毒师周军:我如何创造一只“杀毒神兽”(2)
我们把火绒剑放到了自己的QQ群里,也放到了卡饭论坛上,大家觉得这个工具非常实用,这些支持者也成为了我们的最早的用户。 【火绒剑】 有了火绒剑,显然就要有火绒盾。火绒盾一开始的功能也很简约,就是通过行为模式来判断一个程序是否存在恶意。 看一个程序是否有恶意行为,仅仅通过一个动作(单步防御)在很多情况下不能奏效,而是要把一个主体的多个动作串联起来才能判断。 举个例子:
这个思路并不新奇。火绒盾做出的第一版产品也和“主流产品”很相似。但是由于可以直接接触到用户的反馈,我发现原来我们做多步防御的思路并不好。 过去的行为分析,主要看的是进程和进程的关系。每个分析器用独立的视角分析一个进程,这样就会造成子进程父进程等等多个进程分析之间的混乱。而我们发现,如果换一个视角,把每个行为和进程的关系作为一个矩阵来观察,事情就变得非常清晰了。 用这种方法,系统可以比较容易地总结出病毒的行为模式,建立起一整套基于行为的防护规则。这一套分析规则一直没有让人失望,至今为止还没有需要被“特殊照顾”的白名单文件。 (编辑:ASP站长网) |