- 程序有所改变。发帖如还有问题请报告
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】反病毒软件——我的道听途说 [0] -- 钢爪
家园 装杀软就跟买保险一样 求个心理安慰,也没打算靠他咋的。
当然它不赔钱,但咱也没花钱不是。
好多人觉得杀软包打天下,从不更新从不扫描。
那装跟没装又有啥区别(可能唯一区别是占内存影像速度)
基本上有好的习惯(及时补丁及时更新定期查杀)就可以了。
或者说没啥重要东西的机器 会ghost后,裸奔就裸奔呗。
分分钟的事
家园 那怎么办?裸奔?心里不踏实啊。 家园 【原创】反病毒软件——我的道听途说 [1] 专杀,还是专杀
如果说现在反病毒软件的技术含量比以前低,恐怕是没有人信的。
其实这都源自于病毒编写门槛的降低。现在的病毒不再是为了炫耀技术,而主要是为了盗取帐号密码等信息。也可以说现在的病毒更像木马,而木马更像病毒,两者之间的界限已经基本消失了。
于是反病毒软件现在用什么方式解决问题呢?
文件散列。MD5,SHA-1,SHA-2。在服务器上收集大量的文件散列,也就是黑白名单。客户端在本地直接算好文件散列然后去服务器查询,遇到不认识的文件则自动上传,由服务器在虚拟机中运行并给出结果。
那稍微有点技术含量的,比如感染文件和多态变形的病毒怎么办?
专杀,还是专杀。部分有脚本引擎的厂商会编写针对性的查杀脚本,而其余的则只好把病毒名和处理逻辑写死在代码里。而这一切当然是自动化工具无法完成的任务,只能由IT民工们加班加点给出解决方案。
家园 【原创】反病毒软件——我的道听途说 [2] 启发,启发你个头
反病毒软件看起来如此神秘,都要归功于传说中的启发式扫描。这种伴随反病毒软件成长起来的技术,号称能检测各种未知病毒。
现在不少反病毒软件的启发,不过是一堆歪门邪道的组合体,基本的设计思想也就是“猫论”。当然有些反病毒软件自带小型虚拟机,虚拟机给出的结果也许会靠谱一些。但众所周知虚拟机是很慢的,于是也就同样需要一个前置的启发式扫描流程来过滤掉一些看起来不可疑的程序。
这是怎么做到的呢?
比如各个编译器生成的可执行文件头是不一样的。那么收集常见的可执行文件头信息,其余的都是可疑。基址不对?可疑。对齐长度不常见?可疑。代码长度太小?可疑。没有版本信息?可疑。
而反病毒软件最喜欢的就是可执行文件的导入表了。从文件头定位到导入表之后开始逐一检查。总共没几个API,其中有个还是URLDownloadToFile?你就是木马下载器。OpenProcess + TerminateProcess?你就是杀软终结者。
这启发当然更少不了字符串了。你敢在程序里写上反病毒软件的进程名和官网域名吗?有本事你还去读取一下 hosts 文件?杀你没商量。
把所有的这类高精尖技术的判定结果根据经验算一下权重,说不定高兴了再乘上一个随机数,就是传说中的启发式扫描的结果了。
这也就是现代巫医的跳大神技术。
家园 举的例子太想当然了 这么搞的话,误报量会把企业弄死。想想诺顿最近几年就误报了一次系统文件,被各个媒体扎小人扎了多久。
不要以为白名单库就可以彻底解决,一个启发式算法误报率太离谱的话,在反病毒企业内部就会被刷掉。评价启发式算法一个很重要的指标就是误报率,对特征的选取都是很细致的,要考虑的东西很多。OpenProcess + TerminateProcess?拿这两个API在导入表作为特征?奖金不要被扣得太快哦!
家园 【原创】反病毒软件——我的道听途说 [3] 白加黑
有了跳大神般的启发式扫描技术,误报率和漏报率自然都会很高。漏报不要紧,反正用户一年也不会遇到几个病毒,但这误报可怎么办呢?
聊天软件一开,防键盘记录程序被杀了;游戏一开,外挂和反外挂系统一起被杀了,反病毒软件厂商的论坛里怨声载道,于是只好使出撒手锏:白名单。
基础的白名单很好做,装上不同版本的操作系统,扫一遍文件,把散列算出来就好了。而软件就鱼龙混杂,除了自己添加和监控常用软件的各个版本以外,还需要有审核人员盯着各个渠道反馈的误报,还有客户端主动收集的流行文件的判定。
为了节省人力成本,还有一些投机取巧的方法,比如不报有数字签名的文件。这在一定程度上是可靠的。Authenticode证书申请费漫天要价且手续繁琐,所以一般病毒作者买不起证书。
万一有人买得起怎么办?
这时候就需要黑名单了,也就是直接将这个证书封锁掉。但如果是偷来的正规厂商的证书,则只好把文件加入黑名单,或者在检查数字签名的过程中把这个证书当作无效证书处理。
有了云之后白名单可以联网,于是就有了TB级的海量白名单库,启发起来就更加肆无忌惮。新出现的程序稍微有点多余的动作都会有被误报的危险。
家园 "把病毒名和处理逻辑写死在代码里" 怎么也要搞一个配置文件吧。
以前一直以为前网络时代,中国最后技术含量的IT公司就是杀毒软件了。