TA的每日心情 | 开心
2013-7-2 12:28 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
威胁虚拟机(MVM)是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁,弥补特征码的滞后性,增强对新木马和加壳变形病毒的防御能力。经过多年的研发和不断改进,目前费尔MVM虚拟机启发技术无论从技术层面还是实际效果都已经达到同类系统的一流水平。
为了验证其效果,曾邀请英国VB100评测机构 Virus Bulletin 对虚拟机纯启发引擎进行内部测试,在没有黑白名单的支持下,其对WildList识别率超过60%,误报也控制在极低水平,使得VB给其高度评价“Well, it's still doing great considering it's only heuristics and no signatures. It seems to be detecting over 60% of our samples - better than some signature scanners!(它甚至优于某些特征码引擎)”。
威胁虚拟机由两个子系统组成:虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行并收集程序行为,启发分析系统则根据这些行为来判断目标对象是否有害。
虚拟机系统
MVM中的虚拟机是一个极度复杂的虚拟仿真系统,它能解析并模拟几乎全部的CPU指令、数千个API函数,并对木马、病毒经常涉及的一些硬件进行仿真,比如:硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行,并将自己的真实意图充分暴露,一旦发现有恶意目的即可被侦测,而同时也决不会影响真实系统。目前MVM可以脱近400种壳,能有效的应对加壳、变形等特征码不易对付的病毒。
启发分析系统
MVM中的启发分析系统分为两部分:静态启发,动态启发。
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图,发现有威胁特点即可被判别,从而达到识别未知威胁的目的。这种方式的优点是速度快,但无法有效识别加壳和变形病毒,而动态启发部分则可以有效弥补这一点。
威胁程序无论是加壳还是变形,最终总要去实现自己的目的,也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行,脱掉自己的外衣,诱使它发作,待目标充分暴露出自己的恶意行为时即被判定威胁,实现动态防御的静态识别。 |
|
发表于 2012-5-23 16:08:30
发表于 2012-5-23 18:12:38