知识帖:启发式,虚拟机,HIPS,行为杀毒
很多安全厂商在努力,不断研究完善新的技术和检测方法,以应对各种未知威胁。
启发杀毒
启发杀毒技术是现在对付未知威胁的主要手段,启发分析技术可以分析程序编码,来判定程序是否具有恶意。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。不同于以特征码为基础的方法,启发杀毒技术可以检测出已知和未知的病毒,但是如果启发杀毒技术控制的不好,会产生不少误报(这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因)。目前世界主流杀毒软件厂商大多集成了这种技术,目前在启发技术上最成熟的是Eset公司的ESET NOD32,他独特的虚拟机启发技术对于各种未知威胁的识别有很高的效率,同时更难得的是误报情况控制的非常好。凭着这项绝技,他世界各地的测试中获奖无数,其中在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中常常位居第一!
虚拟机杀毒
虚拟机技术在杀毒软件中现在也有非常多的运用,特别是在启发杀毒技术中,一些启发技术比较成熟的杀毒软件(譬如ESET NOD32、DR.Web、McAfee等)都在他们动态启发杀毒技术中运用了虚拟机技术。
启发虚拟机杀毒技术的原理是这样:他们在读取文件的时候,自动创建一个简化的虚拟机环境让文件在环境中运行,如果在虚拟机环境中发现文件有危险的行为就直接删除或者报警!不过现在由于效率问题,这种简化的虚拟机完整程度还远远不能和我们一般理解的VMWare的那种虚拟机相比,同时也是效率问题,行为判断不能做的非常复杂。所以现在一些设计先进的病毒,能够识别出这种简化虚拟机环境和真实环境的差别,在这种环境下不发作!所以随着当前硬件的发展(目前特别是在CPU上加入虚拟化技术已经越来越多),为了对付一些智能病毒,只能在兼顾效率的情况下越来越完善虚拟机和行为判断技术。
HIPS技术
HIPS(主机入侵防御体系),也被称为系统防火墙,虽然这种技术出现已经有几年了。当时是这二年才逐渐完善,这二年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用他们来做分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被HIPS检测到,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!现在开始风行的行为杀毒其实就是HIPS功能的智能化,不过由于智能判断算法和行为数据库还需要完善。目前的行为杀毒还很难100%的拦截危险行为。
HIPS的功能分类有Application Defend(简称AD)应用程序防御体系, RegistryDefend(简称RD)注册表防御体系, File Defend(简称FD)文件防御体系三种。AD是利用MD5或者SHA效验技术来验证程序文件的变化,RD是控制了注册表的关键值的读写,FD是用来控制关键的文件和文件夹的读写。
FD功能先被大家充分认识是著名的迈克菲公司的VirusScan Enterprise 8.0推出,他集成了比较完善的文件防御功能。很快就在世界上一些著名企业中开始流行开来,成为他们对付各种未知威胁的利器。新的8.5版又集成了RD功能。
后来随着System Safety Monitor、Process Guard Port Explorer、GhostSecuritySuite等一批功能各异的HIPS软件的逐渐出现,大家对于HIPS软件也越来越了解。一些杀毒软件和防火墙也开始逐渐集成HIPS功能。著名的防火墙BlackICE 今年发布的3.6版增加了AD功能。
随着大家对HIPS的了解深入,不少人就发现他所有的进程或程序行为都拦截并汇报比较麻烦并且对用户的要求也比较高。于是就有厂商来建立行为数据库和白名单来使的HIPS智能化,不再是什么都报。这样就开始形成了下面的行为杀毒技术。在虚拟机启发杀毒技术中也是需要简化的行为数据库来判断未知威胁!
所谓hips(host intrusion prevention systems,主机入侵防御体系)出现于90年代末期,也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.
二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址;或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程;或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!
上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大就不拿到这里来说了.但总的来说目前hips不能取代杀毒软件和网络防火墙的作用.对于普通用户来说,也不是必需的.
行为杀毒
今年以来行为杀毒技术逐渐开始风行,行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。和启发杀毒技术特别是利用了虚拟机的启发技术不同,行为杀毒乃是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。
如今的行为杀毒技术可监控系统中各式各样的事件。可以控制各种危险的活动,并将所有对系统设置和程序的变化资料储存下来,并设立完善的行为白名单。如果应用程序有危险的动作,行为杀毒模块会提醒用户,指出这种行为的危险性并同时拦截等用户处理。拦截工具还可拦截任意Dll注入其他处理程序的行为。拦截工具还可检测到Rootkit行为。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
