简介
金山网路 火眼由金山网路出品的线上病毒检测网站,类似于的Comodo线上沙箱,可以精準的分析出恶意程式的行为。
危险行为识别
启发式的识别恶意程式的危险行为 基于完善的日誌记录,启发式行为识别能提供更为清晰的危险行为报告,即使后台运行的隐匿行为也无处藏身。
档案监控
系统中档案的增加、删除、修改精确记录而已程式运行造成的档案系统的变化,包括恶意程式释放档案、修改系统档案、删除档案等等,让隐藏档案无处藏身。
注册表监控
注册表关键位置的变动记录恶意程式的注册表操作(例如,比较常见的创建启动项、修改注册表键值、破坏安全模式等等),让恶意程式的注册表操作一目了然。
网路操作监控
控制恶意程式的网路活动(传送数据、下载等)清晰展现盗号、后门、下载者等恶意程式的网路活动,并对这些网路活动进行协定解析、数据揭秘等。
恶意程式运行后的进程活动精确识别恶意程式的进程创建活动。
系统简介
1.传说孙大圣在太上老君的八卦炉里炼了七七四十九天,炼就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照,便立刻显露原形。某年月日,安全实验室几个技术宅被老闆关进八卦炉炼也不知过了几个七七四十九天,待到技术宅们开光显身之际,他们也炼成了一双“火眼”。2.“火眼”是什么?简单说,“火眼”就是一套自动化的病毒样本动态行为分析系统,可对未知档案的行为给出详细的分析报告。 这一点来讲,火眼和静态档案鉴定是两回事,这是火眼和云鉴定的本质区别。将火眼系统与医学检验设备类比可以很容易理解:以前生病去医院做检查,检验师须配製分析试剂处理血样,在显微镜下仔细判读细胞的形态、数量、评估生理特性。效率很低,且受经验影响很大,同一份血样由不同的医师判读,可能相差甚远。现在简单了,检验师直接将採集的样品放到一个自动分析仪中,几秒钟即可列印出化验单。医师看了化验单就大致了解病情,而一个比较了解医学知识的人,对着化验单,也能看个八九不离十。“火眼”就是这样一套自动化的病毒样本分析系统,安全爱好者将自己採集到的可疑样本提交到系统中,等几分钟,系统就会给这个病毒样本列印出一份“化验单”。不太专业的安全爱好者对照这份“化验单”也能猜个八九不离十。
设计动机
毫无疑问,和医学科研一样,计算机病毒自动分析仪产生的最初动机,就是提升病毒分析的效率,用系统去模拟一个专业病毒分析师对可疑档案进行专业分析。在没有“火眼”之前,安全软体发烧友一般用下面三种方法来分析鉴定档案是不是病毒:1.防毒软体扫描用防毒软体对目标档案执行扫描是最常见的作法,一个防毒软体可能不準,就用多个防毒软体,常见有网民在一台电脑使用2,3个防毒软体检查。或者将样本提交到VirSCAN扫描,若有多个防毒软体报毒,就判断这个档案是病毒。到底这个档案是不是病毒呢?实际上扫描之后仍然是吃不準的。因为不清楚这个可疑档案到底有哪些具体的恶意行为。2.专业分析通过解壳、解密,反彙编,或者使用IDA、OllySafe这样的专业工具对可疑样本进行分析。这只有具备相应专业技能的软体工程师才能做到。3.简单行为分析很多人不具备逆向分析的能力,会使用一些简单的工具完成病毒行为分析和指导手工清除。可採用的工具有:Sreng、AutoRuns、Xuetr等等。比如前几年就流行使用Sreng,发现问题就扫描一个日誌,再交给更专业的人分析日誌,然后再做一个手动恢复的建议。也有使用Sandboxie运行可疑档案,观察具体行为,或先用installwatch记录档案运行前后的系统配置镜像变化,用Regshot这样的软体比较都有哪些注册表条目被修改,然后判断这个可疑档案是不是有害的,或者花更多时间使用虚拟机来更清晰的观察程式运行之后的结果。以上这些方法虽相对精确,但明显存在以下问题需要克服:1.疲劳分析员使用IDA、OllySafe静态分析病毒代码,就如同常人阅读一本书,需要从头看到尾,才能大致了解这本书的意图。而分析员可能需要一天到晚看病毒代码,头晕眼花看走眼极有可能出现分析结论出错或者分析不全面。2.效率一个分析员处理一般的病毒,一个工作日不过三、五十个,如果需要详细的出具一份病毒分析报告,则需要大量时间。在遇到难缠的病毒时,还可能需要几天时间。普通网友用虚拟机等工具观察一个可疑档案需要花更长的时间。3.门槛较高不是随便拉个人过来就能做病毒分析,病毒分析师的门槛较高。一般安全爱好者同样需要对系统有相当的了解。4.简单分析无法完整展现可疑档案的具体行为对职业病毒分析员也一样,有人擅长分析蠕虫,可能更了解网路方面的病毒指令,而对其他部分可能会忽略,完整而详尽的病毒分析相当耗时间。
