2014年 Feb月 6日
AVZ:启发式分析在抵御未来威胁的同时确保无误报。
如何能够定位并清除所有隐藏在您电脑中的恶意程序呢?
尤其是您如何发现那些您从未见过的甚至有些是有国家背景赞助的超级病毒? 答案很简单: 您不能。
但至少您要努力去尝试找到这些恶意程序,杀毒对于普通用户来说就如同要在漆黑一片的房间里找一只黑猫一样困难,所以您需要一些顶尖的高手手动地帮您的电脑杀毒,但这样做往往代价很昂贵。但是如果可以用盒装的杀毒软件自动去完成,就另当别论了;通常只有当您的电脑感染上非常复杂的病毒时,您才会知道您的电脑已经受感染。这时不妨试一下使用反病毒特征库以及文件扫描的传统式杀毒方法。
如何解决这个问题?
非常简单: 在查找恶意程序的过程中用智能化分析来替代传统的方式—将杀毒产品中增加查找及清除复杂的恶意程序的自动化功能。
如何做到?
通过分析受保护的电脑中由卡巴斯基实验室传感器传送的大量信号智能的分析出结果,这个强大的分析系统比基于猜测的杀毒软件更有效果,主动防御比猜测更牢靠,不是吗?当然。
这些传感器…共通点在于他们都具备了卡巴斯基实验室特殊的秘密武器:启发式分析。
其实,启发式分析在计算机病毒学领域里已有25年左右。一些杀毒软件公司没有启用这个技术是为了避免不断去更新它,所以其他公司降低了这项技术的使用率或者完全不用。为了让大家不要忽略启发式分析的重大意义,我简单地介绍一下这个技术。。。
我们可以通过两个方法来辨别恶意代码—直接地或间接地:
直接地—运用经典的特征码: 我们已知一段恶意代码,再为这段恶意代码创建了一个特征码库,当电脑在扫描可疑对象时实际上是在搜索是否包含这样的特征码。
间接地—运用启发式分析。我们可以根据过往关于典型的命令序列代码或元数据(静态分析)或行为(动态分析)的知识找到恶意代码。
间接法例如:程序本身写入系统注册的自动运行代码, 拦截键盘,打开一个端口,通过互联网传递数据。另外,这个程序将某种类型的数据写入硬盘, cylinder 0, head 0, sector 1例如会修改MBR(主引导记录)。以上这些行为在一个正常的干净程序中是绝不会出现的,不是吗?
如今 , 在基于特征码识别的基础之上运用启发式分析最大的优点是,我们不需要知道这些恶意程序长什么样子。也不需要知道它的唯一识别码,取而代之的是,我们会地毯式的搜索全部的恶意威胁库(包括位置的类型),分析出有哪些特定的明显的恶意操作和行为是目标对象所包含的。
其实这些方法的多样性要远远低于可疑的恶意代码组合的数量。例如,单凭一条启发式分析。
记录可以帮助我们检测到大约600,000个变异的WBNA蠕虫! 所以你可以想象每条启发式分析都可以加速病毒扫描 (相当于绕过600000个独立的记录!)。
启发式分析实际上被用在我们所有的保护模块中(例如,deblocker, anti-rookit和反网络钓鱼模块)。
他们帮助例如系统监控和基于云的信誉服务等高级分析技术来更好地了解计算机的内部环境和发现最狡猾的攻击行为。
除此之外,还有我们特别的AVZ模块,可以为系统自动执行启发式分析。对此我再补充一下…
早在2007年,AVZ已具备完整的作战模式,它在不同的产品中扮演不同的角色(文件粉碎、备份、垃圾清理、文件完整性检查,系统恢复向导)。但从启发式分析以及对未知威胁的保护角度来说,它主要做这两件事情:(i)为远程诊断和处理顽固病毒感染提供(人工)技术支持(ii)为有经验的用户和系统管理员提供了一套用于识别他们所管理的计算机和网络中恶意程序及异常现象的工具。
AVZ最重要的特性是其自带的启发式分析器(每天更新), 它能够非常出色地持续追踪电脑内部情况。这相当于完成了一半的工作! AVZ通过分析不同的参数, 准确地找到可疑对象,分析系统,并使用这些结果为可疑文件创建一个隔离区并提供所有文件的详细分析报告。
这份报告最大的特点是同时适用于防病毒专家和机器人去阅读通过这些分析报告,我们的技术支持可以准确地诊断病毒以及提供解决方案;机器人自动分析后可以启动集成脚本解释器创建一个解决方案。
我们还在产品里内置了特殊的脚本语言解释器,专为调整和攻克计算机病毒而创建。它包含反病毒处理中需要的所有工具 (删除文件、将目标对象放入隔离区注册表清理, 终止进程,等), 同时还有其他有用的技术 (延期删除, 在处理期间检测其他活动威胁,等)。
这份报告的另一个特点是它只显示真正用于系统防病毒诊断的数据和信息。 被确定为干净程序的对象会自动被归入白名单,避免加重技术人员的工作量,提高分析效率。
然后是关于技术的问题了: 受感染的计算机会收到脚本补救措施和恢复措施。用户只需要将文本复制到脚本的窗口。经验显示, 对已经感染病毒的电脑(包括未知的威胁)安装保护系统和纠正感染病毒后的后遗症都是至关重要的。
任何启发式分析都不能确保100%没有误报信息。这也是合情理的,启发式分析假设对象的恶意程度是基于过去的经验,而不是事实。全面测试和白名单可以很好的去弥补这一缺陷,但仍然会出现错误。唉, 技术尚未完善,无法完全实现0误报率…当然我们仍然致力于发展这个技术:)。同时,最关键的是尽快修复错误并进行更新。然而, 如果使用AVZ…完全不会出现这样的问题! !
首先,AVZ独立运行, 用户不会收到技术问题的提醒和警报。只有技术支持专家者或机器人:)能够收到模块工作的报告。第二,专家和机器人本身就可以排除误报信息!是的,真的是这样!他们可以对每一条被扫描的新数据分别进行手动或自动过滤误报信息以及无效的记录并进行相应更改!
谁说这项技术还没有发明呢?