什麼是啟發式
啟發式:簡化虛擬機和簡化行為判斷引擎的結合。主要針對:木馬、間諜、後門、下載者、已知病毒(PE病毒)的變種。Heuristic(啟發式技術=啟發式掃描+啟發式監控)
重點在於特徵值識別技術上的更新、解決單一特徵碼比對的缺陷。目的不在於檢測所有的未知病毒,只是對特徵值掃描技術的補充。
啟發式技術是基於特徵值掃描技術上的升級,與傳統反病毒特徵值掃描技術相比,優點在於對未知病毒的防禦。是特徵值識別技術質的飛躍。 啟發式查毒技術屬於主動防禦的一種,是當前對付未知病毒的主要手段,從工作原理上可分為靜態啟發和動態啟發兩種。
啟發式指 “自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能”, 是防毒軟體能夠分析檔案代碼的邏輯結構是否含有惡意程式特徵,或者通過在一個虛擬的安全環境中前攝性的執行代碼來判斷其是否有惡意行為。在業界前者被稱為靜態代碼分析,後者被成為動態虛擬機。 靜態啟發技術指的是在靜止狀態下通過病毒的典型指令特徵識別病毒的方法,是對傳統特徵碼掃描的一種補充。由於病毒程式與正常的應用程式在啟動時有很多區別。 通常一個應用程式在最初的指令,是檢查命令行輸入有無參數項、清屏和保存原來螢幕顯示等,而病毒程式則通常是最初的指令是直接寫盤操作、解碼指令,或搜尋某路徑下的可執行程式等相關操作指令序列。靜態啟發式就是通過簡單的反編譯,在不運行病毒程式的情況下,核對病毒頭靜態指令從而確定病毒的一種技術。 而相比靜態啟發技術,動態啟發技術要複雜和先進很多。動態啟發式通過殺軟內置的虛擬機技術,給病毒構建一個仿真的運行環境,誘使病毒在殺軟的模擬緩衝區中運行,如運行過程中檢測到可疑的動作,則判定為危險程式並進行攔截。這種方法更有助於識別未知病毒,對加殼病毒依然有效,但如果控制得不好,會出現較多誤報的情況。 動態啟發因為考慮資源占用的問題,因此目前只能使用比較保守的虛擬機技術。儘管如此,由於動態啟發式判斷技術具有許多不可替代的優勢,因此仍然是目前檢測未知病毒最有效、最可靠的方法之一,並在各大殺軟產品中得到了廣泛的套用。 由於諸多傳統技術無法企及的強大優勢,必將得到普遍的套用和迅速的發展。純粹的啟發式代碼分析技術的套用(不藉助任何事先的對於被測目標病毒樣本的研究和了解),已能達到80%以上的病毒檢出率,而其誤報率極易控制在0.1%之下,這對於僅僅使用傳統的基於對已知病毒的研究而抽取“特徵字串”的特徵掃描技術的查毒軟體來說,是不可想像的. 啟發式防毒技術代表著未來反病毒技術發展的必然趨勢,具備某種人工智慧特點的反病毒技術,向我們展示了一種通用的、不依賴於升級的病毒檢測技術和產品的可能性。
傳統反病毒特徵值掃描技術
傳統反病毒特徵值掃描技術,由反病毒樣本分析專家通過逆向反編譯技術,使用反編譯器(ollydbg、ida、trw等)來檢查可疑樣本檔案是否存在惡意代碼,從而判定程式檔案是否屬於正常程式或病毒、惡意軟體。在確認程式為病毒、惡意軟體後,不同的安全廠商根據自己的標準對此可疑程式樣本進行特徵提取和樣本命名(不同安全廠商有自己規定的特徵提取點和樣本命名規則)。最後經過測試部門測試通過後,更新到伺服器,提供用戶的本地病毒庫更新。在用戶作業系統正常監控或用戶手動掃描後,利用防毒引擎對系統上的檔案自動進行特徵值提取並與病毒庫中已存特徵值比對,條件符合即比對結果為真時,即判斷此檔案為病毒庫中記錄的特徵值對應的病毒名稱的病毒(惡意軟體)。病毒、惡意軟體通常最初的指令是直接讀寫磁碟操作、解碼指令,或獲取系統目錄(GetSystemDirctory)、獲取磁碟類型(GetDriveType)、打開服務管理器(OpenSCManager)等相關操作指令序列。這些都是病毒樣本分析專家分析中得到的經驗。
啟發式技術的優勢
啟發式技術,在原有的特徵值識別技術基礎上,根據反病毒樣本分析專家總結的分析可疑程式樣本經驗(移植入反病毒程式),在沒有符合特徵值比對時,根據反編譯後程式代碼所調用的win32 API函式情況(特徵組合、出現頻率等)判斷程式的具體目的是否為病毒、惡意軟體,符合判斷條件即報警提示用戶發現可疑程式,達到防禦未知病毒、惡意軟體的目的。解決了單一通過特徵值比對存在的缺陷。例如:一個可疑程式通過反病毒防毒引擎反編譯後,發現代碼中自動釋放執行檔駐留系統目錄、偽裝系統檔案、註冊win32服務獲取系統管理許可權、通過命令行刪除自身檔案,調用系統組件svchost.exe來開啟後門服務,隱藏自身進程並嘗試通過OpenSCManagerA、OpenServiceA、ControlService等函式來開啟系統自身的終端服務,以便進一步控制計算機。通過這些條件即可判斷為惡意軟體(後門程式)。
