反病毒专家详解杀毒引擎 行为检测受推崇
【eNet硅谷动力专稿】近日反病毒厂商纷纷发布《07年上半年病毒疫情和安全》报告,根据几家的报告显示,07上半年病毒数量已前所未有的速度急剧增加,特别是针对用户敏感或财产安全的木马病毒更是格外嚣张。AV、烧香、0day漏洞这些让无数用户深受侵害的病毒的泛滥是否可以避免?是否我们的杀毒真的无法保证用户的安全?更为严重的类似赛门铁克造成的严重误杀。我们的杀毒软件还安全吗?带着这着一系列的问题,8月2日,记者就杀毒引擎技术及发展方向,采访了江民科技研发部经理反病毒工程师黄晓润(以下简称黄)。
记者:我们都知道杀毒软件的核心是杀毒引擎,那么您可以谈一下什么是杀毒引擎,它的主要作用是什么吗?
黄:杀毒引擎主要的作用是查杀病毒,杀毒引擎是决定一款杀毒软件技术是否成熟可靠的关键。在狭义上的杀毒引擎是指通过病毒库的调用来对文件识别是否为病毒库的这部分,在完成这个功能时还需要一些内存及资源的管理能力。现在对杀毒引擎还有广义的说法,用于泛指病毒文件识别、病毒的防御能力等。具体就是在文件扫描的基础上增加了文件监视、网监视及其他实时监视和防御部分,一般我们所说的杀毒引擎是泛指特征码识别。这也是杀毒软件中最重要和最成熟的技术。详细的讲其实杀毒引擎还需要具备文件识别,内存管理以及各种机制的识别能力。
记者:杀毒引擎的性能是如何判别的?我们知道对病毒的脱壳的能力是判断一款杀毒软件性能的一个很重要的标准,江民的性能在技术上有没有什么优势又或者有没有什么BUG?
黄:杀毒引擎的性能是一个综合的评比,但是国内并没有一个统一的标准来规范杀毒引擎,但是每个厂家对杀毒引擎都有自己的评判标准。在引擎评价上,特征码识别,内存管理,异常处理,容错机制等,这些都是评价引擎好坏的标准。当然脱壳技术也是不得不提的,脱壳速度的快慢,脱壳的准确性和数量,也是很重要的。江民的脱壳技术在行业内可以算得上是领先的,我们有十分专业的团队,处理各种不同的壳。
记者:能介绍一下江民的脱壳技术和这方面的优势吗?
黄:我们知道壳主要是针对PE病毒而言,江民多年的从业经验,在脱壳方面积累了丰富的经验,多年前江民杀毒软件中已经有脱壳支持。对于国内常见的壳我们有百分百的把握,在加密壳的处理方面,我们本身就有加密方面的优势我们也有很大的优势。但是必须认识到加密变形已经成为趋势现在加密变形已经成为趋势,这种势头正在迅速增长。对于加密壳的研究,一直是江民在行业内的优势有突出的优势。
记者:我们知道,如今安全技术已经引起越来越多的人注意,很多软件都存在漏洞或BUG,不知道我们江民的产品是否也存在BUG?如果有这样的BUG存在,江民如何处理的?
黄:程序都会有Bug,特别是大型的程序Bug肯定是会存在,对于这一点我们本身是十分重视的,在一个产品推出前,我们会进行内测,然后是行业内的专家和用户的公测,在得到一个稳定的结果后才会推出。另外,作为病毒的对立方,有些病毒也会有意造成一些特殊情况来给杀毒软件造成一些困难,如一些特殊格式的文件。针对这种情况,我们首先充分考虑各种情况,同时采取一些容错机制来避免问题的出现。同时也针对具体问题,提供一些发现机制,并在发现时及时的分析并解决。
记者:江民的监控程序如何避免影响系统的正常运行,如何避免影响正常的文件操作和其他程序的正常运行,以及如何避免与操作存在冲突?
黄:江民监控程序可以准确分辨哪些是系统程序哪些是其他程序,若是系统程序将直接放行,如果是其他的程序,会进行行为和特征的对比,保证用户使用的安全。对于文件操作,我们会通过特征库的对比,确定是否是恶意程序,我们的保护机制也会防止误删除的发生。在程序冲突方面,比较突出的当然我们最关心的还是网络操作冲突,网络冲突又主要表现在和网游的冲突,这个主要是因为游戏的安全机制所引起的。游戏为了保护用户的安全,在安全防护机制上可能会和杀软监控的一些底层处理产生冲突,对于这种情况我们会和厂商沟通,及时合理的解决冲突。
记者:江民对现在常见的大部分软件江民对现在常见的大部分病毒,当然包括恶意软件和病毒木马,都有一个详细的记录,病毒都已经提取了详细的特征码?
黄:这个是可以肯定的,任何成熟的杀毒软件,都有一个庞大的病毒库,我们的工程师对其中的每一种病毒都进行分析,包括需要启用的进程,基本的行为记录。并会及时将特征加入到更新病毒库。
记者:那我们的病毒样本是如何采集的呢?这个数据是否真实可靠?
黄:在病毒的采集方面,我们主要通过江民自己的病毒收集系统、用户反馈信息、渠道以及厂商交换来完成的。当然这些收集来的信息都需要我们的工程师做详细的分析,保证及时准确。
记者:我知道在国外,赛门铁克等厂商正在计划新的杀毒引擎标准设计,这种新的引擎标准,主要是涉及到行为检测的开发和引入,江民在这方面是怎么做的呢?
黄:行为检测现在还不是很成熟,但是行为检测肯定会在以后得到很好的发展。这主要取决于对行为分析技术的成熟,智能算法的突破,规则库的完善以及引擎开发的更加进一步成熟。当然我们的产品于去年就也引入了行为检测,这主要体现用在系统监控上。主要通过先控后报警主要通过发现后报警,收集信息,然后经过我们专业工程师的分析,对比特征码,最后确定等来确定行为该样本是否对系统有害。当然这在以后也会越来越多的用在对未知病毒的检测技术中,特征码在这方面肯定是有缺陷的,我们会逐步完善通过行为检测和特征码的结合来达到更好的效果。
记者:那在行为检测中,如何避免误杀?我们知道行为检测中的误杀,要比特征检测更难防范。
黄:行为检测必定会带来更多的系统误杀概率行为检测必定会带来一些的系统误报概率,对于专业用户可以进行判断并采取相应的措施,但对于普通来说如何判断则是一个难题。,任何技术的发展都是双面的,在这方面我们主要是将行为检测技术与传统的特征码技术进行结合,以取得更好的防御效果。,所以我们也在不断的完善我们的病毒库同时,,不断的对系统进行分析,逐步完善行为检测的规则库。从现在的技术来看,特征码仍会起关键作用,主动防御(行为检测)也会越来越多的被应用进来。