第一章 與病毒奮戰(zhàn)20年的殺毒引擎和特征庫(kù)

導(dǎo)語：現(xiàn)在互聯(lián)網(wǎng)上最強(qiáng)的黑勢(shì)力是難以盡數(shù)的盜號(hào)工作室，比較出名的有赤兔馬、老A、樂意馬、鐵血等等，這些都是木馬可執(zhí)行文件上帶有品牌的，還有更多神秘低調(diào)的木馬團(tuán)伙，它們變種之快讓人們難以想像，殺毒軟件終于日益力不從心。

第一章 與病毒奮戰(zhàn)20年的殺毒引擎和特征庫(kù)

很多人都把殺毒技術(shù)看得很神秘，其實(shí)無論殺毒軟件的版本怎么升級(jí)、概念如何變化，基本的原理就是“殺毒引擎+特征碼匹配”，殺毒引擎是槍，特征碼是子彈，子彈越多，能殺的病毒就越多。很多人用盜版的殺軟，不能升級(jí)特征庫(kù)也就對(duì)付不了新的病毒。

特征庫(kù)是由殺毒廠商收集到的病毒樣本的特征碼組成，而特征碼則是病毒分析工程師從病毒程序中找到和正當(dāng)軟件的不同之處，截取一段類似于“搜索關(guān)鍵詞”的程序代碼。

當(dāng)用殺毒引擎掃描硬盤、或者監(jiān)控一個(gè)文件的動(dòng)作時(shí)(比如下載、修改注冊(cè)表等等)，它會(huì)讀取文件并且與特征庫(kù)中的所有特征碼“關(guān)鍵詞”進(jìn)行匹配，如果發(fā)現(xiàn)文件程序代碼被“關(guān)鍵詞”命中，就把那個(gè)文件判定為病毒——就像搜索引擎用關(guān)鍵詞去精確匹配網(wǎng)頁(yè)，定義足夠多的關(guān)鍵詞才能找到需要的結(jié)果。

總體來說，殺毒軟件的工作流程是：采集樣本(用戶舉報(bào)、殺毒廠商共享)—>病毒分析工程師截取特征碼—>特征碼加入特征庫(kù)—>用戶升級(jí)特征庫(kù)。

特征庫(kù)匹配是查殺已知病毒很有效的一項(xiàng)技術(shù)，也是殺毒引擎賴以工作的基礎(chǔ)(掃描、監(jiān)控都需要調(diào)用特征庫(kù))，一直被殺毒軟件沿用下來，國(guó)內(nèi)外無數(shù)反病毒工作者為截取病毒特征碼付出了巨大努力，所有特征碼都需要嚴(yán)格的測(cè)試和比對(duì)，否則極易造成誤傷。

在殺毒軟件走過20年歷史、互聯(lián)網(wǎng)高速普及的今天，殺毒引擎和特征庫(kù)匹配技術(shù)也受到越來越多質(zhì)疑：木馬數(shù)量急劇增加，人工截取特征碼的效率有限。即使假設(shè)所有樣本都能及時(shí)處理，特征庫(kù)變大也會(huì)帶來資源占用過大的問題，特別是殺毒引擎隨系統(tǒng)啟動(dòng)時(shí)都要把特征庫(kù)寫入內(nèi)存，這是殺毒軟件遭到詬病的一大原因。

從殺毒軟件的演變來看，殺毒軟件為網(wǎng)絡(luò)安全行業(yè)積累了寶貴的經(jīng)驗(yàn)，也面臨著不少問題：

1、1989年，第一款殺毒軟件Mcafee誕生，開啟殺毒軟件的特征庫(kù)時(shí)代

要了解Mcafee的工作原理，需要先看看人類最早的計(jì)算機(jī)病毒，是由美國(guó)一個(gè)著名黑客莫里斯編寫的“蟲子”，其實(shí)本來只是一個(gè)游戲產(chǎn)物，卻爬出實(shí)驗(yàn)室弄癱了幾千臺(tái)連網(wǎng)的電腦。

早期的病毒相對(duì)簡(jiǎn)單、技術(shù)含量現(xiàn)在來看完全小兒科，Mcafee等殺毒先驅(qū)使用了特征碼匹配的方法，也就是分析病毒程序代碼的“與眾不同”，通過利用特征字符串(又稱特征碼)查出病毒。當(dāng)時(shí)可能誰都沒想到，這個(gè)思路會(huì)一直沿用到20年后的今天。

2、上世紀(jì)90年代，防毒卡曇花一現(xiàn)，病毒的多樣化催化廣譜特征碼

國(guó)內(nèi)有記載的計(jì)算機(jī)病毒出現(xiàn)在1988年，就是一個(gè)小球不停地在屏幕上轉(zhuǎn)悠。當(dāng)時(shí)國(guó)內(nèi)還沒有殺毒軟件，在1990年深圳一家公司做出了最早的防毒卡，隨后瑞星跟進(jìn)，并因此聲名大噪，不過由于防毒卡不能解決新的病毒，很快就退出了市場(chǎng)。

到90年代中后期，Windows視窗操作系統(tǒng)一統(tǒng)天下，病毒也開始進(jìn)化，呈現(xiàn)出多樣化發(fā)展的趨勢(shì)，比如多形幽靈、生成器、變體機(jī)、網(wǎng)絡(luò)蠕蟲等等，簡(jiǎn)單提取特征碼已經(jīng)沒法應(yīng)付花樣繁多的病毒，一種更復(fù)雜的廣譜特征碼就此出現(xiàn)了。從本質(zhì)上說，廣譜特征碼是一類病毒程序中通用的特征字符串。

比如，有10種病毒都使用了一段相同的破壞硬盤的程序，那么把這段程序代碼提取出來作特征碼，就能達(dá)到用一個(gè)特征碼查10個(gè)病毒的功效。一些廠商把這種做法稱為“廣譜特征碼”，是為了增加殺毒技術(shù)的神秘色彩。病毒分析工程師的技術(shù)和經(jīng)驗(yàn)成為殺毒軟件表現(xiàn)的決定性因素。

3、加殼技術(shù)興起，特征庫(kù)迎來第一道難關(guān)

鑒于殺毒軟件運(yùn)用特征庫(kù)查殺的原理，黑客們從上世紀(jì)末開始將加殼作為逃避查殺的主要手段。加殼其實(shí)就是把木馬病毒文件用加密算法壓縮，讓殺毒引擎無法讀取這個(gè)文件，從而不能和特征庫(kù)匹配。

加殼技術(shù)早在DOS時(shí)代就出現(xiàn)了，從上世紀(jì)末到2008年以來，特別是學(xué)做木馬盜號(hào)的人同網(wǎng)游市場(chǎng)規(guī)模一樣急速擴(kuò)大，加殼被木馬作者普及采用，給殺毒軟件制造了不小的麻煩：

首先脫殼(解壓縮)的難度很高，即便是相對(duì)簡(jiǎn)單的殼，一個(gè)反病毒高手逆向分析至少需要3天，再加上編寫脫殼代碼和測(cè)試，整個(gè)周期至少1周。也就是說，一個(gè)木馬作者稍微修改一下加殼工具，再把木馬加殼后傳播出去，一周之內(nèi)都不需要擔(dān)心會(huì)被殺毒軟件查到。

殺毒引擎查殺病毒一定要進(jìn)行特征庫(kù)匹配，木馬加殼后就不得不先脫殼，這對(duì)殺毒軟件造成了極大的困難，只能不斷積累對(duì)各種加殼工具的脫殼經(jīng)驗(yàn)。目前比較基本的加殼工具有50多種，一些技術(shù)相對(duì)高明的黑客自己修改而成的加殼工具更是數(shù)不勝數(shù)，其中個(gè)別加殼工具直到現(xiàn)在仍沒有殺毒軟件能夠破解。不過，黑客們也發(fā)現(xiàn)，加殼并不是對(duì)抗殺毒軟件最好的方式，因?yàn)橐坏┮活惣託すぞ弑黄平?，大批木馬就會(huì)被殺毒引擎用特征碼檢出。于是，一個(gè)更瘋狂的疲勞戰(zhàn)術(shù)出現(xiàn)了。

4、2008年至今，網(wǎng)頁(yè)掛馬成就木馬的疲勞戰(zhàn)術(shù)

互聯(lián)網(wǎng)上有大量安全性薄弱的網(wǎng)站，黑客通過SQL注入或跨站腳本漏洞攻擊就能輕易實(shí)現(xiàn)大面積的網(wǎng)頁(yè)掛馬，這是當(dāng)前木馬最常用的傳播手段，成本也很低廉。既然掛馬網(wǎng)頁(yè)可以不斷發(fā)布新的木馬，黑客們很自然地想到了沖垮殺毒軟件特征庫(kù)的辦法，也就是定位殺毒軟件特征庫(kù)的截取方式，加快發(fā)布木馬變種的頻率，讓殺毒廠商的分析工程師們疲于奔命。

無殼的木馬雖然易于截取特征碼，但制作簡(jiǎn)單，可以用工具針對(duì)殺軟的特點(diǎn)批量修改，殺毒廠商則需要調(diào)配大量人手逐個(gè)分析，基本上只能跟在木馬身后疲于奔命。

第二章 殺毒軟件之惑

現(xiàn)在互聯(lián)網(wǎng)上最強(qiáng)的黑勢(shì)力是難以盡數(shù)的盜號(hào)工作室，比較出名的有赤兔馬、老A、樂意馬、鐵血等等，這些都是木馬可執(zhí)行文件上帶有品牌的，還有更多神秘低調(diào)的木馬團(tuán)伙，它們變種之快讓人們難以想像，殺毒軟件終于日益力不從心：

1、樣本采集問題

為了盡快抓到木馬樣本，不少殺軟開始嘗試云安全的思路，一方面是讓用戶自動(dòng)舉報(bào)行為可疑的軟件，另一方面是在用戶訪問到掛馬網(wǎng)頁(yè)時(shí)從網(wǎng)馬中捕獲。前者的問題在于木馬作者在編寫時(shí)通常早有對(duì)策，至于后者，就需要?dú)⒍拒浖?duì)掛馬網(wǎng)頁(yè)足夠靈敏，而且用戶量足夠大。

2、樣本分析問題

木馬的疲勞戰(zhàn)術(shù)是殺毒廠商最為頭疼的問題，殺毒引擎要工作，就要把新木馬的特征碼人工分析截取出來，還得嚴(yán)格測(cè)試保證不出現(xiàn)嚴(yán)重誤殺。對(duì)一家大型殺軟廠商來說，每天分析成百上千個(gè)新樣本是沒問題的，但如果每天有數(shù)十萬個(gè)甚至上百萬個(gè)新樣本，沒有哪家廠商能夠有這樣的人力。

3、特征庫(kù)升級(jí)問題

即便木馬的特征碼都能被提取入庫(kù)，升級(jí)特征庫(kù)也不容易。一方面是時(shí)效性，比如很多殺毒軟件租用CDN服務(wù)器來發(fā)布特征庫(kù)的更新，最快也得3個(gè)小時(shí)用戶才能開始升級(jí)，更何況之前還需要分析編碼，按照現(xiàn)在木馬的變種速度，等到升級(jí)完特征庫(kù)，比較有組織有實(shí)力的木馬早就自動(dòng)重新免殺了，這也是人們一直抱怨殺毒軟件滯后查殺的重要原因。

4、系統(tǒng)資源占用問題

特征庫(kù)無限制增大對(duì)用戶的影響也非常明顯，首先殺毒軟件只要開著，特征庫(kù)就需要寫入內(nèi)存，定期升級(jí)特征庫(kù)也要耗費(fèi)不小的流量;殺毒引擎的特征碼匹配式查殺、而且是全庫(kù)匹配造成掃描速度很慢，很多用戶因此只在電腦發(fā)生問題時(shí)才進(jìn)行掃描，留下不小的安全隱患。

第三章 殺毒軟件窮則思變

上述四個(gè)問題讓殺毒軟件在互聯(lián)網(wǎng)時(shí)代極為尷尬，一些新的技術(shù)和想法開始出現(xiàn)：

1、啟發(fā)式掃描的利弊

啟發(fā)式掃描指的“運(yùn)用某種方式去判定事物的知識(shí)和技能”，是讓殺毒軟件具有學(xué)習(xí)能力的一項(xiàng)技術(shù)，通過行為判斷、文件結(jié)構(gòu)分析等手段，在較少依賴特征庫(kù)的情況下能夠查殺未知的木馬病毒。

在各殺毒軟件中，小紅傘的啟發(fā)是公認(rèn)最牛的，在安全論壇上的查毒測(cè)試總是無比強(qiáng)悍，但在國(guó)內(nèi)小紅傘的用戶卻非常少，一方面小紅傘的知名度在國(guó)內(nèi)較低，另一方面啟發(fā)式掃描也有著無法回避的問題，就是動(dòng)輒高達(dá)30~40%的誤報(bào)率。

在實(shí)驗(yàn)性樣本測(cè)試和安全技術(shù)愛好者看來，啟發(fā)式掃描比特征庫(kù)優(yōu)越得多，但可以肯定的是，殺毒軟件在明處，木馬作者在暗處，Windows操作系統(tǒng)都漏洞百出，更何況是殺毒軟件，黑客寫出的木馬要想有買家，一定是能對(duì)主流殺軟免殺的，而不是在安全論壇上用來測(cè)試的樣本。

這也是絕大多數(shù)殺毒軟件仍然堅(jiān)持特征庫(kù)殺毒引擎的重要原因。

2、殺毒軟件互相“學(xué)習(xí)”的潛規(guī)則

單個(gè)殺毒廠商采集樣本和分析樣本都有著處理能力的瓶頸，于是彼此之間互相學(xué)習(xí)(更準(zhǔn)確的說是“抄襲”)就成了業(yè)內(nèi)公開的潛規(guī)則，比如說使用其它殺毒引擎檢測(cè)樣本、逆向分析其它殺毒引擎的脫殼技術(shù)等等。

這個(gè)潛規(guī)則有效地促進(jìn)了安全行業(yè)的“資源共享”，當(dāng)一款殺毒軟件能查殺某個(gè)新型木馬，大約在兩三天內(nèi)其他殺毒軟件都能紛紛跟進(jìn)，但這也造成殺毒行業(yè)陷入同質(zhì)化發(fā)展的局面，區(qū)別僅在于各自代碼的編寫質(zhì)量，直觀表現(xiàn)就是資源占用和掃描速度不同。

窮則思變，殺毒軟件需要改變，活躍了20年的特征庫(kù)殺毒引擎是否會(huì)退出歷史舞臺(tái)?用戶的需要將決定一切。

【編輯推薦】

1. 防止殺毒軟件被病毒禁用的批處理
2. 殺毒軟件比拼“終身免費(fèi)” 餡餅還是陷阱?
3. 揭露山寨殺毒軟件的真面目