积跬步 至千里 | 火绒反病毒引擎“虚拟沙盒”再进阶
-
作者:火绒安全
-
发布时间:2022-11-14
-
阅读量:2923
据火绒威胁情报系统监测,近几年64位病毒样本数量大有上涨趋势,从2018年至今,64位病毒样本数量已增长了1445%,且今年速度明显加快,如臭名昭著的Emotet病毒、IcedID病毒、Dridex病毒均出现大量64位新变种。火绒安全实验室预测,未来64位病毒数量还会以较快速度逐年递增。
2018年-2022年Q3的64位病毒样本量增长趋势
由于Win32病毒样本与安全软件对抗的复杂度逐渐增高,以及近年来64位操作系统市场占有率的扩大增长,致使病毒作者开始逐步尝试转向开发基于Win64的恶意代码及病毒混淆器,从而对抗安全厂商的查杀。
穿上“马甲”照样认识你
“马甲”即病毒混淆器。在病毒与安全软件的对抗过程中,病毒混淆器一直扮演着极为重要的角色。病毒会套上一层甚至多层“马甲”,伪装成正常程序,隐匿自己的真实目的,误导安全软件的判定,达成其不正当目的。
“抓住事物本质及其规律,才能事半功倍”——火绒安全深谙核心的反病毒技术之道。火绒反病毒引擎拥有识破“马甲”的能力,即便“马甲”形态变化多端,依然能够透过层层表象,剖析恶意代码本质,还原病毒核心特征,进而更好地识别并查杀同一病毒家族的不同变种或未知变种。
仿真生态与“寄居蟹”
对于“虚拟沙盒”,可以理解为一套仿真的生态环境,病毒就像寄居蟹一样藏在不同的病毒混淆器中。为了让寄居蟹放松警惕,行动起来,仿真生态要足够还原寄居蟹真实生存环境。即让病毒以为身处真实目标环境,并开始执行核心恶意代码,因此暴露最本质的病毒特征。
火绒虚拟沙盒设计了完备的32位操作系统环境仿真,模拟了超过23000个Windows API,涵盖了绝大多数操作系统的核心机制,包括但不限于:文件系统、注册表系统、窗口系统等,几乎“一比一”复刻了系统环境。因此,病毒能够“放心”运行,进而被火绒引擎识别,及时查杀,并精准判定病毒类型及家族名称。
火绒安全产品得益于引擎对病毒准确的识别能力,可以帮助企业网络管理员对问题精准定性,及时确认安全风险敞口,进而采取应对措施;同时会针对感染型病毒中被植入的恶意代码做到准确剥离,还原用户原始文件。
积跬步 至千里
早在几年前,火绒团队就已经在虚拟沙盒中探索构建64位操作系统,从指令的虚拟执行到API、文件系统、注册表等系统要素仿真搭建,再到对64位病毒检出查杀的反复验证,火绒安全于近日正式宣布进阶了核心技术能力——火绒反病毒引擎“虚拟沙盒”支持64位虚拟环境,整体环境安全、可控。
支持64位虚拟环境后,火绒引擎通过对64位样本的扫描可以获取到病毒核心特征,从而提高火绒安全产品对未知病毒的检出能力,防御未知威胁。火绒安全从未停止过对核心能力的技术投入,火绒引擎“虚拟沙盒”环境的仿真和推演,更是综合时间、人力、技术、实践经验不断积累磨合、持续升级的结果。
因此火绒安全不仅是防病毒软件提供商,也是重要的反病毒引擎提供商。火绒将独具优势的本地反病毒引擎,赋能给国内众多一线安全厂商,共同应对网络安全事件,防范网络攻击。
火绒安全将紧跟网络威胁变化,增强核心技术建设,聆听用户需求建议,提升产品能力,提高用户体验,聚焦反病毒研究,在国内终端安全领域不断做精、做强。