及问题很多，下面写。

3.其器不利，其事不成——规则编写须知

众所周知，访问保护规则是VSE精华之所在，规则是VSE的灵魂，失去了规则，VSE将不再是非典型的杀软，不再具有其他杀软没有的优势。但必须说明的是，其实我们根本没有必要拿VSE去和其他杀软作比较，因为根本就是不同的东西，就好象拿HIPS比杀软一样，如果拿VSE去比COMODO，你会怎么比呢？
要了解VSE的规则，就必须先了解HIPS的规则，因为VSE的规则就是HIPS的规则。很多人在编写规则的时候碰到了难题，特别是排除的问题，不知道如何解决，那么往下看，你大概会对这些问题有所了解。

结构
前面说过，HIPS是行为匹配的，什么是行为匹配？大家都知道“主谓宾”，一个行为有它的主——行为执行者、谓——行为、宾——行为的对象。所谓行为匹配，即同时匹配行为执行者、行为、行为对象三者，当三者都匹配的时候，采取相应的匹配响应。

何为相应匹配响应？举个例子就明白了，例如说现在写条规则不允许notepad.exe读取123.txt，那么当notepad.exe读取123.txt的时候，行为执行者notepad.exe、行为读取、行为的对象123.txt都匹配这条规则，则作出响应拦截这个行为；但当notepad.exe读取234.txt的时候，行为的对象234.txt不匹配这条规则，则不作出拦截行为的响应，而允许该行为。

写规则的时候，必须明确“主谓宾”，如果将“主”和“宾”颠倒了，那么将得不到你想要的效果，规则将失效。另外必须明确，HIPS中所有行为执行者必须为且应该为进程，正确理解进程，请百度谷歌。

很多HIPS有对象排除，即许多麦粉想实现的“禁止某进程读取所有文件并排除个别文件”，但必须明确的是，在VSE的规则结构中，并没有对象排除，只能排除行为执行者，即进程。

优先级
VSE的规则是匹配拦截（匹配“主谓宾”，拦截该行为）的，并没有匹配允许（匹配“主谓宾”，允许该行为）的选择，匹配允许仅仅在“例外”这里能体现出一点点，例如如下规则（一）： 引用:

包含进程：*
排除进程：abc.exe
包含文件：123.txt
操作：读取

效果是仅允许abc.exe读取123.txt，当进程匹配为abc.exe，才允许读取123.txt，但这并不是真正意义上的匹配允许，“例外”的优先级要比一般情况低，例如：
在上面这条规则基础上，再编写一条规则（二） 引用:

包含进程：abc.exe
包含文件：*
操作：读取

规则（二）的作用是禁止abc.exe读取所有文件，而规则（一）的作用是在所有进程中例外允许abc.exe读取123.txt，但最后的结果是，“禁止”优先，而非“例外”优先，则abc.exe不能读取123.txt。因此不可能制作两条规则来达到上面提到过的“禁止某进程读取所有文件并排除个别文件”的目的。

端口规则
全封端口曾经是热门的话题，引来了不少对DNS的讨论。一般来说，简单的使用端口规则处理个别端口行为就可以了，没有必要全封，这样不实际，如有特别需要，使用防火墙来管理你的端口更加省心。

3D
3D不深入说了，简单说一下几个问题。
RD
注册表规则的项与值的区别，这个很容易理解，网上也很容易找到答案；
要保护的注册表项或注册表值，左边的下拉菜单是可以空置的，在右边的文本框中填写完整路径。
FD、AD
FD和AD放在同一个地方，AD仅有进程执行进程这一行为的拦截项目，细想一下，仅有可执行文件可以被执行，这是AD范畴。其余四项行为是FD的范畴。
因此面对不同的文件，有时候有些选项是可以不勾的，当然勾了也无伤大雅，但正确的判断和选择往往是一个人身上知识多少的体现。

特别说明
端口规则和3D里面，包含的进程是“主”，要阻止的XX（文件、端口、注册表）是“宾”，下面的复选框是“谓”。

4.读书破万卷——说恒心
HIPS不是一朝一夕的事情，电脑知识不是一朝一夕的事情，电脑安全也不是一朝一夕的事情，这需要恒心。
想要有好的技术，必须要有恒心，该学的还是得学，该了解的还是得了解，规则不要死搬，了解原理、结构、内涵才是关键，这需要恒心。
用好一款软件必须知道它的极限，它最多能做到什么，不能强求，但我们同时又必须努力发觉出它的极限，这需要恒心。
并没有无敌的东西，必须知道自己的不足和他人的强大，不断改善自己的知识结构和对安全的认识，这需要恒心。
勇于尝试比猜测来得实际，而尝试来源于猜测，猜测来源于思考，思考来源于需求，我们要发掘需求，然后思考，然后猜测，不过不要到猜测就停步不前了，尝试能给你答案，不断的尝试能建立起你对软件的深刻认识，这需要恒心。

5.再回头——结语
写了几天终于写好了，看见很多麦粉在一些问题上徘徊，发现同一简单问题又有很多人反复提及，一直感觉要写点什么，就写了一点自己的认识，大家参考参考，希望对各位有帮助。写好了再看一遍，发现字也挺多，能看完的不知道能有多少人，呵呵，这也需要恒心吧……

话说我也不是什么专业人士，欢迎指正、补充。

ouran

四不像的杀软,总结为"非典型",很准确

chenshiguo

转自McAfee爱好者，注明了会更好

黄河王

很好的文章，顶一下

tang2000

学习。。

袋鼠吱吱

不错。偶要用回McAfee了，这次是想研究一套适合父母用的安静规则。下个月的McAfee测试也承包下来了，争取多报些样本。

pippo0423

5年前MCAFEE的病毒库和当时卡巴有一拼。。。5年后不堪回首。。。
貌似当年说SOPHOS OEM MCAFEE的病毒库还是两者交换病毒库来着。。。现在看SOPHOS的检出率再看看MCAFEE简直天壤之别。。。

一款用起来很麻烦的杀毒软件兼HIPS..