AVG·北京

新闻中心

more

相关资料

more

所获奖项

view more awards
现在位置:首页 >> 相关资料 浏览正文

启发式:简化行为和简化虚拟机判断杀毒引擎的结合


启发式杀毒(启发式代码扫描技术)

病毒程序和正常程序的区别可以表现在许多方面,比较常见的如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则没有会这样做的,通常它最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOVAH,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。
启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。资料显示,目前国际上最著名的排名在前五名的反病毒软件产品均声称应用了这项技术,从来自不同机构和出处的评测结果来看,纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的一次质的飞跃。在新病毒,新变种层出不穷、病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。
 
 
使用启发式扫描可以检测未知病毒(未归类)。
1. 进入设置菜单。
2. 选择完全扫描设置。
3. 单击启发式扫描设置。
4. 可以单独启用文件、电子邮件和即时消息的启发式扫描(电子邮件和即时消息启发式扫描将缺省启用)。 启用对应于所需要启用的选项的复选框。
5. 单击确定。
如果启动此扫描,建议选中自动更名可疑文件。如果选中此选项,将对检测到的可疑文件改名。
 
如有需要,可以通过单击灵敏度设置来改变启发式扫描的灵敏度级别。可以从以下级别进行选择:高灵敏度和正常灵敏度。建议将高灵敏度用于扫描通过电子邮件和即时消息接收的文件,而将正常灵敏度用于大多数扫描。
注:运用启发式扫描的目的是避免误报,但难免有时仍会返回误报。
 
 
启发式:简化虚拟机和简化行为判断引擎的结合
Heuristic(启发式技术=启发式扫描+启发式监控)
重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒,只是对特征值扫描技术的补充。
主要针对:木马、间谍、后门、下载者、已知病毒(PE病毒)的变种。
启发式技术是基于特征值扫描技术上的升级,与传统反病毒特征值扫描技术相比,优点在于对未知病毒的防御。是特征值识别技术质的飞跃。
传统反病毒特征值扫描技术,由反病毒样本分析专家通过逆向反编译技术,使用反编译器(ollydbg、ida、trw等)来检查可疑样本文件是否存在恶意代码,从而判定程序文件是否属于正常程序或病毒、恶意软件。在确认程序为病毒、恶意软件后,不同的安全厂商根据自己的标准对此可疑程序样本进行特征提取和样本命名(不同安全厂商有自己规定的特征提取点和样本命名规则)。最后经过测试部门测试通过后,更新到服务器,提供用户的本地病毒库更新。在用户操作系统正常监控或用户手动扫描后,利用杀毒引擎对系统上的文件自动进行特征值提取并与病毒库中已存特征值比对,条件符合即比对结果为真时,即判断此文件为病毒库中记录的特征值对应的病毒名称的病毒(恶意软件)。
病毒、恶意软件通常最初的指令是直接读写磁盘操作、解码指令,或获取系统目录(GetSystemDirctory)、获取磁盘类型(GetDriveType)、打开服务管理器(OpenSCManager)等相关操作指令序列。这些都是病毒样本分析专家分析中得到的经验。
启发式技术,在原有的特征值识别技术基础上,根据反病毒样本分析专家总结的分析可疑程序样本经验(移植入反病毒程序),在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
例如:一个可疑程序通过反病毒杀毒引擎反编译后,发现代码中自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件,调用系统组件svchost.exe来开启后门服务,隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务,以便进一步控制计算机。通过这些条件即可判断为恶意软件(后门程序)。