动态启发检测主要基于反病毒虚拟机技术。通过模拟Intel CPU、部分计算机硬件(硬盘等)和Windows操作系统构造一个反病毒虚拟机,然后把待检测程序加载到该仿真的系统中运行。虚拟机中设置有若干行为监控点,对程序行为进行
实时监控,根据是否含有恶意行为侦测病毒。由于被检测程序是在
虚拟机中运行,病毒并不会威胁真实计算机系统。
模拟Intel CPU:仿真的CPU主要由
机器码识别系统、寻址系统和指令解释执行系统组成,机器码识别系统负责对程序的指令识别,然后把识别出来的指令传递给指令
解释系统执行。在指令的执行过程中如果用到内存需要使用
寻址系统来寻址访问内存。这个过程中异常捕获系统要实时监测虚拟CPU中可能导致的异常,并做成实时响应。
模拟Windows操作系统:该模块主要由PE加载系统、API系统、文件系统、注册表系统和任务
调度系统等组成,病毒在运行前需要用PE加载系统加载,然后移交给虚拟CPU执行,程序执行过程可能需要API等系统的支持,如果病毒程序是
多线程多进程的,还需要任务调度系统的支持。模拟的Windows操作系统中也具有相应的异常处理系统,当虚拟CPU监测到异常的时候,交由虚拟的Windows操作系统进行异常响应。
静态
启发式检测技术主要基于对代码片段的分析来检测病毒。通过对文件外部静态信息进行分类,结合病毒感染形式,模拟跟踪代码执行流程来判断是否是病毒。静态检测中包括针对程序存在异常的检测方案,和针对恶意行为规则的检测方案。
针对异常的检测方案中,会对病毒木马所使用的技术进行分类处理,例如入口模糊隐藏,隧穴感染等等方式进行抽象分析,同时归纳出这些异常点,结合分析算法来达到
未知病毒检测的效果。
针对恶意行为规则的检测方案中,会对已经形成的病毒家族行为进行归纳及规则演绎,同时对恶意程序代码进行反汇编,模拟跟踪代码执行流程,解析特定函数及参数等有效信息的来形成规则,匹配已有知识库的规则来完成对新增病毒变种的有效检测。
建立识别恶意代码的专家系统,对windows
内核层进行访问控制,记录
程序关联行为。通过
启发式检测技术进行
信息过滤,由专家系统推理判断,识别病毒行为,从而实现智能化
主动防御系统。
自动化病毒样本分拣平台:
基于百锐
启发式检测技术,完成对病毒样本的自动分拣,自动命名,自动提取病毒特征码的一体化系统。