卡巴7中的新技术；启发式，沙盘，仿真及其他

czzq

随着卡巴7的推出，大家也都很关注卡巴7中应用的新技术，其中最受关注的就是这次新加入的启发式引擎了。今天在卡巴的论坛上看到一个不错的帖子，将其中的重要部分翻译一下，帮助大家了解卡巴斯基7中应用的新技术，以及关于启发式，沙盘，仿真的各种知识。

曾经有过关于启发式和主动防御谁更强之争，随着卡巴也加入了启发式扫描，也许说明了二者并不是谁取代谁的关系，而是互相协同工作获得更好的好伙伴^^

以下提到的仿真器我们通常就说成虚拟机了，但是在此为了和“虚拟机”区分下，就翻成仿真器了...呵呵。

问题的开始是关于一个最近流行的广告程序/有害程序Virtumundo的处理方法的。因为这个有害程序蔓延的特别快，并且特征码变换极快。一位会员提到了对卡巴斯基来说检测和删除它们的全部几乎是不可能的。也许卡巴的新的启发式引擎( heuristic engine )可以清除？

据开发人员说，卡巴的仿真器（emulator）可以检测包含这个有害程序的安装文件，但是不能用来发现单独的DLL的文件。

因为仿真器（emulator）就是像用户实机真实运行一个文件一样来运作。用户能执行一个dll文件么？不行。所以仿真器也不行。呵呵。

比较可能的是在仿真器中执行一个dll中的代码，但是这种情况是非常少见的个案，所以，这在大多数情况下没什么用。

当然单独用启发式（heuristic\generic）而不用仿真器来检测新的未知病毒的也是可行的，但是它多半并不像一个好的仿真器一样强大。

但是并不能说一个仿真器要比一个常规的启发式引擎要更有效，更强大。它们两个是完全不同的东西，但是可以同时工作提供更强的保护。

关于沙盘（sandbox）：
E.K的答复是，在技术上完全可以将沙盘加到卡巴斯基反病毒中，但是截止到现在还没有看到这么做的必要。所以我们仅仅在我们的实验室中使用沙盘。


沙盘并不能取代启发式扫描，因为沙盘并不会显示启发式扫描一样的探测结果，它不会说“嘿这是个病毒/可能是病毒”。它只会列出例如创建的文件，修改的注册表键值之类的信息。这对大多数家庭用户来说是没有什么用的，因为他们只会看扫描结果，而在看到一大堆一个程序会做这个会干那个后会看到疑惑。

沙盘（Sandbox）这个词本身就是让人困惑的。通常来说，它代表仿真器（emulator），而KAV早在若干年前就已经有仿真器(emulator）了（如果我们相信Eugene的话，这个东西从1992年开始就有了）。一个反病毒软件中的仿真器/沙盘不仅仅在启发式探测方面有用，而且在变形病毒（这样的现在已经越来越少了，现在的大多数病毒木马全无技术含量）检测和脱壳方面也有很大的价值。当然这取决于这个仿真器的高级/强大成都。KAV7的新启发式引擎拥有一个新的更加强大的仿真器（沙盘）。

沙盘（sandbox）确切地说是Norman的仿真器的名字。Norman决定让用户看到一点更多的信息 ，而通常其他的反病毒厂商都自己看了^^， 但是通常来说所有的高级的仿真器都能够做到这些（即显示代码执行日志）。

正如上面所说， 仿真器/沙盘和启发式并不相同。仿真器/沙盘是一个你可以运行代码的环境，就像一个虚拟的机器一样，例如和VMWare非常相像。启发式则是用一套“智能”的规则来尝试理解代码的行为，如果它的行为可疑的话就将其作为可疑有害程序探测。

在我上面介绍了一个沙盘（一个仿真器-虚拟仿真环境）之后，其实还有另外一种沙盘。它并不是一个虚拟仿真环境，而是一个在真实环境中过滤低级系统调用的的过滤器。SandboxIE就是一个这样的例子，FYI则是和KAV6的主动防御模块类似的工作方式运作的。唯一的不同是SandboxIE阻挡和重定向这些调用来创建隔离的目录，而KAV6的主动防御模块用一种不同的方式来过滤它们，并尝试去理解这个代码/程序在干什么。

作为结语.....放轻松点，KAV已经正在做上述所有的这些，并且假以时日它会更加进步并且变得更好。

今天有高人添加了仿真器检测到DLL的截图。 大家也可以看看。截图中是另一个有害程序。

关于为何显示成这样有多种猜测：

（1）可能是个小Bug...应该一个文件一个类型只报警一次。图中应该是2个Trojan.generic,1个进程注入者（Invader)和一个下载者（downloader)      变种报警。
（2）可能是那些文件可以独立运行（用rundlll32运行它们并可以实现某些功能）

艾卡

新产品  偶原不敢用 不过楼主介绍得很详细  现在要实施了谢谢楼主

gb820628

谢楼主了，学到不少东西

玩勿丧志

一般使用官方简体中文版，稳定不易出毛病

yzt1004

这个在绅博看到了，不过还是顶一下

jpzy

呵呵，前几天看见一个帖子里面在说卡巴这个emulator，一直就想了解一下！
不过这个帖子的作者似乎表述的不是很清楚，我反正看的半懂不懂的！！

yahoo121

楼主写的很乱，看不懂~

zql_0324

看来这两种杀毒方式都需要提高

dianshixs

谢楼主了，学到不少东西!

quansen83

看的我迷糊了