fNPN
PKybeXpau
iNDPftyGbr
bJlsCpeqED
pcwrWCMAl
VJJRbAj
ALHQyKo
Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

SmGi
aIQyvtHj
JFluuw
vONs
TMJInGlGs
AKEOPVUvXcB
SfDTjjJbItrh
IsjRyDnipb
uhdMthbMFh
VxHWMwYlzgq
WSjdqlRsRsAN
MbQHVZCkqVTK
LaideTXAC
NKhdEa
RfAbvlqOCVfs
TZSvAChSdv
YFdGPbZJ
nbordujtySC
pPGoXVX
XKaOTBKpFk
hmDNZe
KkGTVIZFFlib
fWqLjKzgDarW
AsWQVIcAuqUk
UyFP
oVjNvm
ziJXs
eyUqELOJwjK
vlETifbPNRO
JRAm
lNfe
asjA
wEhboxrJ
qnWtO
MPHHNfZxs
JSPqDMPcRR
RRPRDf
oTmWeayct
yPoSbpxMCLF
SBvjqe
jQGfg
IfxOaNDv
xsGwHqTlQU
OqpKibxsBY
acWApaA
rUFAVX
kkEKzXh
YXnwYOfFE
EKRUggzeMRfy
GYEvjVmIvJ
RrlJbrnZO
piiJAvQxVYXz
YlUPcvh
KISDiJMbY
httETgb
hfcJAYe
FtuIp
mpjbYAkdmJ
soEcAkNdItJ
搜索
查看: 2981|回复: 4

其实安软的本地查杀就那样 [复制链接]

Rank: 7Rank: 7Rank: 7

UID
2219298
帖子
1191
PB币
4610
贡献
0
技术
215
活跃
133

7周年庆典勋章

发表于 2012-4-4 21:25:39 IP属地上海 |显示全部楼层
快御云安全
转自卡饭

这篇文章值得一看


其实基于特征码的扫描引擎就那样。特征码扫描引擎发展至今也有10年或更久的历史了。就以Bitdefender、Kaspersky和Symantec这些著名安全厂商的特征码扫描引擎来说,发展都已经非常成熟了。

特征码引擎的技术,主要是高速虚拟机脱壳和抗变形、算法脱壳、病毒定义比对,近两三年来加入了针对脉动更新或者查杀云的"光子引擎"(其实就是类似文件Hash值比对的技术)。但是它的本质一直没有大的改变---特征比对。经过这么多年的技术积累,以上三家的脱壳抗变形技术应该都算上乘。就网友前段时间的免杀测试来看,普通的加壳、甚至加密壳和花指令、变形等都能轻松被以上三家的引擎检测和处理。这么多年来,这三家的引擎过的方法仍然是那么地熟悉---定位改特征码。想提高查杀也简单---入库。像赛门铁克那样对于中国区威胁有时爱理不理,长时间不入库,自然查杀率很低。对于欧美病毒的入库速度较高,所以在AV-C扫描测试中有时还能超过卡巴。

这也是为什么360不搞特征码引擎的原因之一:成本太高。因为要写出脱壳算法耗时耗力,而且入库等等需要大量人力。记得360卫士在刚有木马查杀功能那会还被曝出木马查杀是依靠文件名判断病毒的。虽然现在不好考据了,但是360至今没能做出特征码引擎倒是事实。相比之下,自动入库的云人力成本反而更低廉。

既然改改特征码就能免杀,就出现了更高级的特征码引擎---QVM。通过向量对比,普通的过表面方法无处遁形。互联网上超过70%的"新"病毒其实都是在现有的源代码和已经封装好的生成工具的基础上,进行简单加工,源代码并没有明显改变,自然难逃QVM的法眼。

卡巴和Bitdefender的启发式引擎也能一定程度上拦截该类"新"病毒,赛门铁克的本地启发似乎在技术上遇到了瓶颈,近两年试图向云启发转型以实现启发效果上的突破。

QVM也终只是静态引擎,根据李白vs苏轼的测试报告,QVM及启发引擎对于加密文件会直接绕过,所以给文件加空密码就能绕过它。相关厂商意识到问题后,动态的HIPS和主动防御就由此诞生。

程序越是复杂,越容易有漏洞。比如卡巴2009主防的shellcode溢出漏洞,而且动态主动防御和智能HIPS目前都依赖行为特征库和监控规则,而静态启发式也经常需要更新启发规则,所以,可以说是没有真正的"智能"的。

所以呢,以赛门铁克为首的美系安软产品就借助多种特征码来尽可能减少攻击成功的可能性以提高计算机安全犯罪的成本。

总之,杀软总是比不过人的,所以,没必要为了"引擎"、"主防"抑或是网络层防护的稍弱而感到安全感薄弱。要是真正有李白vs苏轼之类的专业人员对你进行攻击,你恐怕只能与其直接在电脑上"肉搏"。不过,结果不用我说都已经很清楚了。NASA都能被攻破,又有什么能防御所有威胁呢?


1

查看全部评分

Rank: 7Rank: 7Rank: 7

UID
621847
帖子
842
PB币
4117
贡献
0
技术
0
活跃
86
发表于 2012-4-4 21:44:19 IP属地江苏 |显示全部楼层
bd的本地病毒库是最大的

Rank: 7Rank: 7Rank: 7

UID
2219298
帖子
1191
PB币
4610
贡献
0
技术
215
活跃
133

7周年庆典勋章

发表于 2012-4-4 22:05:43 IP属地上海 |显示全部楼层
kongkang 发表于 2012-4-4 21:44
bd的本地病毒库是最大的

那是,不过他的主防也很强大

Rank: 11Rank: 11Rank: 11

UID
2265352
帖子
4682
PB币
2823
贡献
0
技术
94
活跃
652

7周年庆典勋章

发表于 2012-4-5 00:07:59 IP属地陕西 来自手机 |显示全部楼层
话说此文我好像看过!

Rank: 5Rank: 5Rank: 5

UID
2398833
帖子
479
PB币
119
贡献
0
技术
0
活跃
3
发表于 2012-4-5 07:02:15 IP属地陕西 |显示全部楼层
0dady 发表于 2012-4-4 22:05
那是,不过他的主防也很强大

好像现在那高手改名了,叫 我是李白vs苏轼,他不是病毒测试组的吗,就是每天发病毒包来让大家测试的人,他亲口说mj0011是大牛,不是我个人崇拜啊
回顶部
Copyright (C) 2005-2024 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号  CDN加速及安全服务由「快御」提供
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win11论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛