» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 主动防御型杀毒软件的技术探讨（转帖）   作者: 标题: 主动防御型杀毒软件的技术探讨（转帖） 王者天下 禁止发言 积分 266 发帖 262 注册 2009-11-24 #1  主动防御型杀毒软件的技术探讨（转帖） 间谍程序、游戏木马、黑客程序等网络病毒的频频爆发，使国内外反病毒领域开始意识到，单纯依靠“特征码技术”已经不能适应反病毒需求。 　　那么什么是“主动防御”，它的实现技术又是怎样的呢?本人在这里简单献丑一下，说得不对的地方欢迎扔鞋砸鸡蛋! 　　所谓“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数的人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者罪犯都有这些先兆。因此“主动防御”并不能100%发现病毒，它的成功率大概在60%-80%之间。如果再加上传统的“特征码技术”，几乎可以发现100%的恶意程序了。在国外，诺顿，Kaspersky，McAfee等等杀毒巨头，都已经向“主动防御”+“特征码技术”过渡了，这是杀毒软件的必然发展趋势。 　　防火墙是一个运用“主动防御”技术的典型例子，大家都用过防火墙了，对于防火墙经常询问用户是否放行一个进程访问网络，或者有不明连接进入本机而发出警告是否印象深刻呢?其实防火墙就是在全程监视进程的网络行为，一但发现违反规则的行为就发出警告，或者直接根据用户设定拒绝进程访问网络。当然，现在的防火墙一般都把系统网络进程(比如services.exe，svchost.exe，lsass.exe等)记在“受信名单”里，这些进程是默认允许访问网络的，如果禁止的话，操作系统就不正常了，这也是现在很多病毒和木马都喜欢远程注入这些系统进程以突破防火墙而访问网络的原因。 　　下面重点说一下“主动防御”的实现技术。大家都写过程序，知道在一个程序里如果要实现自己的功能就必须要通过接口调用操作系统提供的功能函数，在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在WINDOWS里一般是通过DLL里的API提供，也有少数通过INT 　　2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过)，就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星杀毒，大家可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。 　　最后让我们设想一下一个“主动防御”型杀毒软件的一般流程:通过挂接系统建立进程的API，杀毒软件就在一个进程建立前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令(一般正常软件不会有这些指令)，就提示，如果用户放行，就让进程继续运行;接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告;如果收发数据违反了规则，发出提示;如果进程调用了CreateRemoteThread()，则发出警告(因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒木马用得最多)。...。可以想象，未来我们运行程序可能要被提示多次，访问网络也被提示多次，各种各样的提示将大多数人搞的昏头转向。想安全就要管严，放松就不安全了! ※ ※ ※ 本文纯属【王者天下】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-20 03:03 786314476 注册用户 积分 61 发帖 61 注册 2009-3-16 #2   学习啦，谢谢分享。 ※ ※ ※ 本文纯属【786314476】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-20 12:55 lsj301 银牌会员 积分 1388 发帖 1382 注册 2009-3-16 来自 甘肃兰州 #3   看看也快乐. ※ ※ ※ 本文纯属【lsj301】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我们一直在默默支持微点! 2010-1-20 16:11 qidao15 注册用户 积分 64 发帖 64 注册 2010-1-17 来自 湖南 #4   写的不错 ※ ※ ※ 本文纯属【qidao15】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-1-20 19:40 8530 注册用户 积分 62 发帖 62 注册 2009-12-5 #5   好帖。 ※ ※ ※ 本文纯属【8530】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 酸甜苦辣早已留在记忆深处 清晨日暮阳光星光为我引路 春夏秋冬希望就在不远处 2010-1-20 21:33 magicface 中级用户 积分 340 发帖 347 注册 2009-3-8 来自 首都 #6   看來掃描還是必要的 ※ ※ ※ 本文纯属【magicface】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 创世之初，天是混沌，大地是黑暗。神的灵游于水面，神说：“要有光。”就有了光。 2010-1-21 07:40 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号