引用:
1、请小马哥讲解一下目前国际的杀软技术是怎么样啊 以及金山毒霸采用的金山杀软技术如何并且在国际杀软行业的地位怎么样?还有就是对目前病毒的发展趋势是什么样的,请教我们大家常用的手动删除病毒的方法
2、有什么办法可以在短时间内学会病毒处理的技能,而且不用看书?
3、期待小马哥发个样本分析的教程 教我们怎么分析样本。
4、既然是软件客服经理,就提几个问题
金山的清理专家,ARP防火墙,金山密保等都是毒霸推出免费产品,说真的都很好用也很实用,它们都不亚于收费产品,同时也花费了很多金山工程师的心血,我想问毒霸花怎么多的时间,精力在这些免费产品上初衷是什么!和网上一些传言说的"杀毒软件将走向免费"有关系吗?
5、前两天刚按装08版毒霸,一切都好,就是自动升级后,出现要重新启动电脑的提示时我点击了 [立即重启]后没有立即重启,我只好手动重启了
6、我有问题自从装了毒霸我的自动更新就不好用了变成灰色的不能用了各种方法都用过不行在策略里看到已经启用了但是还是灰色的但是在注册表启动信息看不到windows update
感谢大家的支持和厚爱,
看了下上周大家提到了的几个问题,从大技术方向到具体问题都有阿(^_^),
小子技术不高,尝试逐个分析解释下给大家,如有说错,望各位高手口下留情给与指正,不胜感激。
复制内容到剪贴板
代码:
1、“国际的杀软技术是怎么样啊 以及金山毒霸采用的金山杀软技术” 其实这个问题比较大,真的不好回答阿,呵呵
不过还好,陈睿在2007.11.16日的一个访谈很好的说明了这个问题,我就在这里借用了,呵呵
(以下内容技术部分来自反病毒培训基础文档,部分来自网络上技术文档,部分来自陈睿11.16访谈上的内容,仅文字内容为我自己理解和整理给大家的分享;惯例:不能冒据他人之功,特此说明:)
杀软的技术:
目前的技术手段来说来说,杀毒软件技术上大体可以分为4代,分别是:
第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案
第四代反病毒技术是基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术
从这里可以看出,大多数杀毒软件至今仍是以2、3代技术为核心尝试使用和完善第4代技术,但具体做到了什么程度就是我能妄加估测了,呵呵
比如目前很多软件鼓吹的所谓的“主动防御”其实无非就是一些简单的行为监测与是非判断的结合,这只能说是主动防御中的一个很小的技术模块,如果说这就等于主动防御是不合理也不可能真的做到完美的;
我特别赞同陈睿一句话:木马的技术不可判定性!
确实,通过一堆的是非判断,杀软厂商可以判断出来蠕虫利用网络进行复制和传播的程序,你很容易对它进行技术界定,但是对于木马如何用技术界定伪装,这是一个很大的难题。比如,针对键盘规则,你可以通过规则判断进行键盘记录的工具就是木马,那我设计一个木马,我发现一个网游运行的时候,我就画一个跟这个网游一样的框直接贴进去,你还能通过规则判断么?这叫木马吗?很明显是木马,就是伪装成正常程序,但是在规则判断上技术已经很难正常判定。
说到这里,话就说回来了:
目前国际上的杀软技术是什么?很简单,就是3代核心+4代尝试和部分应用。
不同的杀软可能侧重方向不同,比如目前几乎杀软都有的“自保护功能”,毒霸本身的“数据流杀毒”,趋势、微点、瑞星等的“行为监控”;毒霸的“可信认证”,以及一些可能大家不是很关注,实际上一些杀软中已经开始应用的“启发式智能代码分析”和“虚拟执行技术”等;
那么毒霸采用的什么技术呢?上边已经说了:毒霸的数据流杀毒、毒霸的可信认证等技术目前来看在业内还是比较领先的,当然,常规的技术大家都在用,就不再一一鏊述了(本文不作广告~哈哈)。
关于“目前病毒的发展趋势”
这个其实大家也能看出来,目前的病毒主要以利益驱使的木马,恶意软件比较多;
病毒下载器、盗号木马…最少这两个类型是客服中心根据用户求助统计出来的最多的病毒类型,也许有的病毒并不是纯粹的这类病毒,但是你要想找个不带有这种功能特征的病毒几乎没有!
纯粹的技术型(炫耀性)病毒几乎没有了--从另一个角度来说,这也意味着计算机行业的“黑道精神”已经腐败堕落--不知道有没有人看过一些黑帮小说或者“蛊惑仔”这类的影片?目前这种情况就相当于:有能力,有血性的,虽然也不是好人,但有自己原则的“反面英雄”已经不存在了,剩下的都是堕落的垃圾蛆虫一样的以贩卖毒品,拐卖人口的这种混蛋了。
--不排除我的观点有点偏颇,但是目前我接触到的来说,就我所能统计的大多数用户所遇到的求助来说,就是这样!
复制内容到剪贴板
代码:
2、3:请教我们大家常用的手动删除病毒的方法,有什么办法可以在短时间内学会病毒处理的技能,而且不用看书?期待小马哥发个样本分析的教程 教我们怎么分析样本。 这个…其实手动处理病毒很简单,但是说要在短时间内学会,并且不用看书。。。
嘿嘿,那你就看计算机上的教程好了,这不是传统意义上的“书”。哈哈
样本分析的教程在我的blog上写了很简单的两片,但是是一个很好的思路教程,比如从几个月前到现在都很流行的auto类病毒:
http://hi.baidu.com/aver1259/blog/item/4f256dfa1aa770ddb58f314a.html
说实话,很简单,但是处理一个病毒,就是这么简单!
当然,这个教程我写的时候没有考虑到现在一些病毒作者的BT程度,没有考虑驱动、服务项目的清理,所以可能对于近期的一些auto病毒还清理不干净;
那怎么办?清理专家阿!
再做上面的工作之前,首先使用清理专家的系统扫描功能,隐藏掉正常的项目后剩下的,你肯定能发现异常;比如还说这个auto类病毒,你在服务或者驱动项目中,很可能会发现一个名字叫做3dec5ewt.sys或者5c8wehf7.exe这类,或者类似名字的项目。(注意:别死学阿,我是随手写了两个文件名,真正的病毒和这个不可能一样的,但是很类似,都是一串随机字符串的文件名)好,清理这个项目,然后执行上边的操作试试看能不能解决问题?多数情况下应该能解决问题了。
如果还不能怎么办?--不排除这种可能,那就需要借助一些辅助工具了,比如冰刃、autoruns这类的工具,从系统底层干掉这些驱动、服务和autorun.ini或inf文件。
分析样本的教程,我这里就不再发了,其实PAPA的很多文档就是近期流行病毒的分析和处理方案,感兴趣的朋友多看看会很有帮助的,呵呵。
从根本上来说,病毒的手动处理其实不是技术活儿是体力活:
分析系统,找出来异常的项目,然后删除掉,就这么简单!
那么怎么找呢?通过清理专家这类的系统扫描工具。
那么怎么判断程序是否异常呢?经验+baidu+google就可以了。
复制内容到剪贴板
代码:
4、金山的清理专家,ARP防火墙,金山密保等都是毒霸推出免费产品,说真的都很好用也很实用,它们都不亚于收费产品,同时也花费了很多金山工程师的心血,我想问毒霸花怎么多的时间,精力在这些免费产品上初衷是什么!和网上一些传言说的"杀毒软件将走向免费"有关系吗? 这个就我目前所知道的来说,应该和所谓的“免费”没有关系把?
先不说别的,就说网游,不知道有没有版友喜欢并且比较了解些?那些“免费”的网游,真的免费么?呵呵
关于杀软免费的说法,个人认为,还是不是很现实的,也不怎么负责任的一种说法--除非杀软也能找到一种新的赢利模式来养活研发人员,否则不可能直接免费的,对吧?
那么金山为什么要提供这些免费的产品呢?
原因很简单:我们希望更多的用户可以在网络上更安全,我们希望我们的产品可以提供这种安全的防护,我们希望我们的产品可以因为好用而让用户口口相传;
提供全面的防护的套装产品是收费的,而提供了部分功能的产品免费给用户试用、使用、感受好坏,这并不冲突。
复制内容到剪贴板
代码:
5、前两天刚按装08版毒霸,一切都好,就是自动升级后,出现要重新启动电脑的提示时我点击了 [立即重启]后没有立即重启,我只好手动重启了 这个…
个案吧?重新启动后呢?好了没有?
仅靠这个描述我实在没办法判断问题啊,呵呵。
建议您留意再观察下吧?如果还是出现类似的情况,那就可能确实有问题,如果以后就一切正常了,那可能是偶然的意外情况,不用在意。
复制内容到剪贴板
代码:
6、我有问题自从装了毒霸我的自动更新就不好用了变成灰色的不能用了各种方法都用过不行在策略里看到已经启用了但是还是灰色的但是在注册表启动信息看不到windows update 说实话,这个和毒霸应该没有什么关系,关于您说的现象,很可能是赶巧了。
--毒霸肯定不会强制禁用windows的自动更新的,关于您这里为什么会被禁用了,我建议您先察看下系统服务,如果还是无效,考虑看看是否病毒导致?
或者还要有一种不太可能的情况:您安装毒霸后使用了漏洞修复功能,而您的系统是非正版的windows系统,然后微软的某些补丁针对盗版作了某些处理或者限制?--当然,说实话,这个情况不太可能,但也说给您作为一个参考吧,呵呵。
