设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

毒师周军:我如何创造一只“杀毒神兽”(2)

发布时间:2017-03-03 19:11 所属栏目:53 来源:雷锋网
导读:我们把火绒剑放到了自己的QQ群里,也放到了卡饭论坛上,大家觉得这个工具非常实用,这些支持者也成为了我们的最早的用户。 【火绒剑】 有了火绒剑,显然就要有火绒盾。火绒盾一开始的功能也很简约,就是通过行为模

我们把火绒剑放到了自己的QQ群里,也放到了卡饭论坛上,大家觉得这个工具非常实用,这些支持者也成为了我们的最早的用户。

毒师周军:我如何创造一只“杀毒神兽”

【火绒剑】

有了火绒剑,显然就要有火绒盾。火绒盾一开始的功能也很简约,就是通过行为模式来判断一个程序是否存在恶意。

看一个程序是否有恶意行为,仅仅通过一个动作(单步防御)在很多情况下不能奏效,而是要把一个主体的多个动作串联起来才能判断。

举个例子:

一个人使用刀,并不是违法行为;

一个人站在人群中,也并不危险;

但是一个人在人群中握着刀,就很危险。

这个思路并不新奇。火绒盾做出的第一版产品也和“主流产品”很相似。但是由于可以直接接触到用户的反馈,我发现原来我们做多步防御的思路并不好。

过去的行为分析,主要看的是进程和进程的关系。每个分析器用独立的视角分析一个进程,这样就会造成子进程父进程等等多个进程分析之间的混乱。而我们发现,如果换一个视角,把每个行为和进程的关系作为一个矩阵来观察,事情就变得非常清晰了。

用这种方法,系统可以比较容易地总结出病毒的行为模式,建立起一整套基于行为的防护规则。这一套分析规则一直没有让人失望,至今为止还没有需要被“特殊照顾”的白名单文件。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读