安全方面的几个名词!

不少人仍不知主防、HIPS等名词的实际意义,交流也多有不便,现在将其在国外大区重发,希望能给读者帮助。

启发式分析:与最初始的基于特征比对的查杀技术(安软简单的将文件数据与病毒库中的数据比对,如MD5,相同则查杀)不同,使用启发式分析的安软试图通过一系列手段还原出可执行文件的实际行为,并将其与记录病毒行为方式的启发特征库相比对,在最理想的情况(安软可完全解析出目标文件可能执行的动作)下,一个启发特征就可以查杀一整类病毒,大大节省了空间和性能。实质上是对工程师分析病毒过程的模仿。
设计难度和实现难度:对于工程师(不是对用户!)而言,要评价一项技术是否易用看两方面:一、设计难度,即该技术本身逻辑的复杂程度,逻辑越复杂,编写时越容易出错,对性能的消耗越大;二、实现难度,即该技术对系统环境要求的苛刻程度,要求越苛刻,基础架构就越复杂,运行越不稳定。举个例子,我现在正在编写的智能车控制程序,可以平稳控制小车沿赛道行驶,只需要在小车上焊两个传感器即可正常工作(实现难度小)代价就是使用了复杂的控制算法以仅凭两个数据预测小车可能的姿态和轨迹,使得芯片功耗大,程序BUG多,反应稍慢(设计难度大)。师兄的程序需要在小车上焊六个传感器以获得小车的实际姿态,任何一个不正常就会跑飞(实现难度大),但算法简单,程序短小(设计难度小)
静态启发:属于执行前保护的一种,即安软在可疑文件载入到内存并执行前,对其数据进行的启发式分析,整个过程中,可疑程序没有运行,典型的像ESET的高级启发式(各大都有,但ESET的效果可称最好),对于由高级语言(C++等)编写的程序,由特殊的反编译器反编译(没学过编程的人可能难以理解编译的概念,也不需要,你就知道代码需要编译才能被系统识别运行就行),根据得到的代码分析出程序可能执行的命令种类和顺序,再与启发特征库中的行为方式比较,近似则报毒。这种方式的优点是能在恶意软件对系统造成影响前查杀,能识别大部分变种病毒,实现简单;缺点是受限于PC的性能和反编译器能识别的代码种类,杀毒引擎不可能彻底解析出程序要执行的命令,只能解析出一部分不知正确与否的命令用以比对,可以被加花指令等方式绕过,换种说法就是,静态启发的查杀率存在天花板,无论如何改进引擎都无法逾越
动态启发:为弥补静态启发的缺点,而出现的一种启发技术(如BD的B-HAVE技术),可以看作主防的前身,原理是在可疑程序实机运行前,先在一个隔离的、受到监控的虚拟环境中运行可疑程序几十或几百毫秒,从何获得程序在这一小段时间内的准确行为,将其与启发特征库作比较。优点是能识别不少利用无关指令混淆真正行为的病毒,缺点是占用大,拖慢系统反应速度,以及最致命的——只要在真正的有害行为前加入几秒钟的延时就可绕过。现在存在感已越来越低,几乎无法在平常使用中见到。
HIPS:主机入侵防御系统的英文缩写,拥有FD(文件防护)、RD(注册表防护)、AD(应用程序防护)三种功能。在任何程序试图执行任何行为时拦截并弹窗询问用户是否放行,一般可通过预设规则来减少弹窗数量,增加易用性,实质上是一种把系统控制权完全交给用户的安全工具,其效果完全取决于用户计算机水平,缺点是需要深入系统底层的内核驱动以拦截其他程序的行为,实现困难,对系统运行干扰大大神用此裸奔毒网,小白用此徒增烦恼。Comodo的Defense+,SSF等都是HIPS的例子。
主动防御:主防属于执行后保护,在主防运作时,可疑程序已经加载并正在执行。其定义现今仍有争议,本文取广义,因而分为两种。同时由于主防建立在HIPS的基础上,HIPS的缺点主防也存在。

单步主防:在HIPS的基础上,预先设定从宽松到严格的几套限制规则(默认阻止与询问的行为依次增加),一个新程序运行时,首先通过其他手段判断该程序的可疑程度,再根据这个可疑程度分别套用限制强度不同的规则,实现安全程序进行某动作默认放行,可疑程序进行同一动作时询问或阻止。优点是相对于使用繁琐的HIPS,实现了安全性和便利性的平衡;缺点是极度依赖云端信誉库以判定程序可疑程度(不联网时要么安全性大降,要么弹窗烦死),被白加黑针对严重,存在误放过恶意动作的可能性。典型的例子就是360,背靠全国最大的云端信誉库,360也是目前最优秀的单步主防之一。

多步主防:在HIPS的基础上,去除规则模块,用类似静态启发的启发分析模块代替。在可疑程序实机运行时,实时获取其执行的真实动作,与启发特征库中的行为方式进行比对,发现行为近似就终止其运行,有的多步主防还带回滚功能,可以在终止可疑程序运行后逐步撤销其对系统进行的更改。优点是打破了静态启发的天花板,不再受花指令、加壳等免杀方式的困扰,对变种查杀能力强;缺点是对行为模棱两可的可疑程序(如流氓软件,勒索软件)效果不好,存在误放过恶意动作的可能性(回滚部分弥补了该缺陷)。BD的ATC,诺顿的SONAR等都是多步主防。

 

文章来源:http://bbs.kafan.cn/thread-2059441-1-1.html

THE END