发一个知识贴:启发式,虚拟机,HIPS,行为杀毒.

kaspersky_v

发个贴介绍一下目前流行的启发式杀毒 虚拟机技术 HIPS 以及行为杀毒
已经了解的就不要取笑哦!

很多安全厂商在努力，不断研究完善新的技术和检测方法，以应对各种未知威胁。
  启发杀毒
启发杀毒技术是现在对付未知威胁的主要手段，启发分析技术可以分析程序编码，来判定程序是否具有恶意。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作，该程序将被归类为危险程序，并立即拦截。不同于以特征码为基础的方法，启发杀毒技术可以检测出已知和未知的病毒，但是如果启发杀毒技术控制的不好，会产生不少误报（这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因）。目前世界主流杀毒软件厂商大多集成了这种技术，目前在启发技术上最成熟的是Eset公司的NOD32，他独特的虚拟机启发技术对于各种未知威胁的识别有很高的效率，同时更难得的是误报情况控制的非常好。凭着这项绝技，他世界各地的测试中获奖无数，其中在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中常常位居第一！

   虚拟机杀毒
虚拟机技术在杀毒软件中现在也有非常多的运用，特别是在启发杀毒技术中，一些启发技术比较成熟的杀毒软件（譬如NOD32、DR.Web、McAfee等）都在他们动态启发杀毒技术中运用了虚拟机技术。
启发虚拟机杀毒技术的原理是这样：他们在读取文件的时候，自动创建一个简化的虚拟机环境让文件在环境中运行，如果在虚拟机环境中发现文件有危险的行为就直接删除或者报警！不过现在由于效率问题，这种简化的虚拟机完整程度还远远不能和我们一般理解的VMWare的那种虚拟机相比，同时也是效率问题，行为判断不能做的非常复杂。所以现在一些设计先进的病毒，能够识别出这种简化虚拟机环境和真实环境的差别，在这种环境下不发作！所以随着当前硬件的发展（目前特别是在CPU上加入虚拟化技术已经越来越多），为了对付一些智能病毒，只能在兼顾效率的情况下越来越完善虚拟机和行为判断技术。

  HIPS技术
HIPS（主机入侵防御体系），也被称为系统防火墙，虽然这种技术出现已经有几年了。当时是这二年才逐渐完善，这二年开始在比较专业的用户中开始流行，甚至一些杀毒软件厂商研究新病毒的时候都用他们来做分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时，这个行为就会被HIPS检测到，然后弹出警告，询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠！现在开始风行的行为杀毒其实就是HIPS功能的智能化，不过由于智能判断算法和行为数据库还需要完善。目前的行为杀毒还很难100%的拦截危险行为。
HIPS的功能分类有Application Defend（简称AD）应用程序防御体系， RegistryDefend（简称RD）注册表防御体系， File Defend（简称FD）文件防御体系三种。AD是利用MD5或者SHA效验技术来验证程序文件的变化，RD是控制了注册表的关键值的读写，FD是用来控制关键的文件和文件夹的读写。
FD功能先被大家充分认识是著名的迈克菲公司的VirusScan Enterprise 8.0推出，他集成了比较完善的文件防御功能。很快就在世界上一些著名企业中开始流行开来，成为他们对付各种未知威胁的利器。新的8.5版又集成了RD功能。
后来随着System Safety Monitor、Process Guard Port Explorer、GhostSecuritySuite等一批功能各异的HIPS软件的逐渐出现，大家对于HIPS软件也越来越了解。一些杀毒软件和防火墙也开始逐渐集成HIPS功能。著名的防火墙BlackICE 今年发布的3.6版增加了AD功能。
随着大家对HIPS的了解深入，不少人就发现他所有的进程或程序行为都拦截并汇报比较麻烦并且对用户的要求也比较高。于是就有厂商来建立行为数据库和白名单来使的HIPS智能化，不再是什么都报。这样就开始形成了下面的行为杀毒技术。在虚拟机启发杀毒技术中也是需要简化的行为数据库来判断未知威胁！

  行为杀毒
今年以来行为杀毒技术逐渐开始风行，行为杀毒工具是在应用程序执行时分析其行为，并拦截任何可能危险活动的行为。和启发杀毒技术特别是利用了虚拟机的启发技术不同，行为杀毒乃是在实际系统的环境中运作，所以被病毒欺骗的可能性几乎没有。
如今的行为杀毒技术可监控系统中各式各样的事件。可以控制各种危险的活动，并将所有对系统设置和程序的变化资料储存下来，并设立完善的行为白名单。如果应用程序有危险的动作，行为杀毒模块会提醒用户，指出这种行为的危险性并同时拦截等用户处理。拦截工具还可拦截任意Dll注入其他处理程序的行为。拦截工具还可检测到Rootkit行为。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后，恢复变更，借以还原系统至感染前的状态！


希望不太了解的朋友看玩后对这四项技术有所了解..
呵呵

[ 本帖最后由 kaspersky_v 于 2007-2-26 16:17 编辑 ]

The EQs

特别是在专门测试杀毒软件对付 未知病毒能力的奥地利AV-Comparatives测试中表现卓越！

卡巴在av-c的主动侦测里面几乎是垫底的。。。。

[ 本帖最后由 EQ2 于 2007-2-26 16:09 编辑 ]

kaspersky_v

我把这句删掉
误导了

剑指七星

希望咔吧能够在主动方面努力

kent198661

谢谢LZ，又长知识了，有个不明白，启发和虚拟不同在哪里？望高人解答

langzi1

谢谢，了解了一些

ly250094040

这个该发安全区


版主请转一下吧

nicolashuang

虽然以前看过了，但再看一遍也无妨呀

PC520

长知识了，不过似乎把4样东西集成在系统里会很费资源。。

ginepri

真是谢谢大大啊！
不知道微点是那种技术呢？