微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

 11  1/2  1  2  > 
作者:
标题: 再论行为分析PK启发式扫描
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#1  再论行为分析PK启发式扫描

大家可以根据自己的感性的理性的认识来阐述对行为分析和启发式扫描的理解

不一定都得写对比!写单一的行为分析和启发式扫描的认识都可以!

欢迎大家畅所欲言!

大家跟贴讨论吧!

下面为前贴(http://bbs.micropoint.com.cn/showthread.asp?tid=20875)好的留言



2楼 来自freedom11

3楼 来自autorun

4楼 来自微点专家

5楼 来自dsl5

6楼 来自qq2008444

[ Last edited by lotei on 2007-11-19 at 01:01 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:55
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#2  

启发杀毒技术是现在对付未知威胁的主要手段,启发分析技术可以分析程序编码,来判定程序是否具有恶意。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。

行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。和启发杀毒技术特别是利用了虚拟机的启发技术不同,行为杀毒乃是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。
                                                                                   ------freedom11

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:56
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#3  

启发式扫描是基于给定的判断规则和定义的扫描技术,若发现被扫描技术中存在可疑的程序功能指令,则作出病毒的判断。简单的说启发式扫描就是一个反编译器。

例如:如果某个程序对其反汇编后其汇编代码里含有诸如可疑的跳转结构、未做任何声明直接写盘动作等病毒常用的功能指令(属于反汇编后的一组功能指令,不是一个单一的指令),一旦被扫描的程序含有一定多类似的这些功能指令,就可以对被扫描程序作出病毒判断。

所谓的“动态启发分析技术”应该是启发式扫描和虚拟机技术的结合。单纯的启发式扫

描弊端太大,只有结合虚拟机技术才能更好的处理变型病毒。

行为分析是一种程序一系列行为的逻辑判断技术。

比如:一个程序运行后,拷贝自身到系统目录下(system32或system下),生成动态链接库,搜索系统进程,尝试注入系统进程成为其一个线程,上述一系列行为没有任何用户互动的界面显示,那么这个程序就可以判断为一个病毒程序了。

行为分析是程序运行后的行为组合逻辑判断,而启发式扫描只是对程序的反汇编代码功能指令的一个模糊判断。
                                                                                              ------autorun

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:57
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#4  

启发式扫描,一样的是过期药啊,没样本照样不行。
行为查杀是根据程序的行为来确定是否是有害程序,即使不升级,也能查杀绝大大大部分的未知病毒。
                                                                                               ---------微点专家

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:57
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#5  

启发式杀毒

  病毒和正常程序的区别可以体现在许多方面,比较常见的如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则没有会这样做的,通常它最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。

  启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。

  启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率, 而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,一次质的飞跃。在新病毒,新变种层出不穷,病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。

个人理解:启发式实际是有好几种,包括扫描启发和监控启发。

扫描启发也分为两种,第一种就是单纯减低匹配的特征码量(原本要80%相似的,由于该病毒活跃,它人为减少到50%相似,因此误报率高)
第二种,在减低匹配量的同时检查各段匹配特征的顺序,还有就是各杀软为防止变种已提前加入的一些可能的变种特征,并且在扫描的时候加以对比!

监控启发,例如一个程序运行后向某地方释放什么什么文件(文件名与病毒文件名匹配)该文件又释放什么文件(名称也匹配)就杀之!某程序脱去一个特定的壳后执行连网操作...............这类行为严格来说不是病毒行为,至于连网就要看它怎么连!(正因为按照这种降低标准的规则推断,启发式的误报是相当高的,号称启发强而且毒库大的Bitdefender曾经一次扫描误报我十几个正常软件)

行为分析

主动防御理论,是对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。简单说来,传统的计算机防病毒软件是在病毒发生后,分析提取这些病毒的数据字符串作为新病毒特征进行防御,用户必须定期升级杀毒软件,才能实现防病毒的目的。这种滞后、事后的防御显然不能适应信息发展的需要。而主动防御软件则根据病毒实施的侵害行为对其进行主动识别和捕捉,能够有效预防未知病毒的出现。

主动防御是属于精细型行为分析,程序指令进入系统内核执行的时候,通过守住各个API关口,阻止并分析行为的目的,然后决定是否放行!
就好象高速公路设立一个关卡,检查车辆的状况,货物,目的地...............
同时又好象一台钢琴,记录你按了那些键,这些键组合起来会构成什么旋律.......
                                                                                   -----------------dsl5

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:58
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#6  

行为分析和启发式扫描其实天职一样,都是为了用户的安全所衍生的产物
就像行为分析和HIPS一样
个人认为没有必要去比出他们的高下
就如nasdaq所说的,使钳子(当然不止钳子咯)的高手叫钳工,使床子的高手叫车工,高级钳工和高级车工都是优秀的高级人才,并没有高下之分。。。

当然硬要说的话,我个人看好启发式,它比行为分析早被提出,技术到现在也比行为分析成熟.而行为分析因为规则互相间保密,行为分析没有一个准确的定位判断什么程序动作是合法什么程序动作是非法,只能靠开发人员"经验"判断,这个也是行为判断误报多的主要原因.正常的程序也有可能调用所谓的"危险"API,做所谓的"危险"程序行为,这对新手来说每一个选择都是一种冒险,从这点来考虑,那些说微点是高级HIPS的人应该也是这么认为的.
                                                                                   ------------qq2008444

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 00:59
查看资料  发送邮件  发短消息   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#7  

几位评论的都可以算基本正确....但是却都是理论知识...有书可对.....

不过用户要的是实战..不是理论....

要不是因为恐技术被利用....我早就想做个关于各种启发式实战的录象了

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 14:28
查看资料  发送邮件  发短消息  QQ   编辑帖子
sidineyqiao
版主

体育娱乐休闲版主


积分 1697
发帖 1584
注册 2007-8-2
来自 庆祝微点上市一周年624-630
#8  



  Quote:
Originally posted by cici584522 at 2007-11-19 14:28:
几位评论的都可以算基本正确....但是却都是理论知识...有书可对.....

不过用户要的是实战..不是理论....

要不是因为恐技术被利用....我早就想做个关于各种启发式实战的录象了

楼上的利用什么技术?

有点晕

※ ※ ※ 本文纯属【sidineyqiao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 14:38
查看资料  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#9  



  Quote:
Originally posted by cici584522 at 2007-11-19 14:28:
几位评论的都可以算基本正确....但是却都是理论知识...有书可对.....

不过用户要的是实战..不是理论....

要不是因为恐技术被利用....我早就想做个关于各种启发式实战的录象了

其实这种东西很难进行所谓的“测试”
在客户端上一些客观原因都有可能导致测试结果不准确
至于如何进行判断谁优谁劣。。。。呵呵。。。。难啊

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-11-19 15:20
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#10  



  Quote:
Originally posted by cici584522 at 2007-11-19 14:28:
几位评论的都可以算基本正确....但是却都是理论知识...有书可对.....

不过用户要的是实战..不是理论....

要不是因为恐技术被利用....我早就想做个关于各种启发式实战的录象了

呵呵!看来东兄对启发也很有研究!另外理论和实践同样很重要,也希望东兄能够抛砖引玉,出点实践的东西看看!启发的东东其实个人觉得好过!而且我也一直说过启发扫描是很依赖虚拟机的,而且目前出现了很多带虚拟机功能的壳,没有脱壳能力的很好支持,你再强的启发,再成熟的引擎架构都没有用的!另外也期待东兄能带来一些不加壳过启发的一些好方法!呵呵!

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-19 17:50
查看资料  发送邮件  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号