作者KotoriCute (Lovelive!)
看板AntiVirus
标题[讨论] 2017各款防毒软体技术原理剖析 (前言)
时间Sat May 27 02:38:57 2017
在巴哈看一篇关於各家防毒软体的技术分析文章就转过来
如果有转载需求请记得附上以下原始网址
※本文发布於巴哈姆特电应板以及部落格 IT Works,转贴请附上原文连结
https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488
--
近年来勒索肆虐猖狂,网路上反而出现不少不学无术、对防毒原理一知半解、毫无专业知
识,却在论坛上妖言惑众、散布错误观念和谣言、肆意贩卖恐惧、误导他人的可恶之徒。
可悲的是,这等神棍的妖言还有不少人信以为真,於是一传十、十传百,指鹿为马居然莫
名成为了真理
为了破除谣言、以正视听。本篇以实事求是,回归技术面科普的心态,从最基础的防毒原
理开始说起。
什麽是0day攻击?
0day一般指还没有修补的安全漏洞,但以防毒的观点来看,0day泛指任何无法被防毒资料
库识别的恶意软体、挂马网页。很多人对防毒的认识还停留在十年前单纯靠病毒库比对恶
意软体的阶段;时代在进步,防毒厂商也不是吃素的,现今的防毒透过各种技术,例如:
启发法、行为拦截(Behavior Blocker)、主动防御、云分析、沙盒(SandBox),当然
还有传统的 HIPS,来预防尚未入库的未知威胁
以下针对这些预防0day的技术做介绍
启发式:现代防毒几乎都有用到启发式技术,然而多数人并不知道这是什麽意思。在牛津
词典中对於“启发式”的解释是“使一个人能自主发现并学习某个东西”,然而这段描述
实在过於笼统。所以下面我用一张图来举例
https://i.imgur.com/NMhYDjy.jpg
假设您被要求从上图找出一种从来没听过的犬类(加泰霍拉豹犬 Catahoula),以下是可
能的推理过程:
因为要找的是哺乳动物,首先会把鱼类排除掉。排除鱼类下方的杜宾犬则类似,因为不少
人都熟悉杜宾犬这个品种。排除熊的照片则有意思得多:试想如果一个人从未见过熊,怎
样才能不把熊认成犬类?对电脑来说更是这样,因为电脑的程式语言需要精确的描述,这
种情况下启发识别就相当困难。可能有些人会被猫迷惑,因为加泰霍拉豹犬 Catahoula
包含了 cat 这个英文单字
最後剩下右边的两只狗,右上角是许多人熟悉的米格鲁,加上目标的犬种名”豹犬”让人
联想到豹纹,通过排除法得出了右下角的照片
在侦测病毒的过程中,面对未知的威胁传统特徵码将完全失效;而启发式通过一系列的规
则试图推理出可能的目标。其中又分成 "静态启发”以及 "动态启发”
静态启发:与传统将文件的 MD5 与病毒库中的数据比对不同,启发式试图通过一系列手
段还原出可执行档案的实际行为,并将其与记录病毒行为的启发特徵库相比对。而静态启
发就是在可疑文件读入到记忆体执行前,先行一步反编译,根据得到的代码分析出程式可
执行的命令种类和顺序,再与启发特徵库中的行为比较,近似者报毒。因为只是读取程式
指令来“预测”是否有恶意行为,所以过程中程式不需要执行。实际上这是模拟了工程师
分析病毒的过程,典型的就是 ESET 的启发引擎
理想情况下,一个启发特徵就可以杀一整类病毒,大大节省病毒库的体机和防毒性能
动态启发:防毒建立一个隔离的虚拟环境预先执行要扫描的程式几十毫秒。通过监控程式
最初的几条或几十条指令来判断程式是否可疑(正常程式一般会先调用图形 API 绘制界
面等,但病毒通常直接开始读写硬碟,注入其他程序);这项技术有严重缺陷,不仅资源
占用高、误报严重、检测率还低(只要在病毒中加一个延时等100~200ms之後再执行恶意
指令就可以完美避过),一般作为预判断手段(先通过动态启发确认可疑程度来调整进行
静态启发时引擎的敏感度)。虽然各大防毒引擎都俱备这个功能,但平时没有存在感。这
种技术可以看作主动防御的前身
HIPS:主机入侵防御的英文缩写,分为 AD 应用程式防护、RD 注册表防护、FD 文件防护
三块。在程式执行时拦截所有行为并询问用户是否放行,一般通过预先设定好的规则来减
少弹窗,规则的严密程度也决定了防护能力。是一种把系统控制权交给用户的安全工具,
会用的高手可以裸奔毒网,小白用这个只是徒增烦恼。
另外所谓的智能 HIPS 就是根据云端白名单识别程式并建立相应的规则以减少弹窗,可说
是自动预设规则的 HIPS
主动防御:可以当作是有启发能力的 HIPS,与启发式的不同在於,拥有主动防御的防毒
可以在程式正常执行(不隔离)的情况下不间断地监视程式的行为,发现与启发特徵库匹
配的动作便终止该程序(BD ATC 有些特殊,稍後再说明);有不少防毒的主防(Sonar、
IDP、SW)还会在程式执行时记录下执行过的指令,发现恶意行为并终止後便按照记录逐
一撤销程式的操作,这就是回滚能力。主防既有像静态启发一样检测未知病毒的能力,又
很难被花指令所蒙骗(毕竟静态启发只能进行简单的反编译不能读出程式中所有指令);
但主防既要求防毒能在程式执行过程中拦截指令,又要在确认为恶意程式後有足够权限将
其终止,实现难度相比启发式困难,也来得不稳定。对於未知威胁,主动防御是目前最有
效的手段。
要注意的是,主防和 HIPS 都属於执行後保护,在其运作时,可疑程式已经在记忆体中执
行,可以说是防毒软体的最後一道关卡
行为拦截:BB 在技术上并没有被严格定义,只要有恶意行为,不管程式是正常不正常,
有签名或无签名,只要防毒判定为恶意就终止程序。譬如开着 IDM 下载病毒,数次後防
毒会提示 IDM 似乎是个未知威胁,对於这种正常程式下载恶意文件会提示操作,并记录
程式行为是打开网络连接和多次下载恶意文件。它可以是基於本地主防或者是云端甚至是
智能 HIPS,例如红伞虽然没有主防但它的云 APC 对於未知威胁可以有效阻断拦截
人工智慧(AI):包含云启发或本地 AI,详见 BD ATC 和 360 QVM。另外像 BD 或者是
AVG 虽然是本地 AI,但是其规则是分析云端的大量资料,机器学习後再下放到本地(
BD 是主防带 AI,AVG 是扫毒带 AI,这也是 AVG 2016年检测率飙升的原因。AI 的一大
好处是提高检测的同时节省人工成本,防毒厂商的病毒分析师只需进行简单的後期除错,
其余工作都能仰赖 AI 进行分析)
广谱/基因:通过衡量某个未知的文件和已知恶意文件的相似度来进行判别。如果一个未
知文件在关键的地方和已知恶意威胁高度相似则判为有害
https://i.imgur.com/UT3BdcL.jpg
例如上图中,假设你已经熟悉了左边的黑褐色长毛猎犬,那麽即使没见过右图的犬种,也
能通过相似度推断出是某个品种的长毛猎犬
有些人把基因当成启发的一种手段(但启发不等於基因)更详细的介绍见红伞、ESET 两
栏的解说
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.185.3
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495823940.A.EA7.html
1F:推 sismiku: 好文 05/27 03:41
2F:→ bajiqa: 我很讨厌他第一段的说词。 05/27 09:16
3F:推 Klauhal: 有看过巴哈防毒分类的文就知道第一段只是讲述事实 05/27 09:57
4F:→ Klauhal: 巴哈很多不装防毒派的,以为行为良好就没事 05/27 09:57
5F:→ Klauhal: 有人肯在那种地方发科普该鼓励,我早就逃来ptt防毒版了.. 05/27 09:59
6F:→ hn9480412: 巴哈那种一堆只会玩游戏的小朋友就算了吧 颗颗 05/27 11:39
8F:推 kipi91718: 推整理 05/27 15:43
9F:→ sakasiaga: 好喜欢第一段的说词 05/27 17:32
10F:→ APM99: 第一段的说法很正确阿 跟风的本来就一堆 05/27 17:34
11F:→ sate5232: 第一段是个连结 请看原文 05/27 19:48
12F:→ sate5232: 他就是在指那篇文章 05/27 19:49
13F:推 atrix: 没办法,第一段是事实, 05/28 11:34
14F:→ atrix: 看看FB有多少人在喊「只有不去上XX网站,保持良好行为,不 05/28 11:34
15F:→ atrix: 装防毒也没关系」 05/28 11:34
16F:→ atrix: 就是不知道什麽是良好行为才问人啊! 05/28 11:34
17F:→ atrix: 良好行为也包括了装防毒啊 05/28 11:34
18F:→ waterblue85: 正常网站都可能不小心上架了藏有恶意软体的广告了? 05/28 17:22
19F:推 HGJman: 自己中一次就知道行为良不良好,自己的资料自己备份~ 05/28 21:39
20F:→ HGJman: 自己的电脑自己维护,不会备份不会维护,自食恶果刚好~ 05/28 21:40
21F:推 hms5232: 我自己也是不额外装防毒的阿 内建的Defender+真正好习惯( 05/29 00:21
22F:→ hms5232: 定期更新系统、备份档案等)八成都能避掉 05/29 00:21
23F:→ hms5232: 不过有资源的话装一下不会吃亏 05/29 00:22
24F:→ tinlans: 这文应该不是巴哈那边原创的 05/31 18:34
25F:→ tinlans: 满口大陆用语,应该是对岸哪里复制来简转繁的 05/31 18:35
26F:→ sate5232: 阿就是作者原创的呀 他在噗浪说的 06/04 18:20
27F:推 H264: 现在大家很常用对岸用语 回滚这词 台湾有吗?我还真不知 06/05 16:52
28F:→ louis925: 原作应该是大陆人吧 06/15 16:12
29F:→ tinlans: 默认、数字签名、模块、数据库、哈希 << 这些说不过去 06/20 03:03
30F:→ tinlans: 重点是他大陆、台湾、英文用语交叉用,很像术语自动转换 06/20 03:06
31F:→ tinlans: 没有转好或判断失误等等的,process 也各有程序跟进程。 06/20 03:07
32F:→ tinlans: 要不就是分不同网站复制贴上整理出来的吧。 06/20 03:08
33F:推 Fizban: 我是原作者,楼上少在那乱猜 06/20 22:44
34F:→ Fizban: 最近才办PTT帐号,原本懒得回的 06/20 22:44
35F:→ Fizban: 我的确常逛对岸论坛,用语可能多少受到影响 06/20 22:44
36F:→ Fizban: 但默认、数据库、模块←这些词我不觉得有什麽问题 06/20 22:44
37F:→ Fizban: 台湾人就不会讲默认、数据库? 06/20 22:45
38F:→ Fizban: 还是一定要改成预设、资料库才可以? 06/20 22:45
39F:→ Fizban: 说真的我写文章根本没考虑太多,又不是政治文章 06/20 22:45
40F:→ Fizban: 在文字上搞政治正确没意义 06/20 22:45
41F:→ Fizban: 写这篇文章花了我一年时间,酸民毁一篇文章也不用一分钟 06/20 22:46
42F:→ Fizban: 有意见请到巴哈留言,PTT基本上我是不用的 06/20 22:46
43F:→ tinlans: 不是政治正确的问题,只是有违常理,而且你术语双边交杂 06/21 20:33
44F:→ tinlans: 因此提出合理的怀疑。对,台湾人不会讲,所以才合理猜。 06/21 20:38
45F:→ tinlans: 你找十个资工系助教来读这文章,十个都会这样怀疑。 06/21 20:46
46F:→ tinlans: 毕竟抓学生抄作业的经验大都是这样累积过来的,非乱猜。 06/21 20:47
47F:→ tinlans: 当然你要说里面有大都是你整理跟亲自写的我也相信就是。 06/21 20:50
48F:→ tinlans: 而且既然你本人都敢这样宣称,那我就不多说了。 06/21 20:50
51F:→ tinlans: 我个人能给的建议就是,既然你都希望别人转载你的文能标 06/21 22:03
52F:→ tinlans: 明出处,那麽做类似的事情时也应该标一下。尽管你的确有 06/21 22:03
53F:→ tinlans: 花上大把的时间做整理已经加上自己的注解和看法等等。 06/21 22:04
54F:→ tinlans: 不然这些小小的瑕疵就会让你自己毁了你一年的心血。 06/21 22:04
55F:→ tinlans: 我跟大陆高手交流的时间不会比你少,所以才对这些更敏锐 06/21 22:06
56F:→ tinlans: 其中一张图里的复制 -> 复制也是一大破绽。 06/21 22:07
57F:→ tinlans: 总之,你的贡献绝对不可以否认,只是给些建议。 06/21 22:09
58F:→ tinlans: 我不知道你多大了,有没有读过研究所,或者有没有打算读 06/21 22:15
59F:→ tinlans: 。但是你这样的做法在学术论文里,已经触犯死罪。 06/21 22:15
60F:→ tinlans: 所以讲出来也是为了你将来好。 06/21 22:16
61F:→ Fizban: 我在文末的QA有说为了写文章收集了不少资料 06/22 07:39
62F:→ Fizban: 例如官方白皮书 06/22 07:39
63F:→ Fizban: 你第一张图就是FS官方白皮书的内容 06/22 07:41
64F:→ Fizban: 既然你有针对文章内容去搜寻 06/22 07:42
65F:→ Fizban: 应该知道并不是随便抓几篇26的文去简转繁 06/22 07:42
66F:→ Fizban: 我不是防毒专业,要写这种文免不了要收集资料 06/22 07:42
67F:→ Fizban: 像第二张图,为了粗浅解释什麽是基於统计学的机器学习 06/22 07:42
68F:→ Fizban: 就找了贝叶斯算法当例子 06/22 07:42
69F:→ Fizban: 但除此之外,关於360的功能介绍,完全出自我本人之手 06/22 07:43
70F:→ Fizban: 如果说这篇文章完全没有引用,那的确不是 06/22 07:43
71F:→ Fizban: 但要说整篇都是抄别人的、东拼西凑,这种指控我也很难接受 06/22 07:43
72F:→ Fizban: 以论文的角度看这篇是很不严谨 06/22 07:44
73F:→ Fizban: 但这篇不是论文,我的目的是对已知防毒原理作介绍 06/22 07:44
74F:→ Fizban: 我不太清楚资工系的情况 06/22 07:44
75F:→ Fizban: 我本身是资管研究所毕业,当年搞的是影像演算法 06/22 07:44
76F:→ Fizban: 所谓的论文就是要自己想出的一个新的演算法(idea) 06/22 07:44
77F:→ Fizban: 然後发表出来 06/22 07:45
78F:→ Fizban: 这篇则是对已知的东西做介绍,其实不管内容多严谨 06/22 07:45
79F:→ Fizban: 都无法达到论文的高度 06/22 07:45
80F:→ Fizban: 最後谢谢你的指教,我不太习惯PTT 06/22 07:46
81F:→ Fizban: 希望这样解释你可以接受 06/22 07:46
82F:→ tinlans: 我只是给建议而已,没什麽接受的问题。我知道你的东西是 06/22 10:06
83F:→ tinlans: 有些是来自对岸的白皮书翻译,不过对译者就不是很尊重。 06/22 10:07
84F:→ tinlans: 你的介绍是很好的,图也看得都自己截的,只是替你担心。 06/22 10:08
85F:→ tinlans: 当然最理想是吸收後转换成你自己的话重写出来,不过就如 06/22 10:09
86F:→ tinlans: 你所说的这不是论文,大致上就是类似报告,注明出处即可 06/22 10:10
87F:→ tinlans: ,毕竟你也希望转你文的人能注明出处。 06/22 10:15
88F:→ tinlans: 实际上你的文我全部都有读完,所以你出来说明时,我也没 06/22 10:24
89F:→ tinlans: 否定这里面大都是你自己的东西,因此才说不希望这些小瑕 06/22 10:25
90F:→ tinlans: 疵毁了你整篇。而且前言其实就是给人一种偏高的期待,突 06/22 10:27
91F:→ tinlans: 然读到一些用词突兀的片段、专有名词用法跟你前面有些出 06/22 10:27
92F:→ tinlans: 入的地方,就会鲜明感受到这段文字不是你的东西。又因为 06/22 10:29
93F:→ tinlans: 前言给人的期待真的稍微偏高,就容易产生一种失望感。 06/22 10:30
94F:→ tinlans: 其中一个失望感就有点像是「立志写文章出来教育人的却没 06/22 10:32
95F:→ tinlans: 有把自己想写的东西都搞懂 (没变成自己的话及例子),直接 06/22 10:33
96F:→ tinlans: 贴别人的混过去」那种感觉。现在你是作者可能不太理解这 06/22 10:33
97F:→ tinlans: 感觉,有一天你读别人的就会懂了。这个不是什麽指责,你 06/22 10:34
98F:→ tinlans: 就当成是读者给的 feedback 吧。 06/22 10:34
99F:→ tinlans: 另外,提到论文的原因是因为论文也有提到相关研究的章节 06/22 11:00
100F:→ tinlans: 但是依然不允许里面的字句和他人的写作雷同,因此科技英 06/22 11:00
101F:→ tinlans: 文写作要练的一个技巧就是重新构句,避免变成抄袭。 06/22 11:01
102F:→ tinlans: 至於大学报告的训练则是允许学生这麽做,但要注明出处。 06/22 11:02
103F:→ tinlans: 至於有的研究生可以拿学长的论文改一改就发一篇,是因为 06/22 11:03
104F:→ tinlans: 作者栏有交集做保险,教授会让低年级的在学长的论文挂名 06/22 11:03
105F:→ tinlans: 做保险,而最终保险是教授都有挂名,所以才能那样玩。 06/22 11:04
106F:推 tinlans: 嗯,总而言之,整理贡献跟付出还是远高於那些小瑕疵的。 06/22 11:06