认识达内从这里开始

在这个互联网信息时代，许多公司都拥有自己的服务器，自己的网站和运营平台，那么互联网的网络安全就成为了保护自己公司机密的一个重要部分。甚至就是个人电脑都装有各种的安全卫士，杀毒软件等等。那么目前市面上有哪几种安全防御技术呢？

下面我们针对这三种技术进行详细说明：

1.云查杀和云引擎

如今很多安全厂商的“云引擎”，主要是希望通过缩短反病毒引擎特征更新周期来与病毒作者拼速度，从而达到快速抑制病毒扩散的效果。当然，这显然不是“云安全”的本质，但由于篇幅所限，本文并不对“云安全”这一话题进行讨论。

“云引擎”虽然可以实时同步云端的计算结果，但由于网络带宽的限制，在有限的扫描时间内，云引擎只能在本地提取高度抽象的数据特征发送到云端进行匹配，所以一般云引擎会选择哈希类特征(通常是全文哈希)。而哈希类特征的检出能力与样本基本是1：1的关系，即一条哈希特征通常只能检出一个样本。

由于“云引擎”采用哈希类特征，所以每个“伪装”过的病毒样本对于云引擎来说都是全新的，都需要进行“鉴定”。我们并不需要进行精确的计算，就可以得出如下结论：“云引擎”从采集到样本并传到云端分析，到云端分析出结果，再到客户端能够请求到结果，这个周期远远长于病毒作者通过“病毒混淆器”批量生成变形病毒样本的周期。

虽然“云引擎”能够缩短反病毒引擎特征更新周期、提高安全产品的反应速度，但是对于“病毒混淆器”批量生成的变形病毒，起到的作用只不过是“掩耳盗铃”罢了。

2.利用大数据和“人工智能“，猜测病毒的“伪装“

近些年，国内一些安全软件发布了各自的基于大数据或“人工智能”的反病毒引擎。这些引擎本质上都是基于统计学算法，通过对海量样本以固定方法抽取特征，并对特征进行统计、分析，进而产生计算模型。依照计算模型对待扫描样本进行分类，进而预测新样本是否属于恶意分类。

在没有数据为依托的前提下，我不能对此类引擎的效果妄加揣测。但无论算法如何、样本如何选取，都逃不过一个重要条件，那就是对特征的抽取。我们不妨做如下假设：我们通过外貌、服饰、声音、举止等方面可以基本准确地判断一个人的性别，这就像扫描明文的恶意代码。如果将人关进房间，只有房间的颜色、外观等特征可见，而人本身相关的特征完全看不到，这就像是被混淆过的恶意代码。将大量的人随机安排进不同颜色，不同外观的房间，试问仅通过房间的颜色和外观，通过统计、分析，产生计算模型，并推测某一房间内人的性别是否可靠?我想答案是否定的。

无论是统计学或是人工智能算法，算法本身并没有任何问题，但如果不能戳穿病毒的“伪装”，不能抽取到有效的特征，一切都只会是徒劳。如果仅抽取样本的外层特征，“病毒混淆器”作者可以很轻易“伪装”出正常的程序结构、代码特征以及数据特征来躲过统计模型的预测，甚至可以”误导”并“污染”统计模型从而使此类反病毒引擎导致严重的误报。

3.通过“通用脱壳”戳穿病毒的“伪装”

“通用脱壳”(Generic Unpacking)就是最典型的用于戳穿病毒“伪装”的技术。简单来说，“通用脱壳”就是不对程序进行精确的“壳识别”，而是通过某些启发式逻辑评估待扫描是否可能被“加壳”(或者完全不评估是否可能“加壳”)，并在虚拟沙盒中运行待扫描样本，使其在虚拟环境中还原被保护的代码、数据、行为，从而进行查毒。关于虚拟沙盒相关介绍可以参考《动若脱兔——火绒虚拟沙盒简介》一文相关章节，此处不再赘述。后文中，如无特别说明，“虚拟机”均指代虚拟沙盒。

“通用脱壳”技术对于处理“病毒混淆器”显然具有极大的帮助，如果反病毒引擎构造的虚拟环境足够逼真、虚拟沙盒的执行效率足够高，那么对于批量产生的变形病毒样本，反病毒引擎仅需要捕获其中部分样本则可以查杀后续的全部变种。纵观国内外也只有部分反病毒引擎在不同程度上实现了“通用脱壳“技术，国外包括MSE、ESET、Kaspersky、BitDefender、VIPRE在内的多款反病毒引擎，很早就引入了“通用脱壳”技术，并且多年来从未停止过对这方面的技术投入。火绒也在2013年实现了“通用脱壳”技术，并至今仍然持续保持着火绒虚拟沙盒的高速更新。关于“通用脱壳”相关介绍可以参考《反病毒”芯“技术——火绒反病毒引擎简介》一文相关章节，此处不再赘述。

在对大量样本的分析基础上，我们将“病毒混淆器”的大致进化过程进行了简单梳理，如下表所示。后续，本文将以”病毒混淆器“的“进化”过程为主轴，回溯“病毒混淆器”与反病毒引擎的对抗过程。后文中，如无特殊说明，“混淆器”均指代“病毒混淆器”。

达内时代科技集团致力于培养面向电信和金融领域Java、C++、C#/.Net、3G/Android、3G/IOS、PHP、嵌入式、软件测试、UID、网络营销、网络工程、会计、UED、web、Unity3D、大数据、童程童美等17大方向中高端软件人才课程与少儿教育课程。选择太原达内培训，不再孤军奋战，轻轻松松做IT高薪白领。太原达内培训带领有明确目标的学子迈向成功之路!想找工作的求职者可以加QQ：3373924515（太原达内就业服务部）咨询了解。