反病毒技术揭秘一场关于互联网安全的博弈Word格式文档下载.docx

反病毒技术揭秘一场关于互联网安全的博弈Word格式文档下载.docx

《反病毒技术揭秘一场关于互联网安全的博弈Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《反病毒技术揭秘一场关于互联网安全的博弈Word格式文档下载.docx（28页珍藏版）》请在冰豆网上搜索。

闲话不多说了，切入正题，希望各位能够在百忙之中抽出一点时间看看，感谢各位的支持。

高级启发是ESET的强项，也是卖点（ESET可是高启的鼻祖啊，虽然后来小红伞将高启发扬光大。

独家消息：

官人表示ESET5.0也不会加入主防，因为ESET坚持的路线是坚持高启发式扫描不动摇，其他的都是浮云，所以大家还是多关注ESET的高启吧，其他的对ESET基本都不是最主要的开发项目，这也更好的回应了为什么ESET的病毒库小，安装包小，因为病毒库里主要是收录一些典型病毒和木马的特征码，而不是整个病毒和木马，因此比较小，爆料到这里，继续。

），所谓高级启发，说简单点就是很智能，很聪明得测试和发现病毒。

用官方的话说，就是能在进行文件扫描之际，主动分析文件的代码和结构，透过目前防病毒软件当中最先进的虚拟机器技术，模拟程式的运行环境，分析该程式是否为有害程序，进而提早加以拦截，经过测试，ESET可在无须依赖病毒资料库的情况下，侦测近90天内75%的新型未知病毒（自己测试的时候基本可以达到这个标准，卡饭也有测试的帖子，有兴趣的童鞋自己动手吧，毕竟自己动手丰衣足食）。

特别告诉大家一点关于ESET的高启：

高级启发式扫描具有一种独特的启发式扫描算法，该算法由ESET开发，它使用高级编程语言编写而成，用于提高恶意软件的检测率。

高级启发式通过前摄性的分析程序代码，或者通过构建虚拟环境让代码在其中运行以分析其动作，能够有效的检测未知恶意软件。

ESET的高级启发式检测技术被命名为ThreatSense技术，该技术的优势就在于平衡了检测率和误报率，因此ThreatSense技术在提高检测率的同时极少产生误报。

所以开启高级启发式扫描容易误杀的说法是不正确的。

我也建议您开启高级启发式扫描，以得到有效保护。

病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。

这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。

启发式扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。

因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。

”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。

例如，如果一段程序以如下序列开始：

MOVAH,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。

在具体实现上，启发式扫描技术是相当复杂的。

通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。

随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是应当给予较低的加权值。

如果对于一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒！

”仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现病毒的报警标准。

启发式扫描通常应设立的标志，为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在情况，病毒检测程序可以显示为不同的可疑功能调用设置标志。

例如，TbScan（参见注释）这一病毒检测软件就为每一项它定义的可疑病毒功能调用赋予一个旗标，如F,R,A……，这样以来可以直观地帮助我们对被检测程序进行是否染毒的主观判断。

上面的都是比较专业的用语，我就直接举个例子来谈下，ESET中的高启的实际作用，eg:

如果ESET在查杀出病毒和或者木马的后面的解释为未查明的什么病毒或者木马，那么这就是ESET的高启帮助查杀出来的，如果查杀出来的病毒或者木马后面准确的给你详细的名称，那么这就是病毒库的作用，所以大家不要混淆。

高启发式扫描并不是万能的，更不是所有的病毒和木马都能查杀，而是变得更多了。

如果有的安防软件这样宣传的话，那么我们可以判定，这款杀软的厂商一定是个骗子，这些都是题外话了。

网上关于高启的描述，都是比较形象的比喻，大家看下吧、

启发式其实就是传统的特征码扫描的改进版，传统的扫描的特征码是固定死的...而启发式是根据"

父亲"

和"

儿子"

之间的关系.，定位只能定到"

..所以无论把"

移动,"

只要"

还在,就能找到"

，所以我们必须找到"

..针对"

修改....这样"

便可以不去管它，因为无法认出"

,那"

孩子"

也自然不会去判断。

By：

cici584522

下面的3则文字来自ESET官方的启发式扫描白皮书。

1.启发式的对立面:

特征码与启发式

关于商业反病毒软件只能检测已知的恶意软件及其变种和亚种的说法可能不再像以前那样普遍了。

然而，部分取而代之的是另一种不很流行的说法，即病毒特征码扫描器和启发式扫描器是两种完全不同类型的扫描器。

事实上，我们知道启发式分析的使用已经有十年之久，而―已知病毒扫描器利用启发式技术，优化病毒处理的历史则更久。

启发式分析也在相关的应对措施，如行为拦截器和监控器，以及完整性检查中占有一席之地。

在某种意义上，与反病毒软件启发式分析的相对的不是特征码扫描而是算法扫描，特征码扫描是其中的一种特殊的情况。

算法扫描，与其他形式的算法汇编一样，以数学公理为基础.业界所说的算法扫描，通常认为是基于一种算法（而非简单的搜索一个静态字符串，或一种固定的字符串）针对特定目标病毒的检测。

当然，在日常生活中，上面提到的启发式分析也被视为一种更为普遍意义上的算法。

但是将算法一词和病毒特征关联使用（因此有一些误导），在业界已经非常广泛，所以不容忽视。

启发式通常指使用分值算法判断被扫描对象恶意与否，而非明确识别界定恶意软件类别的方法。

2.病毒识别技术浅析

病毒的识别是介于两种要素的平衡：

避免漏报（没有检测出存在的病毒感染）和误报（错误地报告不存在的病毒感染）。

2006年初的几个月中，数款主流杀毒软件都出现了一系列的误报现象，这说明扫描技术的优化和进步并没有消除误报的风险。

使用启发式是不太可能消除误报的，启发式的定义说明了其在一定程度上需要进行错误的尝试。

前面谈到，启发式编程的目的在于，能够达到―足够好的检测结果，而并非完美的结果。

那么，问题出在哪里呢?

检测已知病毒最安全的手段，是扫描文件的每一个字节，并与病毒体中共同存在的校验码进行比对，从而确定是否遭受感染。

这一过程常被称作―精确识别。

识别率是一种衡量标准，用来考验杀毒软件检测并认定病毒样本为某个病毒或其变种的能力。

因此，精确识别首先是精确度，病毒代码的每一个恒定字节都要考虑到。

尽管人们都希望这种精确度能够应用到针对每个病毒的扫描当中，在现实世界中却很少这样做，因为这意味着对扫描时间和系统资源带来潜在的负面影响，而且通常来说，这种精确程度也是不必要的。

―半精确识别这一术语，特指识别方法在应用过程中，只能保证不会因为使用了不当的清除方法，造成目标文件的损坏。

检测和清除带来的问题不尽相同。

一些杀毒软件厂商长期以来，提倡替换程序被感染的二进制字节，而不是清除染毒部分，主张将精力更多的集中在检测上。

对于有些情况，比如内核后门和stealthkits就是很好的例子，将木马程序替换为合法程序就意味着安全软件只能删除文件，而不能清除文件。

这时候，通常管理员或者用户就必须还原合法程序，因为自动还原是不现实的，甚至也是不安全的。

近年来，恶意软件的发展已经从单一感染文件，演变成对用户操作系统的控制（比如修改注册表）。

这使得恶意软件一旦得逞，彻底清除起来要困难的多。

清除不干净（或不正确）的话，可能会使操作系统受损，甚至无法使用，有时不得不采取极端的做法，比如重新安装操作系统或应用软件，并恢复数据备份。

然而，当恶意软件可以采用启发式或广谱特征法主动检测到时（即有机会感染目标系统以前），这个问题不会大量涌现,除非恶意目标（病毒或木马病毒）需要用非感染的形式保留（比如说，目标文件含有用数据）。

―广谱检测是指通过扫描，寻找一系列已知变种的方法，使用的是可以检测到所有变种的搜索字符串。

找到相同的字符串就可以检测出已知变种，如果需要按照分值机制来认定的话就是启发式检测。

否则就是一种特殊的特征码检测。

一些检测系统使用的是综合的方法，在广谱检测的基础上添加了分值认定系统，以确定病毒变种或族群的类属关系，并按照不同近似等级排比。

例如，近似度达到一定程度时，扫描会报告―某个的变种，如果低于这个程度，就会报告―可能是某个的变种。

3.网友交锋:

启发式也有“高低贵贱”

不能把启发式理解成“脱壳引擎的一部分”，因为脱壳有“脱壳引擎”负责，脱壳的事情不可以放在启发式概念的范畴中。

1）

我们假设病毒文件是一个exe文件，这个exe文件没有壳，而且是所有杀毒软件都不认识的，这个时候，对所有杀毒软件来讲，扫描这个样本只需要“病毒库”以及“真正的启发式”，“脱壳引擎”根本不需要工作。

我认为从专业的测试杀毒软件启发式的能力上，这样的测试才是有意义的，因为他是"

病毒原体结构探测"

。

但在日常我们遇到的大量病毒中，加壳是普遍现象，那么怎么理解启发式在面对大量加壳样本时应该付的责任？

我认为，启发式的责任仍然是“病毒原体结构探测”，只检查exe病毒原体的程序语言是否有符合可疑条件的情况。

有些杀毒软件，脱壳引擎方面功能简陋，对大量的壳都无法检查，这个时候他们真的很聪明，既然没能力脱壳，根本看不到exe文件的真面目，只能看见“壳”，那干脆针对“壳的结构进行”研究，最终研究成了一套独有的“启发式”：

“探测壳结构”的方法，这样的启发式，我给其评分：

“低、贱”

2）

为何说其低贱？

因为他很容易被淘汰，需要不断的更新引擎，增加Internet更新数据量。

壳有多少种，多的数不清，每天都在有新的壳诞生，又有老的有bug的壳被淘汰，壳的“淘汰快”的特性，也意味着“探测壳结构”的“启发式”的特性也是如此，会随着壳而不断淘汰。

其次，误报率极高，因为壳再有特点，其特点也非常有限，他的特点远远不可以和“高级语言”编写的病毒的特点相提并论，要针对这么“没特点”的东西非要死心塌地的搞出一点名堂，连“脱壳”都脱不了的公司，也必定做不好，误报率闭眼也知道非常高，要不断的“加入白名单”才可以减少误报的数量，甚至一些软件的官方论坛每个版面都有“误报”之类的帖子，可见杀毒软件公司的一部分精力要投入到解决误报，而不是开发新引擎上面，也直接导致某些反病毒软件现在才有“Anti-rootkit”组件功能，比其他二流厂商晚了起码2年的时间。

3）

真正优秀的启发式，并不是用一堆样本去测试，启发越多就越好，启发式的好坏，和用杂乱的样本去测试的结果没有直接关系。

----------------------------------------------------------------------------------------------------------------

一个高质量的“病毒原体结构探测”启发式，配合一个优秀的脱壳引擎，这样才能有非常好的测试结果，非常准确，误报率极低；

一个高质量的“病毒原体结构探测”启发式，配合一个普通的脱壳引擎，这样的测试结果只能说令人满意，非常准确，误报率极低；

一个高质量的“病毒原体结构探测”启发式，配合一个很差的脱壳引擎，这样的测试结果肯定不怎么样，但识别出的病毒，仍然非常准确，误报率极低；

可见，初级用户判断启发式是否是“病毒原体结构探测”，就是看其是否具有非常准确，误报率极低的特点。

我们知道Norton也有启发式，但是非常无效，但是他非常准确，误报率极低，他也是真正的“病毒原体结构探测”，只不过很烂罢了。

优秀的“病毒原体结构探测”引擎目前常见的有NOD32、Panda、Bitdefender这3家。

一个高质量的“探测壳结构”启发式，配合一个优秀的脱壳引擎，测试结果完全依赖于病毒库的大小，当然结果非常准确，误报率极低；

一个高质量的“探测壳结构”启发式，配合一个普通的脱壳引擎，测试结果大部分依赖于病毒库的大小以及对壳结构的启发，结果比较准确，误报率中等；

一个高质量的“探测壳结构”启发式，配合一个很差的脱壳引擎，测试结果很不错，但不准确，误报率偏高；

初级用户如何判断自己用的软件是否是“探测壳结构”启发式，最简单的方法就是看其是否符合“不准确，误报率偏高”的特点，如果有这个特点，他的启发式就是“探测壳结构”启发式。

4）

启发式替代脱壳引擎？

弥补杀软的不足？

的确是这样，一个脱壳引擎的开发，需要引擎专家几个月甚至几年的时间，当然这个是某些公司专家自己说的话，研究脱壳引擎脱某个壳花费了6个月的时间，但据我所知，这个专家除了周一~周五的每天8小时的工作时间之外，连杀毒软件看都不看，他仅仅当作是“工作而已”，根本没有把全部时间和精力都投入到引擎的开发中，这样“磨洋工”的干6个月，还不如交给尤金这样的专家干1个月，绰绰有余。

脱壳引擎好的软件当然存在，卡巴斯基、Dr.web的引擎就是非常好的例子。

为何到2006年卡巴斯基还没有启发式？

因为真正的启发式-“病毒原体结构探测”启发式开发起来非常困难，卡巴斯基面临要开发的启发式，是针对病毒原体的启发式，因为他自己的脱壳引擎已经足够强大可以脱壳，他们根本不需要研究一个“探测壳结构”的启发式来弥补脱壳引擎的不足，这个开发的时间、工作量是远大于开发一个“探测壳结构”启发式的开发周期的。

这就是为什么没有启发式的卡巴6.0竟然在评测里面和一些有所谓{“探测壳结构”启发式+80万病毒库}的杀毒软件在同一个档次，因为后者的启发式根本就是“脱壳引擎的低档次替代品”，他也叫做“启发式”，但和传统意义上的“启发式”是完全两回事~，此“启发式”，非彼“启发式”。

“探测壳结构”的“发明”，目前欧洲新崛起的二、三流厂商纷纷效仿，因为开发一个“探测壳结构”的难度比开发脱壳引擎容易的多的多，“误报率高、引擎需要频繁更新以适应新的壳的结构”等等问题接踵而至，绝对不是一个一劳永逸的办法，也不是一个对用户负责任的行为。

总结：

搞混启发式，绝对是混淆是非的行为，希望网友能理性看待“启发式”、“报壳”之间的种种联系和关系。

经过了这么多的文字，相信大家对于ESET的高启已经有了比较完备的了解，但是高启也面临的巨大的尴尬和问题，这点就不多说了

简单的提几点高启发的缺点：

1、解压大型压缩文件时，ekrn进程CPU占用率极高，计算机反应明显迟钝；

2、迅雷下载大型文件到99.9%，TD文件转换为正式文件时，计算机迟钝；

3、部分计算机启机速度降低；

4、如果“系统变量”的TEMP目录（一般为c:

\windows\temp）不存在，将严重影响ESS扫毒效果！

欢迎各位使用ESET，有问题希望各位能够多多指正，我会尽力更改，谢谢。

hips简介

　　Host-basedIntrusionPreventionSystem：

基于主机的入侵防御系统。

　　我们个人用的HIPS可以分为3D，AD（ApplicationDefend）--应用程序防御体系、RD（RegistryDefend）注册表防御体系、FD（FileDefend）文件防御体系。

它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

　　AD（ApplicationDefend）应用程序防御体系

　　RD（RegistryDefend）注册表防御体系

　　FD（FileDefend）文件防御体系

　　它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

如果你阻止了，那么它将无法运行或者更改。

比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。

引用一句话：

”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

”HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。

　　所谓hips（主机入侵防御体系），也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips，它不能阻止网络上其他计算机对你计算机的攻击行为。

二者虽然都是防火墙，但是在功能上其实还是有很大差别的：

传统的Nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；

而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能（对内网用户尤为重要）！

上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！

智能HIPS

　　智能HIPS指不需要或者较少需要使用者手工制定的防御策略（规则）即可对系统实施保护的一类HIPS，通常这类HIPS内置了一定的判断方法和处理规则或者通过网络升级下载规则库，因此能够根据程序行为的危险程度进行自动判断和处理，对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。

体现出一定的智能性，但存在一定的误报和漏报几率。

　　因为再怎么鼓吹“专家系统”（或者称行为拦截技术）也不能保证真的有一个“专家”能帮用户进行所有选择，毕竟现在计算机技术还没发展到人工智能AI的水准。

再者说来，windows系统本身就是一个巨大的间谍软件，1996年，澳大利亚海军就发现舰艇使用的Windows95会悄悄向微软发送机器中的信息；

1999年3月，人们发现Windows98会根据用户计算机的硬件配置情况，生成与用户名和地址相关的、全球唯一的识别码，通过操作系统的注册程序自动传送给微软；

在Vista的开发中，美国国家安全局扮演了重要角色，并坦言参与测试出于美国国家利益考虑，且留有后门，windows7发布后国外也有windows系统后门的论战，而微软为了自身的利益，一直矢口否认，但是后门确实存在，而且大部分带有木马行为的后门程序本身也是重要的系统文件，如果采用行为拦截型HIPS，那么无法避免的会有大量的系统程序被阻止无法运行，那么结果只是windows直接关机并再也无法启动。

Rootkit技术

　　Rootkit是什么？

估计很多朋友并不明白，简单的说，Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

技术是双刃剑，我们研究它的目的在于，透过我们的研究，用这项技术来保护我们的系统，使我们的系统更加健壮，充分发挥这个技术的正面应用。

　　在网络安全中经常会遇到rootkit，NSA安全和入侵检测术语字典（NSAGlossaryofTermsUsedinSecurityandIntrusio