下载文档原格式
1.病毒问题目前,恶意软件感染率大幅增高,以窃取公司敏感数据和破坏重要用户用户记录的恶意软件会给企业造成巨大的损失,企业必须选择正确的防御方式来阻止恶意软件感染。
针对现在的Internet,恶意软件研究人员发现了大量的恶意软件活动,并评估每天都有数以千计的恶意软件变种在发布并传播。
与之形成强烈对比的是,只是在几年前,研究人员每天只能发现少量新的恶意软件。
研究人员预计随着Internet中大量的新恶意继续恶化,这种情况仅是大流行的初期阶段。
同时黑客发布越来越复杂的恶意软件——一些被设计为偷渡式安装并通过一台曾经是信任的主机或假冒他人进行分发。
这篇文档针对在网关处检测数据的网关防病毒架构设计,描述、比较并提出了一份最好的实践指南。
这种架构被设计对识别并阻止恶意软件内容进行高速数据检查,如:键盘记录器、后门程序、间谍软件、rootkit等其它形态的恶意软件。
将两种主流架构进行比较。
第一种方式是Fortinet利用定制硬件来加速文件重组和应用识别的代理方式,可提供更全面的文件分析。
第二种是基于数据流方式,在对数据包进行逐个检测。
以下内容将描述基于流方式虽然可提供最大化的性能,但性能提高的代价是低检测率,增加用户因检测失败而感染恶意软件的高风险。
值得注意的是Fortinet向正规的第三方认证中心(ICSA实验室)提交了Fortinet架构以确保100%的WildList防御(WildList是一个Internet上最活跃病毒的数据库。
列表每月更新,由维护,Fortinet是其成员之一)。
每月的ICSA测试证明FortiGate设备可提供100%的WildList保护。
另外,Fortinet 对恶意软件防御相比WildList进行了扩充,使用启发式分析和文件还原引擎动态的检测多形态病毒及新的恶意软件变种。
通过对Web、FTP下载/上传、邮件信息及IM(即时消息)等应用的数据传输进行扫描,FortiGate设备可对最流行的恶意软件进行阻止。
[转载]瑞星“云安全”(Cloud Security)计划白皮书构想:互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全目标:全民防御,绝杀木马关键词:“云安全”(Cloud Security)、瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA)、“瑞星安全资料库”(Rising Security Database,简称RsSD)、瑞星卡卡6.0版我们今天面临的困境:电脑用户的痛苦和安全厂商的困境自从1988年莫里斯蠕虫病毒出现直到2004年,全球截获的电脑病毒总数有10万个;国内最大的安全公司瑞星最新公布的数据,目前每天截获的新病毒数量就高达8-10万个,仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒,其中大部分是木马病毒。
电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说,只要电脑接入互联网,就会立刻面临木马病毒的包围。
但是电脑用户不是专业安全人士,在感染了木马病毒后,大部分的用户根本没有感觉,也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。
一个普通的病毒分析工程师,每天最多能分析20个左右新病毒,面对成几何级数爆炸增长的新木马病毒,反病毒公司何以承担如此严峻的任务?如果依然沿袭以往的反病毒模式,安全厂商将被淹没在木马病毒的汪洋大海中。
“云安全”(Cloud Security)计划:让每一台电脑都变成一个木马监测站因此,除了利用主动防御技术、未知病毒分析技术等提高杀毒软件的查杀能力之外,我们还需要对传统的木马病毒截获、分析处理方法做根本性的变革,才可以有效应对木马病毒泛滥的严峻局势。
瑞星“云安全”(Cloud Security)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量,同时分享其他所有用户的安全成果。
HH800K工业防病毒软件产品白皮书版本:1.0北京双和科技有限公司二〇一五年四月目录目录 (I)1.工控信息安全现状 (1)2.产品概述 (1)3.产品特点 (1)4.产品典型部署方式 (3)5.产品使用说明 (4)6.产品资质 (7)7.产品现场应用 (8)1.工控信息安全现状随着计算机和网络技术的发展,特别是信息化和工业化的深度融合,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统的安全问题日益突出,“震网”病毒事件充分反映出工业控制系统信息安全面临的严峻形势。
同时,在企业内部,存在这样一个困扰,工厂计算机系统原本用于生产,但由于诸多原因,出现U盘带入病毒、员工值班期间看视频、玩游戏、干与工作无关事情,这些危险行为一旦影响生产将给企业带来巨额损失,这些问题屡禁不止,企业管理者迫切需要一个可以从根上杜绝上述问题的产品。
现在市面的主流商用杀毒防护软件,主要针对家庭、IT办公环境设计,需要定期更新病毒库、实时查杀病毒,这对过程控制企业(如电厂、化工厂、炼油厂等)中的很多场合是不适合的。
原因有两点:第一,工厂计算机控制系统(如DCS\PLC\HMI\核心机房)一般是不允许连接Internet的,病毒库无法更新,这类防病毒软件往往投入半年就失去实际作用;第二,商用杀毒软件误杀、查毒时耗费CPU资源导致系统异常更是影响生产安全的重大隐患,所以,商用杀毒防护软件在工业现场推广一直很不理想。
针对这种工控信息的安全现状,双和科技公司开发出了基于白名单机制的HH800K工业防病毒软件,可以有效解决这些安全与管理问题。
2.产品概述HH800K工业防病毒软件摒弃了现有商用防护软件“黑名单机制”,采样“白名单机制”,从防护原理上杜绝了实时访问互联网、定期查杀的这两个不适合过程控制行业的硬伤。
“白名单”内的软件可以放心使用,“白名单”之外的软件(如视频播发软件、游戏软件、病毒软件)会在启动之前被拦截。
封面作者:PanHongliang仅供个人学习瑞星杀毒软件网络版企业防病毒解决方案技术白皮书瑞星科技股份有限公司2005年1月北京·中国目录公司简介4方案简介5产品简介5第一章瑞星杀毒软件网络版的系统结构61.1 分布式体系结构61.2 支持大型网络统一管理的多级中心系统6第二章瑞星杀毒软件网络版的安装特点72.1 智能安装72.2 远程安装72.3 WEB安装72.4 脚本登录安装7第三章瑞星杀毒软件网络版的安全管理83.1 远程控制与管理83.2 全网查杀毒83.3 防毒策略的定制与分发83.4 实时监控客户端防毒状况93.5 漏洞检测与补丁分发93.6 病毒与事件报警93.7 病毒日志查询与统计93.8分组管理103.9分级管理103.10 集中式授权管理103.11 全面监控主流邮件服务器103.12 全面监控邮件客户端11第四章瑞星杀毒软件网络版的升级管理114.1 多种升级方式11第五章瑞星杀毒软件网络版客户端的技术特点12主要特性与功能12第六章瑞星杀毒软件网络版产品系列14公司简介北京瑞星科技股份有限公司成立于1998年4月,公司以研究、开发、生产及销售计算机反病毒产品、网络安全产品和“黑客”防治产品为主,是中国最早、也是中国最大的能够提供全系列产品的专业厂商,软件产品全部拥有自主知识产权,能够为个人、企业和政府机构提供全面的信息安全解决方案。
作为国内最大的反病毒专业企业,瑞星公司已经建成国内最具竞争力的研究、开发、营销、服务网络:公司拥有国内最大、最具实力的反病毒研发队伍,这使得瑞星公司拥有全部自有知识产权的核心技术,拥有六项专利技术,并且进行着多项前沿研究工程。
通过与国家计算机病毒主管部门的紧密配合,同国内及国际知名企业间的密切协作,瑞星公司已为众多政府部门、企业级用户以及个人用户提供了全方位的计算机病毒防护解决方案,深得用户的信赖和大力支持。
从瑞星的信息安全网站、技术服务中心、呼叫中心到分布全国的分公司和办事处,以及3000余家瑞星授权服务站,瑞星已建立成庞大的销售服务体系。
网络安全技术白皮书范本技术白皮书目录第一部分公司简介6第二部分网络安全的背景6第一章网络安全的定义6第二章产生网络安全问题的几个方面72.1 信息安全特性概述72. 2 信息网络安全技术的发展滞后于信息网络技术。
72.3TCP/IP协议未考虑安全性72.4操作系统本身的安全性82.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制82.6忽略了来自内部网用户的安全威胁82.7缺乏有效的手段监视、评估网络系统的安全性82.8使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失8第三章网络与信息安全防范体系模型以及对安全的应对措施83.1信息与网络系统的安全管理模型93.2 网络与信息安全防范体系设计93.2.1 网络与信息安全防范体系模型93.2.1.1 安全管理93.2.1.2 预警93.2.1.3 攻击防范93.2.1.4 攻击检测103.2.1.5 应急响应103.2.1.6 恢复103.2.2 网络与信息安全防范体系模型流程103.2.3 网络与信息安全防范体系模型各子部分介绍 113.2.3.1 安全服务器113.2.3.2 预警123.2.3.3 网络防火墙123.2.3.4 系统漏洞检测与安全评估软件133.2.3.5 病毒防范133.2.3.6 VPN 132.3.7 PKI 143.2.3.8 入侵检测143.2.3.9 日志取证系统143.2.3.10 应急响应与事故恢复143.2.4 各子部分之间的关系及接口15第三部分相关网络安全产品和功能16第一章防火墙161.1防火墙的概念及作用161.2防火墙的任务171.3防火墙术语181.4用户在选购防火墙的会注意的问题:21 1.5防火墙的一些参数指标231.6防火墙功能指标详解231.7防火墙的局限性281.8防火墙技术发展方向28第二章防病毒软件332.1病毒是什么332.2病毒的特征342.3病毒术语352.4病毒的发展的趋势372.5病毒入侵渠道382.6防病毒软件的重要指标402.7防病毒软件的选购41第三章入侵检测系统(IDS)423.1入侵检测含义423.2入侵检测的处理步骤433.3入侵检测功能463.4入侵检测系统分类 483.5入侵检测系统技术发展经历了四个阶段 483.6入侵检测系统的缺点和发展方向 49第四章VPN(虚拟专用网)系统494.1 VPN基本概念494.2 VPN产生的背景494.3 VPN的优点和缺点50第五章安全审计系统505.1、安全审计的概念505.2:安全审计的重要性505.3、审计系统的功能特点50第六章漏洞扫描系统516.1网络漏洞扫描评估系统的作用516.2 网络漏洞扫描系统选购的注意事项:1、是否通过国家的各种认证目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。
一、引言防病毒软件作为电脑系统的重要组成部分,对于保护用户的隐私和数据安全起着至关重要的作用。
然而,随着网络环境日益复杂和威胁不断进化,如何评估和测试防病毒软件的效果和可靠性成为了一个亟待解决的问题。
本文将探讨如何评估和测试防病毒软件的效果和可靠性,为用户提供更有效的安全保护。
二、影响防病毒软件效果的因素1. 病毒库更新及时性病毒库是防病毒软件的核心组成部分,包含各类病毒的特征信息。
病毒库的及时更新对于保护用户系统免受新出现的病毒威胁至关重要。
因此,评估一个防病毒软件的效果时,需要考虑病毒库的更新频率和准确性。
2. 检测准确率防病毒软件的一个重要功能是检测病毒,并将其隔离或删除。
因此,评估防病毒软件的效果要考察其对病毒的检测率和误报率。
一个优秀的防病毒软件应能够准确识别各类病毒,并避免对正常程序的误报。
3. 系统资源占用情况防病毒软件需要在后台运行,对系统资源的消耗是一个需要考虑的因素。
过高的资源占用会导致系统运行缓慢,影响用户体验。
因此,评估防病毒软件的效果时,需要考虑其对系统资源的占用情况。
三、评估和测试防病毒软件的方法1. 实验室测试实验室测试是评估防病毒软件效果的一种常见方法。
实验室测试通常由专业安全机构或独立安全研究员来进行,他们会模拟各种攻击场景,测试防病毒软件的反病毒能力、性能以及对未知病毒的处理能力等。
实验室测试可以提供一定的参考,但也存在一定的局限性,因为实验室测试很难完全还原真实的网络环境和用户使用场景。
2. 用户反馈用户反馈是评估防病毒软件效果的另一个重要参考。
用户可以通过各种途径向软件开发商提交反馈,包括问题报告、建议或满意度调查等。
用户反馈能够反映用户对软件的实际使用情况和使用体验,从而评估软件的可靠性和效果。
3. 第三方评估和认证第三方评估和认证机构可以对防病毒软件进行独立评估和认证,提供中立公正的结果。
一些知名的第三方评估机构会对各类防病毒软件进行测试和评估,并公布评测结果。
国务院新闻办发表《中国的药品安全监管状况》白皮书国务院新闻办公室18日发表《中国的药品安全监管状况》白皮书。
全文如下:中国的药品安全监管状况中华人民共和国国务院新闻办公室二○○八年七月·北京目录一、药品供应和质量安全概况二、药品安全监管的体制与法制三、药品安全监管的政策措施四、中药和民族药的监管五、药品安全监管的国际交流与合作药品是人类用于预防、治疗、诊断疾病的特殊商品,对药品实施有效监管,关系到广大消费者的用药安全,关系到公众生命健康权益的维护和保障。
中国政府一贯高度重视药品安全监管,多年来以强化药品安全监管、保障公众用药安全为目标,逐步建立健全药品安全监管体制与法制,不断完善药品供应体系,稳步提高药品质量安全保障水平,积极维护公众用药权益,努力提高公众的健康水平。
一、药品供应和质量安全概况中国政府为医药产业发展积极创造开放公平的市场环境,大力推动医药产业实现持续快速健康发展。
经过新中国成立近60年特别是改革开放30年来的不懈努力,中国不仅改变了缺医少药的局面,而且药品质量安全保障水平得到了明显提高。
目前,中国可生产原料药1500种,且多个药物品种产量位居世界第一,如青霉素、维生素C等。
一批植物药和天然药物,如抗感染的黄连素、抗肿瘤的秋水仙碱等,已经在国内大量生产和广泛应用。
抗生素、维生素、激素、解热镇痛药、氨基酸、生物碱等产品在国际医药市场上占有相当的份额。
中国生产的青蒿素产品,在国际上被广泛使用,为防治疟疾作出了重要贡献。
现今中国可以生产预防26种病毒、病菌感染的41种疫苗,年产量超过10亿个剂量单位,其中,用于预防乙肝、脊髓灰质炎、麻疹、百日咳、白喉、破伤风等常见传染病的疫苗产量达5亿人份。
国产疫苗在满足国内居民防病需求的同时,已开始向世界卫生组织提供,用于其他国家的疾病预防。
在医疗器械方面,中国可生产3000多个品种,其中,数字X光机、磁共振、超声、CT等技术含量高的诊断治疗类产品在市场上占据了一定份额。
网络安全风险白皮书摘要本白皮书旨在全面分析当前网络安全领域的风险,并提供一些建议和解决方案,以帮助企业和个人更好地保护其网络安全。
首先,我们将介绍网络安全的重要性和挑战,然后详细讨论当前存在的主要网络安全威胁,并提供一些应对策略。
最后,我们将探讨网络安全的未来发展趋势和建议。
1. 引言网络安全是当今数字化时代的重要议题。
随着互联网的普及和信息技术的快速发展,网络安全面临着越来越多的挑战。
网络攻击的频率和复杂性不断增加,给个人、企业和国家的安全带来了巨大威胁。
因此,加强网络安全意识和采取有效的安全措施至关重要。
2. 网络安全的重要性和挑战网络安全的重要性不言而喻。
网络安全威胁可能导致数据泄露、个人隐私侵犯、金融损失、商业间谍活动以及国家安全问题。
同时,网络安全挑战也日益严峻。
黑客技术的不断进步、恶意软件的普及、社交工程的出现以及供应链攻击的增多,都给网络安全带来了巨大的挑战。
3. 当前存在的主要网络安全威胁3.1 零日漏洞攻击零日漏洞是指尚未被软件开发者或厂商发现的安全漏洞。
黑客可以利用这些漏洞进行攻击,而受害者在攻击之前没有任何防御措施。
零日漏洞攻击对个人和企业的安全构成了巨大威胁。
3.2 社交工程社交工程是指通过欺骗、诱导和操纵人们的行为,以获取非法利益或敏感信息的攻击方式。
黑客可以通过伪装成可信任的实体或利用人们的弱点来获取他们的个人信息,从而进行进一步的攻击。
3.3 恶意软件恶意软件是指具有恶意目的的软件,如病毒、木马、蠕虫等。
恶意软件可以通过感染计算机系统来窃取个人信息、破坏系统功能或进行其他非法活动,对个人和企业的网络安全造成严重威胁。
3.4 供应链攻击供应链攻击是指黑客通过操纵或感染供应链中的组件或软件,从而在最终用户处进行攻击。
这种攻击方式可以绕过传统的安全防护措施,对企业的网络安全构成严重威胁。
4. 应对网络安全威胁的策略4.1 加强网络安全意识加强网络安全意识是预防网络安全威胁的重要措施。
反病毒产品的误报问题白皮书安天实验室反病毒产品的误报问题白皮书安天实验室近日,多起反病毒产品误报误杀的事件被媒体关注和报道,引发了一些公众的猜疑和恐慌。
安天实验室本着客观公正的态度,发布本白皮书,期望通过阐述反病毒产品的工作原理、归纳和分析误报的形成原因,让公众对相关问题有所认识和理解,并澄清误解。
一、误报的概念与特点1.1相关概念反病毒产品:以判别和处置计算机病毒为主要功能的软件或硬件产品。
检测对象:提交给反病毒产品判断是否为病毒的一个确定性内容,其形态可以是文件、内存内容或者网络数据。
报警:反病毒产品认定一个监测对象是病毒或包含病毒,并提供病毒名称及相关信息的行为。
1.2什么是误报?误报,是指反病毒产品检查一个可以确定不是病毒的检测对象时,将其报警为病毒。
漏报和错报这两个概念与误报相似,经常被人们混为一谈。
因此,同时给出它们的明确定义,以便区分:漏报,是指反病毒产品检查一个可确定是病毒的检测对象时,没有报警。
错报,是指反病毒产品检查一个可确定是某一种病毒的检测对象时,将其报警为另一种病毒。
1.3对误报的基本观点在反病毒行业,尤其是工程实现方面,误报的问题比漏报和错报更加敏感。
这是因为:误报既造成用户的心理恐慌,又可能对被误报产品产生不好的舆论影响,更是会直接导致误杀、使用户系统出现不可预期的后果。
反病毒技术应以保障用户系统的可用性为前提,极低的误报率,是商用反病毒技术的基本要求。
工程界普遍以严谨的态度看待误报,对误报率的约束之严格,远远超过漏报与错报。
例如,有非官方技术标准规定:反病毒产品的误报率不能超过万分之零点五,即对十万个不同的检测对象,最多允许五个误报。
即便如此,无论是公众还是反病毒工作者,还是希望产品能达到更低的误报率。
学术界的视角与工程界有所不同。
一些研究人员通过各种技术与方法(比如神经网络)来获得较高的未知病毒检出率,往往能得到令人鼓舞的结论。
然而,除非根本性的重大技术突破,对未知病毒的高检出率一般都伴随着高误报率。
大量优秀的成果,是以牺牲了误报率为代价的。
任何先进的检测手段,只要误报了一个系统关键文件或正常文件,就无法不加改动地直接用于真实系统。
正因为如此,尽管学术研究的成绩显著,但难以用于真实的产品。
实践中,反病毒产品如果能有超过10%的未知病毒检出率,就可以认为是很不错的结果了。
反病毒工作者依然要努力探索新的病毒检测理论和方法。
只有不断突破现状、开拓创新,才能实现真正的技术进步,推动行业的良性发展。
二、误报的类型与产生环节2.1误报的技术性与争议性前面已经介绍,误报即反病毒产品将非病毒对象判定为病毒。
从技术角度,误报是产品中的问题。
但在现实生活中,误报也可能是一种争议。
产生争议的原因在于:判断一个对象是否病毒(或恶意代码)的标准,不同的人有不同的看法。
这种争议通常不是技术上的问题,也比技术上的误报要更加普遍和难以应对。
比较常见的一种标准争议是广告件(Adware)厂商与反病毒厂商之间经常发生的冲突和诉讼。
广告件厂商为了提高软件的装机量,往往采取一些比较极端的推广方式,比如:与其他软件的安装程序捆绑、不经用户确认强行安装、页面注入、通过蠕虫或僵尸网络分发、阻止用户卸载等。
为了提高广告的点击率,通常频繁弹出广告、修改浏览器功能等。
这些行为常常遭到反病毒产品的查杀,这触犯了广告件厂商的根本利益,从而引发各种冲突甚至法律诉讼。
更有一些广告件厂商,以极端方式推广并取得满意的装机量之后,为了避免查杀,马上从软件中移除有争议的技术,并寻求公证机构的公证,最后以此为据,与反病毒厂商交涉。
另一种标准争议是对工具软件的定性。
一些工具软件的作者为了规避法律责任,坚称自己所开发的软件不是后门、木马,而是远程管理工具。
另一方面,从反病毒厂商的基本技术标准来看,远程管理工具与后门的根本区别在于:前者的被控制端对用户是可见的(例如,运行时在系统托盘中有明显的图标),并且安装的时候需要经过用户的确认同意。
但是这些软件通常不满足上述两点。
还有一种标准争议是,反病毒产品除了查杀对本地主机有害的恶意文件,是否还应该查杀运行结果会危害其他主机的检测对象?例如,1998年Back Orifice后门工具开始流行后,一些人认为反病毒产品不应该查杀计算机中用于控制受害主机的BO客户端(即控制端)程序。
如何判断一个误报是技术问题还是一种争议?简而言之,如果反病毒产品对检测样本的判定结果与厂商分析后的主观判定是一致的,就不能称其为技术问题。
比如,有的厂商迫于市场压力,不得不查杀一些并非病毒的样本,这就不能称之为误报。
所谓市场压力,是有第三方机构使用一些所谓经典样本库对反病毒产品进行评测,虽然其中大部分样本不具有主流操作系统中的活性,甚至根本就不是病毒,但公众往往将检出率作为产品好坏的唯一评判标准,这就迫使反病毒厂商单独处置这些样本。
本文接下来讨论的误报,是指作为技术问题的误报。
即:一个检测对象被反病毒产品报警了,但厂商经过分析确认,认为它实际上不是病毒。
2.2产生误报的环节误报的产生,涉及反病毒厂商对可疑样本处理流程中的每一个环节,包括:∙样本分析与判定环节:厂商将一个非病毒样本误判为病毒,导致该文件(或同源文件)被误报;∙特征提取环节:厂商在一个病毒样本上提取特征,但这个特征在其他正常对象上被匹配到;∙引擎机理环节:厂商的查毒引擎使用了不完善的机理或实现方式,导致正常对象被误报;∙未知病毒判定环节:厂商的未知病毒检测机制认为一个检测对象的风险超过报警阈值,而实际上它是一个正常对象。
接下来,我们对这些环节做进一步的详细分析。
三、样本分析与判定环节在这一环节,反病毒厂商需要判断可疑样本是否病毒。
一旦将非病毒对象误判为病毒,无论所提取特征的质量,误报都不可避免。
目前,恶意代码数量剧增,绝大部分可疑样本都通过分析系统被计算机自动化地分析和判定,而不是由病毒分析人员依据个人经验来分析决定,因此,这个环节产生的误判一直存在。
可能使分析系统误判的可疑样本包括:3.1被利用的第三方软件病毒作者或攻击者常使用已有的第三方软件来实现一部分攻击,而不是自己重写实现类似功能的工具。
例如,早在Back Orifice后门出现之前,就有攻击者修改商用软件,作为后门工具使用。
DIY蠕虫的出现促长了这种趋势。
由于各类工具的不断涌现,一些病毒作者发现,要DIY 一个蠕虫变得很简单。
不论是蠕虫的扫描部分、投放部分、升级部分、后门部分和跳板部分,都有很多工具可以直接使用(见表一),只需将它们组合起来,使用批处理命令或脚本代码来调度,就形成了一个蠕虫。
表格 1 蠕虫经常使用的第三方软件产生危害时,反病毒产品就难以区分到底是用户在正常使用,还是作为整体在执行。
一旦反病毒产品将这些工具本身视为病毒,就产生了误报。
3.2公共控件和驱动程序开发软件时,程序员经常使用一些公共的控件或驱动程序。
这种机制为开发提供了便捷,但也被病毒用来实现一些功能。
例如:在Window 9x时代,木马经常通过可执行文件绑定(ExeBind)的方式,搭载winsock.ocx控件,在运行后将其释放为独立文件,并利用它获得网络功能。
如果将病毒衍生的这些公共控件或驱动程序当成了病毒,并提取特征,就会导致使用了它们的其他正常程序被报警,产生误报。
3.3开源软件开源软件的情况与上述公共控件和驱动程序类似,但更容易为病毒作者所用。
例如,VNC是一款著名的开源远程管理工具,其行为非常规范——运行后,在系统托盘显示图标;用户可以设定密码验证;可以正常关闭等。
因为可以获得它的源码,一些病毒作者就对其进行修改,去掉这些对用户可见的功能,最终改造成为一个后门工具。
如果反病毒厂商对这类修改开源软件形成的病毒提取特征,很难避免不提取到原软件的代码之上,这将导致正常的开源软件也被报警,产生误报。
3.4被修改的文件有的病毒会修改系统文件或其他程序文件,以达到自己的目的。
例如,著名的蠕虫Happy99修改系统中的动态链接库文件wsock32.dll,改动它的一些函数调用,使之调用蠕虫所带的另外一个链接库。
这样,当系统程序通过wsock32.dll发送邮件时,蠕虫就会获得收件人地址,然后将自身作为附件发送到该地址,实现复制和传播。
同样,一旦厂商认为修改前的文件是病毒,或者在被修改过的文件上提取特征稍有不当,就会导致正常的原文件被误报。
四、特征提取环节在上一环节我们已经看到,即便没有发生误判,也有可能因为提取的特征质量不高、不能显著区分恶意代码和正常文件,从而产生误报。
一个高质量的特征,既表达了代码的恶意行为,又不会在正常对象中被匹配。
但是,与自动化分析和判定相对应,在反病毒厂商的后台处理流程中,大部分病毒样本的特征都通过一种或多种固定的算法来提取。
面对一些特殊的情况,就有可能产生质量不高的特征。
4.1感染式病毒感染式病毒的特点是在正常的可执行文件上附着一段恶意代码,通过修改入口点或执行流程,获得执行权限。
对感染式病毒的特征提取得是否准确,取决于对这一段附加恶意代码的边界判定是否精确。
如果分析系统或分析人员没有准确地找到恶意代码与宿主文件的边界,而将特征提取到宿主文件之中,不仅无法有效地查杀病毒,反而会导致对宿主文件的误报。
4.2被加壳的文件加壳是一种压缩或加密可执行文件的方法。
可执行文件被加壳后,在运行时先由壳代码将其解压缩或解密到内存,然后开始自身的正常运行。
恶意代码通常将加壳以躲避查杀,也有一些正常的软件为了压缩尺寸或保护自身而加壳。
当分析系统或反病毒产品不能脱掉一种壳时,通常从带壳的病毒文件上直接提取静态特征。
一旦提取的位置正好位于壳代码之中,而不是被壳压缩或加密的恶意代码上,就会导致所有加了这种壳的文件都被反病毒产品报警,对其中的正常文件就发生了误报。
4.3自解压文件自解压文件常被蠕虫使用,尤其是前面提到的DIY蠕虫。
在采用了众多工具软件和脚本程序拼装成一个DIY蠕虫后,为了将它们组装成单个文件,作者一般将其打包为一个自解压包,并设定其中一个程序在解压缩后自动运行。
与被加壳的文件类似,一旦特征提取到了自解压代码上,就会导致所有使用相同技术制作的自解压文件都会被报警。
从广义上看,自解压文件并不仅是WinZIP或WinRAR等常见软件生成地、能自动解压和运行的包裹,还包括其他几种情况:1.使用安装包制作工具,将多个文件打包为一个软件安装包。
不少作者还将病毒与其它软件捆绑到一起,制作成一个安装包,这样做更具有欺骗性。
2.使用并不常见的打包软件。
3.对生成的自解压文件进行修改,去掉一些识别特征,但不影响它的功能。
目的是使自动分析系统误认为它不是包裹文件。
这些情况尤为容易导致不成熟的自动化分析处理系统产生误判,并提取出低质量的特征。
4.4编译器的影响使用不同编译器生成的病毒,编译器的特性也会对特征提取造成影响。
