威胁侦测方法

Doctor Web公司所有反病毒产品都同时使用几种不同的威胁侦测方法,这样能够对可疑对象进行最充分的检查。

特征码分析

首先使用的是特征码分析。这一分析法是将可疑文件代码与已知威胁的特征码进行对比(特征码是识别威胁必需的一定长度的连续字节)。对比时使用特征码的校检和,从而可以大大降低病毒库记录的数量,但又可以确保对应的绝对性,也就可以保证对感染文件进行侦测和清除的准确性。Dr.Web病毒库的特点是使用一个记录可以侦测到整个类型或整个家族的威胁。

Origins Tracing

这是Dr.Web独特的技术,这一技术利用病毒库记录的已知感染机制或恶意行为来识别新病毒以及病毒变种。在进行特征码分析后使用这一技术进行侦测,保证Dr.Web反病毒软件用户免受勒索木马Trojan.Encoder.18(也被称作“gpcode”)等类似病毒的威胁。此外,使用Origins Tracing技术可以大大降低启发式分析仪的误报。使用Origins Tracing侦测到的威胁名称后会添加后缀.Origin

操作仿真

在无法使用校验和进行特征码搜索或无法创建可靠特征码,使用程序代码操作仿真来侦测多态病毒和加密病毒。此方法是利用仿真程序——处理器程序模型和程序执行环境来模拟执行被分析代码。仿真程序利用内存受保护区域(仿真器)。此时代码不会传送到中央处理器执行。如果仿真程序处理的代码是被感染的代码,仿真后这一代码会恢复为恶意代码源代码,以便对其进行特征码分析。

启发式分析

启发式分析仪运行机理是启发式(其统计学意义已利用经验被确定的、恶意代码和安全可执行代码典型特征的推断)。每个特征有加权(确定该特征重要性和可靠性的数值)。如果特征表明代码具有恶意行为,加权为正,如果特征不是计算机威胁,加权则为负。依据一个文件的总加权,启发式分析仪计算出文件可能被未知病毒感染的概率。如果概率超出指定值,则将被分析对象判定为恶意对象。

启发式分析仪还使用FLY-CODE技术。这是一种全能文件解压算法。这一功能可对使用压缩程序(打包器)(不仅是Dr.Web产品已知程序,还包括之前未研究过的新程序)压缩的对象中存在的恶意对象进行启发式分析。检查打包对象时还可以使用结构熵分析技术,根据代码位置特点侦测病毒。使用这一技术可利用一个病毒库记录侦测到使用同一个多态打包器打包的多个不同威胁。

同所有在不确定条件下进行假设分析的系统一样,启发式分析仪可能会出现错误:放过未知威胁或者是产生误报。因此被启发式分析仪侦测到的“恶意”对象的标记为“可疑”对象。

行为分析

行为分析方法是对系统的所有进程的所执行的操作次序进行分析。一道发现恶意软件所具备的行为特征就会阻止应用执行操作。

Dr.Web Process Heuristic

行为分析技术Dr.Web Process Heuristic用于抵御最新最危险的恶意软件,这样的恶意软件能够躲开传统的特征码分析和启发式分析机制。

Dr.Web Process Heuristic分析每一启动进程,与不断更新的Dr.Web云服务进行对比,根据对恶意软件行为的最新了解判断进程是否存在危险,是否需要采取解除威胁的操作。利用Dr.Web Process Heuristic侦测到的威胁名称添加的前缀是DPH

这一数据保护技术能够最大限度地减少未知病毒可能造成的损失,同时对受保护系统的资源占用极小。

Dr.Web Process Heuristic监控任何更改系统的企图:

识别恶意更改用户文件的恶意软件进程(如加密木马的加密企图),包括位于网络共享文件夹的文件;

阻止恶意软件植入到其他应用;

阻止恶意软件更改系统重要区域;

侦测并阻止恶意脚本和进程以及可疑的或不可靠的脚本和进程;

阻止恶意软件更改磁盘启动扇区,使其(如Bootkit)无法在电脑启动;

阻止对注册表的修改,防止停用Windows安全模式;

禁止恶意软件更改软件启动权限;

禁止暗中加载新的或未知的驱动程序;

阻止恶意软件以及某些应用自启动,如专门破坏反病毒软件运行的软件,禁止其在注册表注册后完成自启动;

禁止更改负责虚拟设备驱动程序的注册表分支,防止木马冒充虚拟设备安装到电脑;

阻止恶意软件破坏系统服务的正常运行。

Dr.Web Process Dumper

Dr.Web Process Dumper是打包威胁综合分析仪,大大提升对所谓“新威胁”的侦测水平。这些所谓“新威胁”实际上是隐藏在新打包器中的已知威胁。利用这一分析技术可以避免向病毒库添加不必要的新记录,从而保证Dr.Web病毒库的小巧,而这样就不需要提升系统要求,同时保持一贯的小流量更新,而侦测和清除则始终处于高水准。利用Dr.Web Process Dumper侦测到的威胁名称添加的前缀是DPD

Dr.Web ShellGuard

Dr.Web ShellGuard阻止漏洞进攻,也就是企图利用漏洞控制应用和整个操作系统的恶意对象。利用Dr.Web ShellGuard侦测到的威胁名称添加的前缀是DPH:Trojan.Exploit

Dr.Web ShellGuard保护可安装到Windows操作系统的以下常用应用:

互联网浏览器(Internet Explorer、Mozilla Firefox、Google Chrome等等);

MS Office应用;

系统应用程序;

使用java、flash和pdf技术的应用程序;

媒体播放器。

对风险操作进行分析时,保护系统通过Dr.Web ShellGuard技术不仅依据保存在电脑的规则进行分析,而且使用Dr.Web云服务中收集的最新数据,包括:

恶意软件算法相关数据;

干净文件信息;

被盗用的著名软件厂商的数字签名;

广告程序和风险程序使用的数字签名;

不建议访问的网站相关信息;

不同应用的保护算法。

抵御注入

植入——将恶意代码加入到设备上已启动进程。Dr.Web对系统中所有进程活动实施不间断的追踪,如发现恶意代码加入,会立即阻止。利用反植入技术侦测到的威胁名称添加的前缀是DPH:Trojan.Inject

Dr.Web检查启动进程的应用程序的以下特征:

是否是新的应用程序;

应用程序是如何进入系统的;

应用程序所处位置;

应用程序的名称;

应用程序是否是可信任的应用;

是否具备可信任的认证中心的有效数字签名;

是否已列入Dr.Web云服务中应用的黑名单或白名单。

Dr.Web追踪已启动进程的状态:检查在进程空间是否有远程线程产生,是否有第三方代码加入到进程中。

反病毒软件监控应用进行的更改,禁止更改系统进程和优先进程。此外,Dr.Web还同时阻止恶意代码更改常用浏览器的内存,如您进行网购或进行在线翻译时。

抵御勒索软件

抵御勒索软件——预防性保护组件之一,保护用户文件免受加密木马的损害。这些恶意软件入侵电脑后,会利用加密使用户无法访问数据,并以解密为由进行勒索。利用反勒索技术侦测到的威胁名称添加的前缀是DPH:Trojan.Encoder

此组件对可疑进程进行分析,判断是否出现异常的文件搜索、读取和更改企图。

同时检查应用程序的以下特征:

是否是新的应用程序;

应用程序是如何进入系统的;

应用程序所处位置;

应用程序的名称;

是否是可信任的应用程序;

是否具备可信任的认证中心的有效数字签名;

是否已列入保存于Dr.Web云服务的应用黑名单或白名单。

同时检查文件发生的更改的性质。发现恶意软件所具备的行为特征就会阻止应用执行操作,阻止对文件进行更改。

机器学习方法

用于搜索未添加到病毒库的恶意对象,并解除其威胁。这一技术的优势在于仅依靠特征进行侦测,而不是在恶意代码执行过程中将其识别。

威胁侦测依据对恶意对象的特征分类。利用机器学习技术对恶意对象进行分类并将脚本语言代码片段写入数据库。之后在特征对比的基础上进行分析。机器学习技术自动更新特征表并向病毒库自动添加记录。接通云服务时对大量数据的处理速度更快,而系统的不断更新保证对最新威胁的超前保护,同时,不接通云服务的情况下这一技术也能够正常使用。

机器学习方法识别恶意对象不需要执行其代码,因此能够大大节约操作系统资源,而分类器的动态学习不需要不断更新病毒库。

威胁侦测云技术

云侦测技术按照哈希和可对任一对象进行检查,包括文件、浏览器插件等等。哈希和是指定长度的数字和字母组合。分析时与现有数据库进行比照,判断出对象是安全对象、可疑对象、恶意对象或其他对象。利用云技术侦测到的威胁名称添加的前缀是CLOUD

此类技术能优化对文件的检查,节约设备资源。因为分析的只是哈希和,而非对象本身,可以瞬间获取分析结果。没有连接Dr.Web服务器的情况下会对文件进行本地分析,恢复连接后即会恢复云检测。

这样,Doctor Web公司云服务从众多用户搜集威胁侦测信息,及时更新之前未知威胁的信息,提升设备保护的高效性。