安全新技术简介.docVIP

启发式扫描 传统上，影音解决方案已经强烈地依赖基于签名的扫描，也称为扫描字符串为基础的技术。?基于签名的扫描文件，为在给定的（通常只有在某些地区也）搜索引擎存在某些字符串。?如果这些预定义的字符串被发现，像警报某些行动可以被触发。?现代扫描基于字符串的引擎还支持通配符在扫描字符串，如使略多态恶意代码更容易检测。?不过，基于签名的扫描仅检测已知的恶意软件，可能无法检测到对新的攻击的机制。 启发式扫描特征码扫描类似，只不过不是在寻找特定的签名，在一个不属于典型的应用程序中的启发式扫描程序发现某些指令或命令的样子。?因此，启发式引擎可以发现潜在的，如病毒，蠕虫的分配或一个木马程序复制机制的有效载荷在新的，以前未经审查，恶意功能的恶意功能。 他们通过运用其重量为基础的系统和/或规则为基础的系统（这两个会更详细地解释了本文后面）这一点。?一种启发式引擎的重量为基础的系统为基础，这是一个很旧风格的方式，利率每一个具有一定重量是根据它的危险程度可能造成检测功能。?如果这些权重的总和达到一定的门槛，也可以触发报警。 现在几乎所有使用启发式方法实施规则为基础的系统。?这意味着，该启发式引擎进行分析（分析仪）组件从文件中提取一定的规则，这规则将针对恶意代码的规则集进行比较。?如果有匹配的规则，可以触发报警。 第一启发式检测引擎是在1989年推出DOS的病毒。?但是，现在存在着几乎所有种类的病毒（即使老式的，过时的几乎一样啸风/ Paix Excel4公式病毒）的启发式引擎。?多年来，影音的发展令人印象深刻，并在运用了启发式引擎技术已经变得越来越复杂。?第一启发式引擎进行简单的字符串或模式匹配操作来检测恶意代码，并常常被称为“最小化扫描字符串”启发。?这方面的一个例子是在下面的代码示例从VBA5串显而易见的： Options.VirusProtection = 0 此字符串禁用内置Word97中的宏病毒保护。?一对VBA的宏病毒的启发式引擎的很多初步遏制这条线作为扫描字符串。?针对这种扫描字符串明显的攻击是改变了“0”表示。?另一个可能的恶意串（如在宏病毒的变种夫妇像一些W97M/Coldape所示）可能是： Options.VirusProtection = 1 AND 0 这些技术，这是由病毒程序员介绍，被称为“反启发式”技术。?他们强迫启发式扫描引擎，更精确的表达，并分析（在0 1和0的逻辑运算结果再次）。 启发式引擎和加密的病毒 从历史上看，启发式引擎只能评估他们看到了什么，这样一来，加密病毒引起他们的主要问题。?在应对这个问题，现代启发式引擎，试图找出解密循环，摧毁他们，并评估加密根据附加功能检测到的循环存在。 那么，如何将AV扫描仪识别加密循环（如除m68k汇编作为当前Palm OS平台使用）？?对有下列条件/说明可能表明存在一个加密循环组合： 初始化一个地址指针，一个有效的内存; 初始化一个计数器; 内存读操作取决于指针; 逻辑运算的结果在读记忆体; 存储器写操作的操作与逻辑的结果; 操纵柜台;以及 根据不同的分支柜台。 一个简单的例子，可以除m68k汇编看起来像这样（汇编指令符合上述描述的条件/指令）： 利测试（件），A0的Move.l＃10，d0的。循环move.b（a0的），D1的eor.b＃0，D1的move.b D1的，（a0的）+ subq.l＃1中，D0 bne.s 。循环... 测试dc.b“加密与三次采油和重点0！” 当然，上面的例子是一个很平凡的加密循环，一个是很容易被检测到的启发式引擎。?然而，如何实现加密循环可以理解是实施启发式引擎，可以发现他们很能干的基础。?因此，我们看到了病毒，尝试通过插入隐藏的加密代码或使垃圾循环加密长，所以很多启发式引擎循环（更准确地说，分析组件）获取混淆。 如果我们在这些检测看，我们看到，在大多数情况下，加密循环检测是不够精确的一个确切的分类，为多种病毒可以使用相同的加密例程。?在二元viruses世界上，我们看到了加密引擎（TPE）的很多;一般而言，这些宏病毒是不符合共同的（例如，利用发动机的W97M/Pri相当频繁）多态引擎配合使用。?因此，在检测和清除的目的，发动机经常交流和/或利用仿真系统，该系统已在其他的事情，有能力打破和/或模拟加密程序。?加密后断裂（即循环结束的加密已经达到），现在的解码部分的启发式分析可以开始。?根据不同的环境中，这种仿真过程是复杂的，因此，有些平台存在没有充分模拟器。 Visual Basic的应用程序（VBA）和Visual Basic脚本（VBS的）是典型的复杂环境中的仿真器可以非常有助于打破加密，但是，一个完整的仿真是非常复杂的。?在大多数情况下（如W97M/AntiSocial家庭，它采用加密），加密指令的数量和高如宏或自动*某些文件处理