杀毒软件进化史
收费模式
- 收费模式(90年代)
江民、瑞星、金山
- 免费模式(2009)
360免费杀毒
- 倒贴模式(2011)
杀毒引擎
第一阶段:
简单特征码查杀(80-90年代中期)
第二阶段:
广谱特征码查杀( 90-98.江民首创,即通配符特征)
第三阶段:
启发式杀毒(行为判断,文件结构分析)
第四阶段:
云查杀引擎、AV虚拟机(云查杀大量收集样本,AV虚拟机模拟运行程序检测病毒)
第五阶段:
人工智能(利用决策树和向量机对大量样本进行学习)
查杀技术
- 扫描器
文件、内存
- 脱壳引擎(辅助文件扫描器)
脱常见壳,包括压缩、加密
AV虚拟机(辅助内存扫描器)
主动防御
hook敏感api,记录程序行为
- 云查杀
md5值,
- 沙箱
恶意代码命名
卡巴斯基
Trojan-Download.Win32.Agent.blm
Trojan-Download:主类型及子类型名,木马中的下载者
Win32:运行的平台,32位Windows
Agent:计算机病毒所属家族,Agent家族
blm:变种名,blm瑞星
Trojan,PSW.Win32.OnlineGames.Gen
主类型名
子类型名
运行的平台
计算机病毒所属家族
变种名常见的杀毒引擎分析及源码
ClamAV开源杀毒引擎
clamav-0.103.0.tar.gz
http://www.clamav.net/
百度雪狼引擎:
https://bbs.kafan.cn/thread-1791456-1-1.html
腾讯TAV引擎:
http://www.vuln.cn/7059
卡巴斯基泄露源码:
KAV8(180mb).rar
https://download.csdn.net/download/wangxiangdong_sl/4014388
反病毒工作
反病毒人员分类
病毒分析师
初级:拿到 样本,分析样本,辨别黑白,提取特征,编写YARA规则,录入病毒库
样本来源:论坛上报(毒霸)
中级:分析未知样本,提取特征,编写分析报告
高级:分析流行样本,写分析报告
分析高危险样本(apt分析),写分析报告
杀毒软件维护与开发
反病毒工具箱
- 文件hash工具
- 系统监控工具(文件、进程、网络、注册表)
- 进程分析工具ProcessExplorer
- 动态调试工具OD/x64dbg
- 静态分析IDAPro
- 病毒特征扫描工具Yara
恶意代码分析作业
分析题目1, 找出其中恶意代码以及命令
命令:net user administrator 107289
分析题目2,找出其中恶意代码以及命令
分析题目3,找出其中恶意代码网络连接的地方以及网络地址
恶意代码作业.rar