我们先从大的方向来梳理一下,这样更有利于我们对病毒有个框架的理解和认识。
![图片[1]安全114-网络安全在线-网络安全百科-网安百科搜索引擎对于日趋严峻的计算机病毒我们该了解的病毒基础知识,掌握这些基本的就可以了](https://www.anquan114.com/wp-content/uploads/2024/01/image-41-1024x622.png)
1,不同操作系统不同的平台病毒也不相同,所以说病毒库在这些不同环境下也不同病毒的命名方式是类似于TCP IP协议分段去命名的,在中间最后一位都加有不同厂商的标志,比如说 gen.
2,对于命名规范国际有相关的一些规则和标准,但就国内来说360是明确不遵守的,他有自己的一些病毒特征库的编码和规范要求。
3,不同的病毒其实是分为几个大类,当然并不是说这几个大类,他们只具备它特有的,因为他们除了主要的病毒功能之外,还有其他的一些病毒威胁在里面,我们也就是所称的增殖病毒能力。
4,对于病毒的定义,各厂家也不完全相同,当然对于公共的病毒来说,基本上都有着共识,但对一些特殊的或者是一些新的病毒特征和样本,这就是要靠这个厂家的信服力去争夺市场的认可,比如说当前的勒索病毒,勒索病毒被定义出来之后,只要是具备他这个主要特征的病毒,我们都承认是勒索病毒。
5,当前我们举一个比较具备代表性的,比如说感染性病毒,那感染性病毒不仅是只针对于我这个主体去感染,而且它会对我们相应的供应链进行污染,那这就是我们当前所说的供应链安全。
6,对于勒索病毒来说,它主要是采用了aes和DES这些比较高强度的加密算法,当前解密是可以,但是难度较高,对于火绒来说的话,我们现在有部分的一些密钥库,当仅仅是在于解决当前已经识别的勒索病毒未识别的当前都很难去处理。
7,对于勒索病毒来说,当前也形成了一个相对比较完整的流程,那这个流程我们听的比较多的也就是R as的这个服务流程。
8,对于火绒的勒索病毒防护,我们主要是通过沙盒的方式来对勒索病毒进行诱捕,再对他的一些行为特征做分析,最终识别和判断是否是rose病毒,并对他采取进一步的防护措施。
9,当前反病毒系统主要是跟云上和云下两种,那我们的火荣是如何去提现竞争的呢?我们主要从以下几个维度第一专业性,虽然现在大厂很多,但真正具备从产品唯一性从技术导向性服务专业性上来说的话,火绒具备相当大的优势。其次从当前OEM市场来说,本身火绒的反病毒引擎已经和很多上市公司以及不同的安全厂商都有着相关密切的技术能力合作,所以说在这一块也从大的市场方向上看到了火绒,在整体技术端的优势所在。那最后从我们技术本身落地上来看,火融当前的客户端体量小,轻巧,一部署一维护功能强大反病毒彻底等优势,进一步体现出这一优点,我们也可以从另外一个维度去考虑同一个厂商,如果具备多个反被动引擎,这种可能性有多大,如果有的话,对于用户当前的环境如性能体量,包括它这个查杀的效率等,都有可能会产生一定的影响。
知己知彼,对于病毒的防护,也就是我们经常提到的反病毒引擎的介绍。
![图片[2]安全114-网络安全在线-网络安全百科-网安百科搜索引擎对于日趋严峻的计算机病毒我们该了解的病毒基础知识,掌握这些基本的就可以了](https://www.anquan114.com/wp-content/uploads/2024/01/image-42-edited.png)
近期看某资料简单说两句,探讨指正
从引擎上来看,可通过静态和动态两种方式。
静态只要通过标本病毒样本的方式比对!动态主要是针对于行为分析也就是行为特征。
病毒的特征来看,同样分为静态和动态。
静态主要指的是在本地活动的运营。动态指的是通过内网以及和外网通讯建立的连接病毒。
1,不同厂家在发现病毒特征后,会将他拉黑进入自己的病毒特征库,那对于当前未形成标准的情况下,其他家为了保证自己的误误杀率以及提高自己的命中率,也会将同类型的特征直接拉拉到自己的病毒库,这样也导致了在未经严格确认的情况下导致的一些病毒样本,只有原厂才有可能直接把它拉白。
2,对于反病毒引擎,我们可以从两个维度来说,一个是静态,另一个是动态。那从静态来说,我们也说静态启发模式,那在这里面我们大部分是通过采用一些脱壳技术去进行识别和判断,这是最主要的一个特征,那从动态来说的话。我们将从自己对他的一些价格,包括混淆数据应用等等,或者是说直接用混淆去去进行厄病毒的一些特征应用,那我们在这个里面主要是通过向动态通用脱壳技术,还有一个是动态行为分析技术。
3,云上和本地引擎的一些分析,一云上是在于所有发现要匹配我云端的一些哈希值来进行确认是否是病毒效率相对来说会比较慢而且对于这种一集数据特征说更有影响,但本地来说它就会从引擎上都在本地,特征都是在本地切具备本地环境的特征才会进入到当前的车身库,所以说速度会更快,效率会更高,功能会更强大。
4,另外从情报或者是说特征库来说,有不少厂商其实是在直接供应这些内容,但接受方一般都需要对病毒以及情报进行清洗处理,然后再进行归档,进到自己的正式库里面去,这样从整体来说耗时时间就比较长,不能够及时同步当前市场上所面对的一些比较新的一些威胁以及情报系统。
5,对于病毒,我们如何来保证它能够被真正有效的识别和判断不会产生漏的情况,在这个情况下,火绒是采用直接和windows的底层API进行关联,当系统要应用到这些或者是启动这些程序的时候,我们会自动进行API去获取这些基本的信息啊,包括这里面内容的一些扫描,如果说在未经授权或许可的范围内,我们不允许相应的一些数据直接落地到缓存里面去,这样也进一步保障了我们现有的一些数据安全以及病毒入侵的可能性。
来源:安全壹壹肆公众号
暂无评论内容