东辉主动防御的设计思路和原理.pdfVIP

2009 年第4 期 前置知识：VC 关键词：主动防御、行为识别、知识库 东辉主动防御的设计思路和原理 文/ 图 张东辉[shineast] 袁野 半年没有给黑客防线写文章了，心存愧疚！从07 年3 月第一篇文章算起，如今已是09 年的3 月，又是一个阳春三月。两年过去了，黑客防线杂志垒的厚厚的，默默的伴随着我走 过每个春夏秋冬，每本杂志中都有值得自己用心学习的好文章。而我这半年来没有写文章的 原因，主要是因为从漏洞分析挖掘方向转到驱动开发和内核学习方向，刚入门不久，没有什 么大的突破，自然不敢写文章，以免误人子弟。另外一直以来，有个愿望，就是写一款自己 设计并实现的杀毒软件。 我的研究生毕设题目—— “基于行为特征的攻防技术研究”，正好和我的愿望一致，因 此我开始了自己的征途。通过一点一滴的思考、试验、测试，一步一步设计并实现了本文要 介绍的“东辉主动防御软件”。虽然设计的比较粗糙，原理比较简单，但是我这人比较自信， 麻雀虽小，五脏俱全。对于初学者和急切要入门的朋友，我分享这些东西还是有一定价值的。 线 由于一篇文章很难把一个软件方方面面都讲透彻，因此我准备分几篇文章来详细介绍。 本文首先从宏观的角度分析主动防御的一般思路，并阐述本软件的设计思路和基本原理。 防 处 关于主动防御 出 客 关于主动防御，不同的杀软公司有不同的理解，也有不同的实现。我比较支持东方微点 总经理刘旭先生的理解。他有这样一段话，“主动防御是什么？它是要明确告诉你这个程序 黑 明 的性质是病毒，并告知你这个是未知病毒。所以说成熟的主动防御所具备的条件，应该是给 用户确切的判断，对病毒有明确的判断，是或者不是，而不是让用户去判断，否则用户购买 注 你的杀毒软件干什么。”我认为刘旭先生给主动防御软件下了一个最基本的要求，就是要明 确判断一个程序是否是病毒，是否是未知病毒。事实上，能真正做到这一点的主动防御软件 并不多。 请 主动防御不同于传统的杀毒技术，传统的杀毒技术主要依靠病毒特征码来查杀病毒，因 此传统的方法很难抵挡大规模病毒变种的侵袭。而主动防御技术则是通过行为来阻击病毒， 载 虽然一个病毒可以衍生出很多的变种，但是它们表现出来的行为是非常相似的，这样就可以 弥补传统杀毒技术的不足。而这些病毒变种和一些新出现的病毒，我们通常称其为“未知病 毒”。于是，主动防御技术不同于传统技术的特征之一就是能够防御未知病毒。 转 然而，纯粹的主动防御并不是万能的，它也有它的缺点，就是容易误判或者被绕过。这 一点我是颇有体会的，我写过几篇绕过东方微点的文章，发现主动防御被绕过是一个严重的 问题。误判是因为主动防御软件是根据一系列有意义的行为来识别病毒的，难免有一个非恶 意程序也表现出了某个恶意程序的行为。正所谓干坏事不一定是坏人，干好事也不一定都是 好人！因此单单从行为判断来识别病毒，要想避免误判是不可能的。 这样一来，大家能够想到，传统特征码技术+主动防御，不就很完美吗!?确实如此，这 已成为杀软发展的大势所趋。 2009 年第4 期 东辉主防设计思路及原理 我写的这个主动防御软件是一个纯粹的主动防御，没有包含特征码查杀技术，主要是研 究性质的，并没有定位为产品。另外，前面说过，主动防御是通过行为来识别病毒的。例如 东方微点就是通过一系列有意义的行为来判断；当然，也有一些杀软是通过触发规则，拦截 恶意行为实现的。