BitDefender云安全之快速扫描技术说明

红蛋蛋

在BitDefender 2012和BitDefender 2011版本中，都包含了基于云安全的快速扫描技术。通过BitDefender的快速扫描技术，普通用户只需要60秒的时间，就可以快速查杀计算机中的病毒。那么BitDefender的快速扫描是如何实现的呢，本文将为大家解密。
BitDefender 2012 BETA


BitDefender 2011



1. 什么是快速扫描？
快速扫描是扫描系统敏感区域中活跃恶意软件的工具。快速扫描的扫描速度非常快（一般在5秒左右），因此特别适合一些在访问敏感数据之前进行快速检查系统的情形（如网上银行、网店、在线游戏等）。从技术上讲，快速扫描采用了BitDefender Q扫描技术（也称客户端/服务器协同扫描）。

2. 技术研究的目的
a) 在一般典型的硬盘上约有100,000 个文件，但经验表明,系统扫描需要处理的相关文件平均不到3000个。目前快速扫描主要针对以下“重点”区域：
- 所有活跃的进程及其相关的模块
- 所有加载的内核驱动程序
- 所有系统入口（例如所有的注册表项目，如HKLM\...\Run；和所有系统项目，如StartUp等）
- Winsock分层服务提供商（LSP）注册的所有DLL文件
- Winlogon Notify DLLs, AppInit_DLLs等注册的所有DLL文件
- 所有与“常用”扩展名相关的注册表项（如：exe文件 \shell\open\command）
- 所有浏览器帮助程序对象和其它浏览器插件（即使浏览器没有运行）
- 等等
当然，快速扫描SDK可提供多项选择（例如，为提高扫描速度允许扫描以上列表中的部分内容）

b) 相当比例的“相关”文件属于操作系统或知名软件公司。服务器端应当将其列入白名单排除扫描。一经证实，立即将这些文件的扫描结果缓存。

c) BitDefender平均每天发布5000条恶意软件特征码更新。一个特征码的大小是64字节，那么现有的产品平均每日的下载流量约为320K字节。而快速扫描运行一次的总流量仅为3K字节。

d) 我们看到，2008年出现的恶意软件比1997-2007年的总和还要多。病毒库越来越庞大，但95%的可执行恶意软件是静态的，也就是说，使用固定偏移/固定大小的校验和，就可以轻松地侦测并识别出来。BitDefender的“Q”扫描技术将庞大笨重的特征码放在我们的服务器上，而客户端只需执行几个校验程序即可。

3. 快速扫描客户端组件
- 隐藏进程/隐藏模块的检测——快速扫描可以检测到隐藏的进程和模块
- 键盘记录器检测——快速扫描可以侦测到用户模式下的键盘记录器（基于Windows钩子）。
侦测内核模式键盘记录器显然需要访问内核模式。如有需要，我们将集成一个基于侦测器的内核模式。
- 直接访问文件系统—快速扫描使用BitDefender SimFS组件，可以直接在NTFS磁盘分区上访问文件。（绕过最新恶性循环软件所用的保护机制）
- 启发式分析—见IMD一节
- 缓存管理程序—快速扫描对已知的干净文件进行缓存避免重复扫描，除非碰到哈希不匹配的情况（如文件被修改）。
- 通信模块—负责客户端和服务器的通信

4. 快速扫描服务器组件
- 白名单管理器(40+ TB)—为了剔除已知的干净文件，服务器首先检查本地的白名单。
- 扫描服务—启动所有引擎，服务将被直接连入BitDefender反病毒实验室，实现同步更新。
- 标记数据库—见IMD一节
- 通信模块—负责客户端/服务器通信

5. IMD
IMD（=智能恶意软件侦测器）是一种服务器端技术，在尽可能缩短扫描时间的同时，提高病毒侦测率。IMD的客户端部分负责收集IMD标记。典型的标记包括：
- 文件内容标记：平均信息量（不论文件是否压缩/加密），PE结构异常（最后一节启动项，最后一节可写入/可执行，可选文件头与数据目录项不匹配，启动项有分支指令，可疑的导入表格等），可疑的导入功能/库，可疑的导出功能，可疑的打包文件/加密文件等。
- 内存内容标记：内存中的代码段与磁盘上的代码段是否匹配（当然要考虑到位置的变化），可否在进程内存图像，可疑字节序列中找到（漏洞攻击，壳代码，已知恶意的二进制代码等）。
- 系统内容标记：进程/模块是否隐藏，可疑网络活动（等待特定的端口，在特定的端口接入服务器），GUI或非GUI进程，从桌面/开始菜单连入，添加/移除菜单 出现卸载项目等等。
IMD服务器部分的职责是在增加全套服务器端标记（地理，分布，传播）时管理IMD标记。服务器查询一系列的规则之后决定该文件是否可疑。

6. 典型的操作流程
a) 客户端试图侦测隐藏的进程/模块，键盘记录器等
b) 客户端解析活跃的进程/模块/系统热点，并创建一套“内存哈希”（简称MH）。目前我们对每个对象统计12个不同的区域校验和，其中6个有特定的可执行代码。
c) 客户端检查本地缓存中是否有MH，如果一个文件在本地缓存中，说明它已经被处理过。
d) 对于新文件， 我们也创建一套“文件哈希”（简称FM）。目前我们统计12个不同区域的校验和，其中6个有特定的可执行码。值得一提的是，正常情况下，6个可执行码特定内存哈希应当与6个可执行码特定文件哈希匹配。如有不匹配，则是由于运行中的打包程序/加密程序或自我修正码需要进行额外的处理。
e) 客户端将哈希发送给服务器，服务器参照BitDefender白名单迅速检查哈希；约90%的文件已知，无需扫描。当然，已知文件将被添加到本地缓存中。
f) 校验和中至少要有一个与病毒特征匹配，服务器才会要求更多信息，例如：“请发送CRC32，位于X处，大小为Y字节的某块”。通过这种通信，服务器就得到文件是否感染的回复。
在这一步骤，快速扫描将侦测到大多数可执行恶意软件；但仍可能有一些活跃的恶意软件未侦测到。例如，采用固定偏移校验和，以及需要感染文件时（如文件传染）时，侦测不到恶意软件。对于这种特殊情况，我们将为行为扫描提供补充支持。
g) 快扫描将利用IMD通过一系列规则决定哪些是动态扫描相关文件。一些极其简单的规则，如：
- 文件已经以数字形式签署，签名匹配，进程有可视窗口和卸载项=>文件干净
- 文件的PE结构不正常，平均信息量显示已被加密，进程隐藏且等待端口1337 =>文件可疑。
值得一提的是，IMD规则可能更加复杂，并且依赖服务器端标记，如分布和传播数据等
h) 可疑文件（可疑文件块）被发送到快速扫描服务器，BitDefender所有的扫描引擎将对其进行处理。但这些可疑文件的扫描结果将被缓存在我们的服务器中（故上传具有一次性）。大部份情况下，IMD将忽略干净文件，仅上传可疑文件。
此时，快速扫描将每一个未知文件视为可疑文件，将其上传进行行为扫描（但现在客户端需上传的文件不到10%，且只上传一次）。IMD将基本消除文件上传的需要，使扫描速度更快。

7. 自我保护
为了保护快速扫描，防止某些恶意软件试图阻止其在终端运行，我们建议采用以下类型的自我保护。
一个简化的情景模式涉及三台计算机：用户，快速扫描服务器和OEM应用服务器。扫描成功后，快速扫描服务器将生成一个一次性密钥；用户使用该密钥可连入OEM应用服务器。如果密钥有效，OEM应用服务器将知道用户已经完成了扫描。否则，OEM应用服务器将显示信息“恶意软件未完成，你可能被感染！”，并拒绝访问。

风行黑白

了解了………………

xxqqwx

来了解下。

happyfrog

学习了

leo_yuhao

2012我的最爱啊

麻辣豆腐

我chrome上装了个BD扫描的扩展不知道咋样呢

红蛋蛋

期待2012更给力