微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 终于领悟了主动防御 【转】  

作者:
标题: 终于领悟了主动防御 【转】
王子的天下
禁止发言





积分 126
发帖 126
注册 2010-3-24
#1  终于领悟了主动防御 【转】

传统的特征码技术虽然大势已去,但是目前仍能发挥余热,在微点等主动防御软件中还是以此来识别已知病毒、木马的。

不过对于未知病毒我们必须有一套可行,不易被绕过的方法来识别它们。目前盛

行的病毒变形、多态技术,使得特征码技术没法做到这一点,那么从行为的角度来考虑的话,就是化代码特征为行为特征,来识别未知病毒。

主动防御,我个人认为是这个大思想(行为技术)下的一个方式方法。当然还有

其他的思路和方法。主动防御以监视为基础,当发现一个行为或一系列行为可疑

时,该程序就进入了主动防御重点分析的状态,分析其衍生物,同时用特征码的

方法分析其关联的文件是否是病毒、木马。如果能够准确的识别出来是已知病毒

的话,绝不手软;如果被识别出是未知病毒的话,询问用户,是否放行等。

要推动主动防御技术,必须不断的研究攻防技术,例如自启动,代码注入,kill杀

软,注册表操作,文件操作,Rootkit等等,这些目前是绝对的热点,主动防御我

个人认为就是防的这些,因此能绕过,很强的!也是很有技术价值的;能防住的

就是更有价值的了。这才是攻击与防御最真实的较量!

另外,虽然有很多人认为,杀软在明处,写病毒,写木马可以通过测试,发现其

可绕过之处,从而写出可行的病毒、木马。不过什么都是相对的,只要主动防御

杀软能够快速得到这个样本,学习之,再完善自己的核心技术。这样就可以抵御

一批使用了这个绕过技术的病毒、木马,岂不乐哉!——事实上,主动防御这种

发展模式,最根本的优势是改变了传统杀软的发展模式,化被动为主动,主动的

去研究新鲜的绕过技术,完善自身系统,研究技术虽然要比研究病毒单个样本的

特征码成本高的多,但是研究出的技术起到了抵御一批病毒、木马的作用。因此

一类病毒中只需要研究分析一个即可!我认为在这样一个病毒、木马泛滥成灾的时代里,主动防御的思想反而降低了系统的成本。

那么主动防御没有缺点吗?我认为最大的问题可能就是“查毒”的问题了,传统

杀软可以使用特征码的方式查毒,速度很快。然而主动防御面对的是正在运行的

程序,是动态的被识别出是否是病毒的。要想实现查毒的功能:

一种方式就是结合虚拟机技术,在虚拟机中运行程序来识别。面对的问题是:显

然效率不会高,如何提高效率真是很头疼,我的想法是在网络上部署很多虚拟

机,一个主机要查毒,那么可以把这些要查毒的程序,分发给网络上部署的不同

的几个虚拟机,大家并行查毒。这样貌似可以大幅度提高效率,而且被查毒的主

机不是很累。另外一个问题就是需要虚拟机和真实系统不能差异太大,甚至需要完全一致;

另一种方式就是直接在真实系统中运行,这需要在查出是病毒后,能够有效的回

滚到病毒运行前系统的各种状态,这就需要在操作系统上建立一套可行的事务系

统,负责do和redo等操作;

第三种方式可以考虑与影子、沙箱系统的结合,放到沙箱系统中去执行,然而沙

箱目前不是很完善,很多功能没法在沙箱中实现,病毒的行为可能和在真实系统

中的行为有很大差异,甚至没有完成可疑行为,就异常结束了,这样会导致“漏网”。

以上第一、三种方式共同面对的问题是:病毒会很聪明,发现自己在虚拟机、沙

箱或影子中,老子直接退出,不玩了,哈哈!这样主动防御想查毒,而病毒不合

作。这就类似体检的时候,测体重,你不上秤,怎么称体重?!——这就需要主

动防御软件去研究如何“哄骗”病毒木马,而病毒木马需要研究如何防止被“欺

骗上当”——仔细想想,是很有意思的,这类似一个博弈,一个循环,就像在下

棋,一人一步。我们今天的想象也许就是明天攻防技术的表演。

我没法评判主动防御这步棋,目前还没有想的很清楚,只是自己忽然领悟到了一

些东西,赶紧写出来!大家看看,呵呵!

哎!还不知道自己毕设该怎么做呢,要是做成主动防御的方式,那就需要先深入

研究上面的那些技术,之前做的行为监视暂时放下,后面也许会用到。

※ ※ ※ 本文纯属【王子的天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-22 09:19
查看资料  发送邮件  发短消息   编辑帖子
崖边鹰
中级用户





积分 215
发帖 218
注册 2007-5-3
来自 福州
#2  

说到底,楼主还是对主防转不过脑筋

※ ※ ※ 本文纯属【崖边鹰】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点+?===》微点,就微点。
2010-4-23 11:30
查看资料  发送邮件  发短消息  QQ   编辑帖子
崖边鹰
中级用户





积分 215
发帖 218
注册 2007-5-3
来自 福州
#3  

还在旧时代里打转啊

※ ※ ※ 本文纯属【崖边鹰】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点+?===》微点,就微点。
2010-4-23 11:31
查看资料  发送邮件  发短消息  QQ   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#4  

哎~
做主动防御之难
好比做程序试图通过 图灵测试
实际上,主动防御就是 图灵测试 啊~~~
是这么好做的么~

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2010-4-24 21:54
查看资料  发送邮件  发短消息  QQ   编辑帖子
涛声狼
禁止发言





积分 41
发帖 41
注册 2010-1-3
#5  



  Quote:
Originally posted by 崖边鹰 at 2010-4-23 11:30:
说到底,楼主还是对主防转不过脑筋

你看不到楼主后面的 转字? 这是楼主转帖!

※ ※ ※ 本文纯属【涛声狼】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-4-26 11:32
查看资料  发送邮件  发短消息   编辑帖子
jiang790
中级用户





积分 222
发帖 218
注册 2010-4-13
#6  

学习下,但是还是不明白

※ ※ ※ 本文纯属【jiang790】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-6-18 12:26
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号