毒眼:怎样标识程序——漫谈程序的标识方法

英仔

怎样标识程序——漫谈程序的标识方法

  要想把程序的行为定位到某个程序文件身上，进而实现分析和处理，有个基本问题，就是怎样“标识”一个程序。

      我们先看看人类社会，不得不感叹造物主的神奇，至少有三：
            第一、它给每个人都赋予一个不同的DNA序列，几乎永不重复；
            并且，即使在一滴血，一根头发上，都能体现出来这个独一无二的DNA来；
            最后，也是最重要的，就是这个DNA无法伪造变造，终生恒定不变；
     这就为“人民警察”们识别坏人创造了先天条件——千万不要跟我提赵作海，咱是在做理论研究。

      那我们想找出程序中“使坏”的那些家伙，首先要解决的就是，怎么来标识他们呢？

     靠什么来识别程序？
     1. 代码码识别法。
     现有安全产品基本是就是将程序代码中部分作为特征，或者用整个代码的某种运算值（MD5等）作为程序的特征来识别。这个好处是准确，缺点有三：一是容易“爆炸”，因为程序的每个版本差异都会意味着一个新的特征；二是伪造，因为程序代码稍有不同便可导致特征不同，这就是很多病毒自动修改自己代码，所谓“免杀”技术；三是识别时间比较大，因为需要读取程序代码并进行计算，效率不可能很高；

     2.家族识别法。
     考虑到现在程序已经不像DOS时代那样一根“独苗”，往往需要安装后运行，生成一个具有特定目录结构关系的一些列程序一起，才能正常运行。所以，将程序的安装目录和对应目录下的程序文件名进行一个一定结构的描述，可以准确地识别绝大多数软件，而且，即使升级也往往不影响其准确性，无需重新生成。其优点是稳定性好，可以可靠识别，缺点是，需要事先完整收集软件，才能生成他的家族记录。对静态和已知软件的描述非常合适；可以理解为静态识别法。

     3.跟踪识别法。
    这种方法就是，将整个系统中所有文件做全过程的跟踪记录和分析，并根据文件的创生关系、启动关系等自动分析文件家族；自动生成文件的家族记录，并自动分析跟踪记录，以便动态地实现文件的家族描述；

     除了第一方法之外，后面讲的两种方法，都是“毒眼之父”创造的方法，其中“家族识别法”是“毒眼之父”当时在XX时设计的，用在了XX的白名单中，我们从来没有对外提过，现在时间已经过去了五六年了，应该可以“解禁”了，为了表述方便，这里才提出来说一下，甚至即使我们毒眼自己也再没有使用它了。如果那个大侠看了不服，尽可以上门来讲道理。

     我们采用的是“跟踪识别法”，这是毒眼独家创造和使用的技术。您可以实验一下，将某个文件加入毒眼的“文件保险柜”，然后修改他的上层目录名，这样这个文件的路径就会改变了，然后看看毒眼的文件保险柜中，这个文件目录是否相应改变了，而且这个文件是否还会被继续保护着！

rayismyname

沙发，再看看文章

rayismyname

毒眼之父？谁啊

lll714775117

回复 3楼 rayismyname  的帖子
不会是英仔吧

   

rayismyname

回复
不会是英仔吧
lll714775117 发表于 2010.7.3 18:42

不像

lll714775117

回复 5楼 rayismyname  的帖子
我找到了是他们的总经理李贵林

   

镜湖

我听说毒眼的开发者是从微点离职的研发人员......

jijiasd

还听说360老总老周想夺取毒眼的技术呢

myywin

回复 7楼 镜湖  的帖子
哦？有来头

   

镜湖

毒眼和微点有"血缘关系",去看看毒眼的宣传手册可以更好地理解微点的技术.