反病毒引擎设计-启发式检测技术.pdf

反病毒引擎设计 启发式检测技术 - by ByteHero Team 目录 � 发展病毒启发式检测技术的必然性 � 启发式检测技术的发展趋势 � 国内外的现状 � 启发式检测的常用方法 � 动态启发式病毒检测技术 � 静态启发式病毒检测技术 � 启发式的局限性 � 我们目前的研究情况 一病毒启发式检测的必要性. � 传统的特征码检测技术仍然占主导作用， 但由于目前病毒海量增加，以及病毒样本 捕获的不及时性，导致总是先有病毒然后 再查杀的滞后性。 � 云安全（效果好，但也面临联网、用户隐 私、病毒文件鉴定等问题） � 为了更好的检测病毒，启发式检测技术很 有必要…… 二启发式检测技术的发展趋势. � 1.早些时候，启发式检测技术都只对行为特别 明显的病毒，才报警，对一些文件静态特征、 编写手段比较怪异，但无明显病毒行为的文件 报警一般视为误报， 公司都会立即规避这 AV 种误报的发生。 � 2.目前由于病毒海量涌现、为了追求更好的检 查病毒、也为了规避一些启发式检测技术的难 点，启发式检测技术已经开始把一些静态特征 作为启发病毒依据。下面用国外某 软件的 AV 几个例子来说明： a VB程序带一定的额外数据就报毒. b 只要程序捆绑了PE文件 不管是否使用 ，而 . ( ) 且导入表中导入模块数量小于 ，且导入了 3 LoadLibraryA就报毒；如果导入表中导入模块 大于等于，且使用了CreateProcess这类性质 的API也报毒 c PE头部导入表部分的VirtualAddress字段小于. x 也报毒 0 10 d 程序指令熵阀值报毒. 3.这种变化趋势留给我们的思考 三国内外现状. � 国内现状 � 国外现状 四启发式检测的常用方法. � 动态启发式检测 � 静态启发式检测 五动态启发式检测技术. 1.原理： 动态启发检测主要基于反病毒虚拟机技术。通 过模拟Intel CPU、部分计算机硬件（硬盘等） 和Windows操作系统构造一个反病毒虚拟机， 然后把待检测程序加载到该仿真的系统中运行。 虚拟机中设置有若干行为和怪异特性监控点， 对程序行为和怪异特性进行实时监控，根据是 否含有恶意行为或者某些怪异特性侦测病毒。 由于被检测程序是在虚拟机中运行，病毒并不 会威胁真实计算机系统。 2.仿真环境的构成 a 模拟Intel CPU：仿真的CPU主要由机器码识别系统、寻 . 址系统和指令解释执行系统组成，机器码识别系统负责对 程序的指令识别，然后把识别出来的指令传递给指令解释 系统执行。在指令的执行过程中如果用到内存需要使用寻 址系统来寻址访问内存。这个过程中异常捕获系统要实时 监测虚拟CPU中可能导致的异常，并做成实时响应。 b.简单模拟少数硬件，如硬盘信息、网卡信息等。 c Windows PE API .模拟 操作系统：该模块主要由 加载系统、 系统、文件系统、注册表系统和任务调度系统等组成，病 毒在运行前需要用