创意安天

 找回密码
 注册创意安天

关于反病毒知识的解读 (安天实验室研发组老李)

[复制链接]
发表于 2009-6-30 09:33 | 显示全部楼层 |阅读模式
上周在论坛上看到几位热心用户对一些反病毒知识的咨询,接下来的一段时间会对这方面做一些解读和探讨,也希望网友对我个人理解上的偏差进行纠正。
 楼主| 发表于 2009-6-30 09:33 | 显示全部楼层
本帖最后由 研发组老李 于 2009-6-30 09:39 编辑

为什么安天防线免疫U盘会建立三个文件夹


安天实验室 研发组老李


根据windows操作系统同一目录下文件间、文件与文件夹间不能同名的系统要求,磁盘免疫工作的原理就是用最易受攻击的三个文件的文件名,来建立一个隐藏和不可读写的同名文件夹,来保证U盘插入的时候不会自行启动病毒文件。

最常见的U盘病毒是通过修改AutoRun.inf、Desktop.ini、Folder.htt这三个文件完成的。

一、关于AutoRun.inf

根据微软的官方解释,autorun.inf是windows下操纵光盘行为的一个文件,需要放在光盘根目录下,部分操作对于硬盘也适用。
从win95开始,我们在使用光盘的时候,常常会发现只要光盘放进光驱,就会弹出一些软件安装或者操作界面,进行软件的自动安装,比如windows系统安装这样的各种操作提示等。这就是光盘里含有了事先制作好的AutoRun.inf文件,在以后其他版本的操作系统也保留了这个文件和他的功能,并且也可以部分的应用到其他的储存设备中,这就为U盘病毒的传播提供了一个条件。
什么是Autorun.inf文件呢,严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,并且是隐藏的系统文件,它是由一个或多个“节”组成,每个“节”必须以节名作为开始的一行,节名必须用中括号[ ]括起来,节名之下则为本节中的命令。其中Autorun.inf一共支持三个节,它们分为[autorun]、[autorun.alpha]、[Deviceinstall],其中[AutoRun]就是我们常说的自动运行命令了,其他两个命令并不是必须存在的。
病毒最常使用的方法就是:
1)  利用自动运行机能,在[AutoRun]里的open= 这个命令,他可以直接调用任何一个可执行的文件,如果病毒修改或建立了autorun.inf文件,就会在我们双击U盘或磁盘的时候将病毒运行起来。
2)  病毒会在所有磁盘分区的和U盘里的根目录下建立或修改AutoRun.inf,这样只要我们双击这些盘符,就会触发autorun.inf自动运行病毒文件。

二、关于Desktop.ini
Desktop.ini是windows系统的配置文件,他记录了文件夹内部的一些信息,并控制了文件夹在资源管理器中的显示。
iconfile=图标文件路径及文件,这个命令会调用系统中的exe文件和dll文件,如果病毒程序修改了Desktop.ini,就会自行开启对可执行文件的调用,从而进行破坏活动。

三、关于Folder.htt
folder.htt是一个超文本模板文件,既然是超文本文件,也就是支持了HTML的语法,同时也就支持了VBscript、javascript和java applet等语言,那么有些病毒就会利用这些脚本语言,与网络进行交互,对注册表进行改写等恶意行为。

四、那么安天防线是如何预防的?
1)  根据windows操作系统的工作原理,同一个目录下的文件不能重名,这就包括了不能有同名的文件夹,不能有同名的文件,那么同名的文件和同名的文件夹也是不能存在的。所以在全部磁盘的根目录下都建立了AutoRun.inf文件夹,并将其设置成对任何的用户都不提供权限,这样病毒就无法删除和读写,也就保证了自动运行功能的终止。
2)  因为autorun.inf是系统默认隐藏的系统文件,用户在正常状态下是不会看到这个目录的,除非手动打开了查看所有的系统隐藏文件这个选项才会看到,所以安天的磁盘免疫功能运行后生成的目录并不会影响到用户的正常工作,完全可以放心的使用下去。
发表于 2009-7-1 14:46 | 显示全部楼层
那为什么要建立RECYCLER呢?
发表于 2009-7-2 10:32 | 显示全部楼层
RECYCLER
这是windows建的和免疫没关系啊
 楼主| 发表于 2009-7-7 13:19 | 显示全部楼层

安天防线的系统监控是如何工作的?

本帖最后由 研发组老李 于 2009-7-7 13:46 编辑

安天防线的系统监控分为以下几个部分:文件监控、网络监控、网页监控和U盘监控。

文件监控:针对进程、模块、驱动等动态行为进行实时监控,通过特征检测及启发式检测等方式,在文件操作之前检测文件是否带有病毒,从而有效阻止病毒运行,保护系统安全。文件监控启动后将自动运行于后台,一旦发现病毒,将根据其用户的设置采取相应措施。


网络监控:实时监控用户的网络,查封不明的IP地址和端口,对网络行为实现了高速过滤和监控,有效拦截来自网络的各种威胁,杜绝一切恶意程序侵害用户的电脑。同时,用户还可以根据需求自定义防护规则,将指定的攻击行为直接阻断于主机之外,为用户提供更灵活的网络防护。
可在配置选项中选择网络监控策略:
正常使用正常使用网络监控,可以有效地防止一些常见的蠕虫的攻击。
系统初装适合操作系统刚装完时使用,在该种模式下用户可以正常的访问网络,可以有效阻止攻击。



网页监控:通过拦截下载网马的恶意行为,有效阻止木马从被挂马网站传播到用户机器。基于网页木马行为进行智能分析,除了可以处理目前互联网所有已知漏洞外,还可以有效检测未知网马,自动对抗更新迅速的网页木马,帮助用户远离来自网页木马病毒的威胁,更有效的保护用户安全上网。


U盘监控:U盘进行病毒扫描,以防止机器因使用U盘而感染病毒的情况。对于插入机器的U盘,可以自动对其进行免疫处理,有效解决U盘病毒交叉感染、屡杀不止的情况。
 楼主| 发表于 2009-7-7 14:47 | 显示全部楼层

安天防线如何处理感染文件和可疑文件?

本帖最后由 研发组老李 于 2009-7-7 14:55 编辑

安天防线为用户提供了安天隔离区与安天信任区,用户可以将感染文件或可疑文件转移至安天隔离区中,也可以将自己确认安全的可疑文件添加到白名单存储至安天信任区,以保证系统免受病毒文件侵扰。

安天隔离区:安天防线按照用户的设置,可将感染文件或者可疑程序转移至安天隔离区中。用户可以直接查看相关的文件信息,还可以添加、恢复、删除隔离区文件。同时,用户也可将安天隔离区的文件导出,上传至安天进行分析,并获得分析结果反馈。


安天信任区:安天防线检测出的可疑文件,可能其中的一些是用户确定安全的,用户可以将这些文件添加至白名单存储在安天信任区中,在下一次病毒扫描时,安天信任区中的文件将被默认为正常文件,不再提醒用户处理。用户可以进行添加、取消信任。


安天防线的信任区与平时常说的“白名单”可以理解为同一个意思。
白名单的概念与“黑名单”相对应。在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过。如果设立了白名单,则在白名单中的用户(或IP地址、IP包、邮件等)均可通过。
 楼主| 发表于 2009-7-7 15:43 | 显示全部楼层

关于安天防线病毒扫描的相关设置的含意

本帖最后由 研发组老李 于 2009-7-7 15:48 编辑

发现病毒时的处理方式:
仅报告仅在扫描报告中体现病毒名称、文件路径等信息。
提示发现病毒时提示用户,用户可根据提示选择仅报告清除
清除直接将病毒文件移动到安天隔离区或直接清除。
清除前将文件放入隔离区将要删除的文件移动到安天隔离区备份。

病毒扫描的文件类型:
可执行文件扫描包含可运行代码的可执行文件。
所有文件扫描磁盘上的所有文件。选中此选项以便获得更加强大的保护。
包裹文件扫描压缩文件内的所有文件,并了解包裹文件中是否有感染文件及其具体文件名。

可执行文件:可以独立执行完成预定任务的一个程序,可以加载到内存中,并由操作系统加载程序执行。它可以是 .exe 或 .dll,.com、.bat文件也都是可执行文件。
包裹文件:压缩文件,常见格式有.rar、.zip。
 楼主| 发表于 2009-7-7 15:54 | 显示全部楼层

安天防线除扫描病毒,还能扫描什么?

安天防线可扩展的扫描类型:
感染式病毒目前感染式病毒使用技术较为复杂,这些病毒一旦感染了磁盘中的应用程序文件,就很难被清除掉,用户最终只能选择全盘格式化,对用户系统危害极大。
流媒体弹出广告在播放流媒体文件时经常会有恶意弹出的网页或广告。一般在打开影片文件或拖动时弹出,广告网页里面还经常夹带木马等恶意软件的威胁。
广告件广告件会在用户机器上弹出广告或散布非法消息的软件,可造成大量资源被占用,机器性能下降,
但不排除其它程序(如某些Shareware) 对其有依赖,
删除后将导致那些程序失效。
色情件以色情站点相关或以色情诱使用户运行的有害程序,如自动拔号或下载色情信息的工具。
密码破解工具密码破解工具的作用,就是通过解码得到密码。运转破解工具的系统越快,解码的时间就越短。它当然也能用来破解上网账号或电子邮箱的密码。
敏感工具敏感工具指有可能被黑客或病毒利用并完成某些功能的程序。
远程控制工具允许通过 Internet 从另一台计算机上访问以获得信息、攻击或变更用户的计算机的程序,但也不排除是用户使用的网管工具。
网络扫描工具网络扫描、嗅探工具,用于探测或攻击其它主机的程序。
发表于 2009-7-7 16:14 | 显示全部楼层
针对RECYCLER 文件夹是系统创建的,很多病毒或木马多会把实体隐藏到该文件夹中,因为该文件夹是隐藏的不可见的。所以我们针对该目录也创建了一个免疫文件,就是为了防止用户系统尽量避免感染给病毒藏身。
 楼主| 发表于 2009-7-8 17:06 | 显示全部楼层

安天防线提供了哪些常用辅助工具?

安天磁盘免疫工具:安天磁盘免疫工具还可以禁止磁盘自动播放(避免插入移动磁盘是磁盘中的病毒自动运行);修复磁盘打开关联(避免打开磁盘时病毒自动运行);替换现有的免疫文件(保证免疫文件的可用性和完整性)。

系统补丁修复工具:实时自动检测系统中存在的安全漏洞,第一时间下载漏洞修补程序进行系统修复,在提高计算机安全性和稳定性的同时,极大程度上避免了系统被黑客及恶意程序等的攻击。

安天策略配置优化工具:通过禁止IPC空连接、禁止执行IE临时文件、磁盘免疫以及其他安全策略来调整系统的安全系数,帮助用户防患于未然,使系统时刻处于安全状态。

AVL PK安天终极专杀工具:将多个最流行的木马、蠕虫、病毒等恶意代码的专杀工具合为一体,内置了袖珍化的AVL SDK反病毒引擎,在多年与不同的木马、蠕虫的对抗中进行了数百次更新,并且根据每周流行病毒情况至少更新一次,有重大病毒疫情出现时随时更新,彻底查杀流行病毒。
 楼主| 发表于 2009-7-10 16:34 | 显示全部楼层

启发式检测与特征检测

本帖最后由 研发组老李 于 2009-7-10 16:35 编辑

启发式检测特征检测技术质的飞跃,其与传统病毒特征值扫描技术相比,优点在于对未知病毒的防御,同时也是特征扫描的一种补充。

反病毒特征检测技术,是由反病毒样本分析专家通过逆向反编译技术,使用反编译器来检查可疑样本文件是否存在恶意代码,从而判定程序文件是否属于正常程序或病毒、恶意软件。在确认程序为病毒、恶意软件后,不同的安全厂商根据自己的标准对此可疑程序样本进行特征提取和样本命名(不同安全厂商有自己规定的特征提取点和样本命名规则)。最后经过测试部门测试通过后,更新到服务器,提供用户的本地病毒库更新。在用户操作系统正常监控或用户手动扫描后,利用杀毒引擎对系统上的文件自动进行特征值提取并与病毒库中已存特征值比对,条件符合即比对结果为真时,即判断此文件为病毒库中记录的特征值对应的病毒名称的病毒(恶意软件)。

启发式检测,在原有的特征检测技术基础上,将反病毒样本分析专家总结的分析可疑程序样本经验,以程序形式移植入反病毒软件,在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的。

由于特征检测需要在反病毒专家截获样本、分析、测试并上传至服务器,用户更新病毒库后方可查杀该病毒,所以启发式检测很好的弥补了单一通过特征值比对所存在的杀毒滞后的不足。
发表于 2009-10-30 09:05 | 显示全部楼层
顶贴   朋友应该是内部人员     是不是开发人员哦
发表于 2009-11-17 19:46 | 显示全部楼层
老李,普及下安全知识吧,怎么利用安天来保护系统等等。
 楼主| 发表于 2009-11-18 09:49 | 显示全部楼层
收到,正在准备中,先从基本知识入手讲解。
 楼主| 发表于 2009-11-20 11:44 | 显示全部楼层
老李,普及下安全知识吧,怎么利用安天来保护系统等等。
evilrabbit 发表于 2009-11-17 19:46



这周尝试用漫画形式来介绍一些网络信息安全的基础知识,还在尝试中,请evilrabbit 朋友给些意见呀,呵呵,欢迎建议。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 02:21

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表