主题：【原创】反病毒软件——我的道听途说 [0] -- 钢爪

【在西西河潜水两年后的第一帖。本连载含有大量主观看法和第三方消息，真实性请自行分辨。】

世界上只有两种查毒方式：文件数据挖掘和执行路径分析。

没有第一百二十八代立体多维度云查杀，没有第二百五十六代启发式拦截，没有第五百一十二代人工智能自学习引擎，没有第一千零二十四代动态仿真专家系统，没有第二千零四十八代智能主动防御，只有钩子、文档分类算法、决策树、黑白名单和专杀。当然，也少不了支撑起这一切的IT民工们和沉浸在虚假的安全感中的用户们。

只要搜索引擎报木马就不打开，现在什么事都没有

专杀，还是专杀

如果说现在反病毒软件的技术含量比以前低，恐怕是没有人信的。

其实这都源自于病毒编写门槛的降低。现在的病毒不再是为了炫耀技术，而主要是为了盗取帐号密码等信息。也可以说现在的病毒更像木马，而木马更像病毒，两者之间的界限已经基本消失了。

于是反病毒软件现在用什么方式解决问题呢？

文件散列。MD5，SHA-1，SHA-2。在服务器上收集大量的文件散列，也就是黑白名单。客户端在本地直接算好文件散列然后去服务器查询，遇到不认识的文件则自动上传，由服务器在虚拟机中运行并给出结果。

那稍微有点技术含量的，比如感染文件和多态变形的病毒怎么办？

专杀，还是专杀。部分有脚本引擎的厂商会编写针对性的查杀脚本，而其余的则只好把病毒名和处理逻辑写死在代码里。而这一切当然是自动化工具无法完成的任务，只能由IT民工们加班加点给出解决方案。

指的是可执行文件。电影啥的没事。

实在要下就去大一点的网站，那些乱七八糟的网站有木马的概率非常大。

俺家里太下载机，专门下载电影电视剧，为了速度快点，连防毒软件都没装，照样工作的好好的，嘿嘿

怎么也要搞一个配置文件吧。

以前一直以为前网络时代，中国最后技术含量的IT公司就是杀毒软件了。

主要的方法还是古老的缓冲区溢出，及时更新补丁是最重要的，另外就是有大量同样的内容时，选择最可靠的站点。

如果不能做到单向传输，无论是单独的上网机器还是虚拟机，都没有绝对安全可言。

启发，启发你个头

反病毒软件看起来如此神秘，都要归功于传说中的启发式扫描。这种伴随反病毒软件成长起来的技术，号称能检测各种未知病毒。

现在不少反病毒软件的启发，不过是一堆歪门邪道的组合体，基本的设计思想也就是“猫论”。当然有些反病毒软件自带小型虚拟机，虚拟机给出的结果也许会靠谱一些。但众所周知虚拟机是很慢的，于是也就同样需要一个前置的启发式扫描流程来过滤掉一些看起来不可疑的程序。

这是怎么做到的呢？

比如各个编译器生成的可执行文件头是不一样的。那么收集常见的可执行文件头信息，其余的都是可疑。基址不对？可疑。对齐长度不常见？可疑。代码长度太小？可疑。没有版本信息？可疑。

而反病毒软件最喜欢的就是可执行文件的导入表了。从文件头定位到导入表之后开始逐一检查。总共没几个API，其中有个还是URLDownloadToFile？你就是木马下载器。OpenProcess + TerminateProcess？你就是杀软终结者。

这启发当然更少不了字符串了。你敢在程序里写上反病毒软件的进程名和官网域名吗？有本事你还去读取一下 hosts 文件？杀你没商量。

把所有的这类高精尖技术的判定结果根据经验算一下权重，说不定高兴了再乘上一个随机数，就是传说中的启发式扫描的结果了。

这也就是现代巫医的跳大神技术。

求个心理安慰，也没打算靠他咋的。

当然它不赔钱，但咱也没花钱不是。

好多人觉得杀软包打天下，从不更新从不扫描。

那装跟没装又有啥区别（可能唯一区别是占内存影像速度）

基本上有好的习惯（及时补丁及时更新定期查杀）就可以了。

或者说没啥重要东西的机器 会ghost后，裸奔就裸奔呗。

分分钟的事

是指病毒会通过虚拟机主动感染host，还是虚拟机本身会感染病毒？如果是前者，比较令人吃惊。如果是后者，虚拟机和host在病毒面前本来也没什么区别， 虚拟机也只不过是方便用snapshot回复原态而已。

但这不是技术上的问题，而是没有太大的价值，正如楼主所说的，病毒技术实际上在“退化”（当然这是好事），早先单纯炫技性质的病毒开发几乎消亡了。

我所说的不绝对安全是有前提的，就是没有做到单项传输数据，你把虚拟机里面的东西再弄回到宿主上，那当然什么都会发生了，仅此而已，不必惊讶^o^

X系统就不说了，

win下面我也是裸奔的

我的综旨是：

除非必要，不用主流的软件，尽量用第三方解决方案

小心点，谨慎点，注意点，不乱点（就是善用反键）

基本上能过滤掉绝大部份危害

沙盘也不错，就是设置的时候有点麻烦，另外就是自己能分清哪些在沙盘里跑，哪些数据要保存下来

白加黑

有了跳大神般的启发式扫描技术，误报率和漏报率自然都会很高。漏报不要紧，反正用户一年也不会遇到几个病毒，但这误报可怎么办呢？

聊天软件一开，防键盘记录程序被杀了；游戏一开，外挂和反外挂系统一起被杀了，反病毒软件厂商的论坛里怨声载道，于是只好使出撒手锏：白名单。

基础的白名单很好做，装上不同版本的操作系统，扫一遍文件，把散列算出来就好了。而软件就鱼龙混杂，除了自己添加和监控常用软件的各个版本以外，还需要有审核人员盯着各个渠道反馈的误报，还有客户端主动收集的流行文件的判定。

为了节省人力成本，还有一些投机取巧的方法，比如不报有数字签名的文件。这在一定程度上是可靠的。Authenticode证书申请费漫天要价且手续繁琐，所以一般病毒作者买不起证书。

万一有人买得起怎么办？

这时候就需要黑名单了，也就是直接将这个证书封锁掉。但如果是偷来的正规厂商的证书，则只好把文件加入黑名单，或者在检查数字签名的过程中把这个证书当作无效证书处理。

有了云之后白名单可以联网，于是就有了TB级的海量白名单库，启发起来就更加肆无忌惮。新出现的程序稍微有点多余的动作都会有被误报的危险。