首页
社区
课程
招聘
当前的杀毒思路
发表于: 2009-10-8 09:19 7663

当前的杀毒思路

2009-10-8 09:19
7663
当前的杀毒思路,按小弟愚见,大致分2个方面:特征码与木马行为。
对于特征码,杀毒软件工程师的原路原来是好的,对于字符串(简单的如HACK,TSHANGXING之类),输入表的定位(如键盘钩子的相关API),启发式扫描器(根据反编译后程序代码所调用的win32 API函数情况判断程序的方法。),但是在反杀毒界(又被称为“免杀”界),有着如jmp跳转(指指令运行到某个地址,运行原来运行代码在跳转回去以达到迂回的目的),如NOP(对于非关键代码的去除甚至去掉原有一些功能的方法来达到目的。。。)对于以上方法,花指令或混淆指令,反调试手段(在特征码附近用反调试代码来达到目的,会是杀软脱壳或杀毒失败,放弃查杀),我们暂且称之为“静态迂回”。而如异或加密(指用C32ASM按某规律修改源代码后再再入口点或其他地方加入一小段恢复代码的迂回思路。),或是动态恢复(相似的方法,只是把恢复代码换为直接写入代码来达到迂回母的。。。)类似的方法,我们称之为动态迂回。或是通过加壳改壳的一般组合,凭“运气”或者多次试验来达到目的,我们称之为“加壳迂回”。除此之外,“源码迂回”目前正在兴起,同样是一种方法。实践证明,上述方法对特征码是很有效的,原因是:杀软更新了特征码,木马(病毒)随之更新,有它的滞后针对性。
木马行为方面,对于注册表以及关键目录的监控或很有效果,但是,由于程序释放路径,启动方式以及其他行为可以按需任意修改,同时还有“移动文件夹”,“修改HOST”等编程方法使之不能起到太大的效果。
除此之外,还有“云查杀”,数字证书,版本检查等各种思路,相对来说,“云”的方法较之有效。
下面说说小弟的想法,其实杀毒软件要做的是在病毒木马和正规软件模糊的界限之间划一条分界线,但是他们终归都是程序,理论上说应该没有绝对的界限,能否换一个思路,我们假设,病毒(木马)启动时需要一种方式的(ACTIVEX,服务,启动项,INI文件,我就不一一列举了,但要注意到在这里正规程序也是)。同样病毒(木马)有一种自身拷贝的方式,就是说它一定到释放文件到某个目录(或者说感染文件到某个目录,但这种情况病毒或木马的功能相对单一,相对地特征码方法在这里很有效果)正规软件也是,我们把同时拥有这两种情况的称之为一种“安装现象”。
这样,各种控件,一般软件,病毒都被放到某一个列表中,然后在通过用户或者“云”,知识注释等方法判断该软件的安全等级,反过来说,任意文件,只要是"安装"的,都能卸载,这样是不是能解决用户“我感觉电脑里有木马,就不知道在哪里,全盘扫了杀不出来”的现象呢。也许杀不出来,但至少知道它在哪里,这样用“人”或“智能”来判断是不是更有效果呢?
这里只是思路交流,对以上提到的方法或情况,GOOGLE下就好了。
好了,现在大家扔鸡蛋的扔鸡蛋,扔番茄的扔番茄吧,

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我不太清楚发哪,发错了还请斑竹见谅
2009-10-8 09:31
0
雪    币: 260
活跃值: (102)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
3
这样用“人”或“智能”来判断是不是更有效果呢?
如果用人来判断,那对用户的要求是不是太高了,很多高手都号称裸奔的,如果把杀软难以判断的的毒都丢给用户,那还要反病毒人员吗?
智能判断,就不了解了,我想还是怎样如何建立一个模型来评估程序的危害性吧,还是有很多问题要解决。
2009-10-8 10:44
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
4
楼主所说的正是目前云查杀的思想嘛,只是还浅薄了一些
2009-10-8 11:42
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
本来最好的判断木马和正规程序的方法应该是人本身,云应该是目前接近的思路,或者等待新的智能判断方法。
LS说的对,我的想法还很不成熟,见笑了
2009-10-8 12:21
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
6
没大看懂。你的意思是要求病毒编写者按照统一模式去编写病毒吗?

一个程序是不是病毒,是相对的。也许病毒编写者就会说,我的机器上的程序都不是病毒。

防病毒厂商负责划线,有的厂商划的宽,有的厂商划的窄,画成啥样,基本上由市场说了算。

如果某市场的用户都比较宽容,就划的窄一点儿。
如果某市场的用户都比较苛刻,就划的宽一点儿。

(我没做个产品经理啥的,也算屈才了:)
2009-10-12 15:40
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
7
楼主知道为什么WIKI只有一个吗?
楼上知道为什么现在杀软纷纷炒作扫描速度而不是检出率吗?
2009-10-12 23:07
0
雪    币: 220
活跃值: (781)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
没大看懂。你的意思是要求病毒编写者按照统一模式去编写病毒吗?

一个程序是不是病毒,是相对的。也许病毒编写者就会说,我的机器上的程序都不是病毒。

防病毒厂商负责划线,有的厂商划的宽,有的厂商划的窄,画成啥样,基本上由市场说了算。

如果某市场的用户都比较宽容,就划的窄一点儿。
如果某市场的用户都比较苛刻,就划的宽一点儿。

(我没做个产品经理啥的,也算屈才了:)

我也同意
2009-10-12 23:15
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我也不知道,请笨笨雄大侠说一下让我等菜鸟学习学习好吗?
2009-10-13 07:51
0
雪    币: 276
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
光扫描特征码-》一个极端
光主动防御-》一个极端

2者结合就好。
2009-10-13 07:53
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
11
我基本上不关心各个厂商在干啥,甚至自己呆的公司在干啥也不咋关心。

反病毒工作有两大块,一块是引擎,一块是病毒分析。

扫描速度应该由引擎决定,查杀能力应该由病毒分析决定。在我看来,各家反病毒公司在病毒引擎这块都差不多,反毒能力的高下基本上完全由病毒分析这块来决定。宣传自己的引擎有多牛基本上都是扯淡。

病毒分析这块主要是病毒特征的覆盖度和快速响应能力,都具有区域特征,这也是国内的反病毒厂商死不了主要因素。

说到底,反病毒本身不是技术主导,而是市场主导。市场需求决定技术应该怎样走。现在没有明显的新的需求,所以反病毒领域基本上也不会出现什么创新的技术。

至于wiki,指的是一种网页内容的组织方式和对应的支持系统。Internet上有无数个wiki,不会只有一个的。
2009-10-13 15:54
0
雪    币: 354
活跃值: (26)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
言外之意是什么?
2010-1-11 15:17
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
愿闻7楼详解
2010-1-11 21:40
0
雪    币: 808
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
14
就好像是电影SANGQIANG不好看却挣到了银子一个道理吧
2010-1-11 22:30
0
雪    币: 492
活跃值: (53)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
15
学习了,希望哪位高人更加详细的解释一下云查杀啊
2010-1-13 16:57
0
雪    币: 107
活跃值: (419)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
扔鸡蛋....扔番茄.........
2010-1-13 23:29
0
游客
登录 | 注册 方可回帖
返回
//