听说有火眼系统?它是刚什么的?
1.什么是金山火眼分析系统
金山火眼分析系统是金山病毒分析组自主研发的一套基于文件行为动态分析的样本智能自动化分析系统,也是全世界第一套基于真实操作系统(VMware+真实系统+第三方软件环境)的文件行为动态分析系统,更是可控性与灵活性在同类产品中最高的一款;该系统能够通过未知文件的行为分析,从而迅速、准确的给出详细的行为分析报告,并最终帮助反病毒工程师快速、高效、精确的分析出最新病毒。
拥有火眼分析系统,您就好像拥有了一双能够看清各种病毒庐山真面目的“火眼金睛”,能轻松将一切试图伪装的病毒“打回原形”,无法藏身,进而完美绞杀,保障计算机安全!
2.火眼动态分析系统的技术特点
火眼动态分析系统一改以往样本分析系统“杂乱繁多、分析缓慢、判断不准、行为不全”等诟病,以行为分析中突出报告的实际参考价值为研发方向和目标,结合“高精确度、主次分明、重点突出、重视细节”等优良特点,创新性地将未知样本分析趋向智能化、高效化、精确化、完整化;并在此基础上完美与金山现有的基于文件静态信息的云鉴定系统无缝结合,极大地提高了未知样本分析中对未知病毒的动态分析能力。使病毒的加花、加壳、修改特征码、反虚拟机(Anti-VM)等免杀技术彻底失效、进而使病毒无法藏身、无处遁形、彻底暴露在火眼分析系统的“火眼金睛”下,让各种千方百计伪装自我的病毒都被“打回原型”,使毒霸防御端能够精准识别,完美查杀,捍卫计算机安全,而该系统也是金山的全新一代的智能文件行为分析系统。
此外值得一提的是:火眼分析系统能同静态云鉴定系统双剑合璧,取长补短、协同运作、携手并肩分析和识别最新未知病毒,共同保卫用户计算机安全。
3.火眼的实际运用与技术原理
(一)火眼的实际运用
火眼动态分析系统在运营前期会提供一个外部网站接口、反病毒工程师以及高端安全用户可以通过该网站上传所要分析的样本,此时火眼后台会快速帮助用户分析文件并列出详细、准确、完整的行为分析报告供用户参考。由于火眼的一大技术特点在于其“灵活性”与“可控性”极高,未来研发小组将计划根据需求提供火眼分析系统最原始的数据,并灵活接入各种内部应用(如金山毒霸、金山卫士等),提供各种内部接口,发展前景十分巨大,也为用户带来安全性上的一个质的飞跃,帮助金山系列安全软件更加完美的保卫用户安全。
(二)火眼的技术原理
火眼动态分析系统通过对系统所保存的“关于文件”中报告数据归类整理,从而进一步实现对样本集群行为的分析、归类和汇总,以及对有害行为的筛选和危害级别的定义,在提供基础鉴定的基础上,对病毒的危害进行了更加详细、精确、严谨的说明。目前该系统的应用之一是提供一个外部的网站应用接口,不仅提供对样本的详细分析报告,还将提供近期高危样本的播报服务。
火眼动态分析系统为样本动态分析系统,可对目前以文件静态信息为基础的样本云鉴定系统进行有益补充。同时可通过针对渠道的特性设定针对性的整理规则,对样本库的样本信息进行阶段性的分类整理,对相应的恶意行为进行汇总,极大提升特征的有效性及样本的鉴定能力。
而令火眼最值得骄傲的技术在于“行为解析”,它类似于杀毒软件的“特征库”,需要不断随着病毒的发展而人工运营更新,添加原则为对反病毒工程师有实际参考价值与意义。例如QQ黏虫木马的“搜索QQ登录窗口”这个行为,如果是传统意义上的动态分析系统只会机械地输出一堆函数,而我们火眼分析系统就是让这堆函数对反病毒工程师的实际参考价值更为突出,这是火眼的一个最大的技术亮点,也是火眼超越同类分析系统的一个重大信心所在原因所在。
4.火眼的技术优势
(一)轻巧 (light)
火眼的一大技术优势在于“轻”,火眼动态样本分析系统从研发之初就遵循金山云战略这样的一个思想,把一切工作全部交给云端完成,而用户只需要通过一个外部应用接口网站上传样本,不出几秒便可以看到火眼动态样本分析系统的分析结果,不给用户增添任何负担。
(二)快速(fast)
火眼动态分析系统的第二大技术优势在于“快”,自古兵家以“快”字取胜,谁赢得了时间,谁就赢得了胜利。在当今病毒泛滥、黑客成群的复杂网络环境下,样本分析速度的“快”更显得尤为重要,火眼动态分析系统不仅使用真实系统(VMware+真实系统+第三方软件环境)完整记录出样本行为,更在产品封测后期做了诸多优化,使分析的精确度、完整度与分析速度达到双赢的地步。使用户在最短时间内,看到最精确完整的行为分析报告。
(三)灵活(flexible )
火眼动态分析系统作为金山自主研发的行为分析系统,很大程度上保持了系统的“灵活性”与“可控性”,一是可以灵活提供病毒所需要的第三方软件环境(如QQ黏虫需要QQ),保障了病毒的行为被完整跑出,从而增加了病毒行为分析的准确性。而是灵活的提供了各类内部应用接口,可灵活接入各类内部应用(例如金山毒霸、金山卫士),将火眼分析系统的成果实现在客户防御端上。
(四)实际(reality)
上文中曾经提及过,火眼的最大技术特点在于,输出的行为分析报告对反病毒分析人员具有极大的实际参考价值,例如QQ黏虫木马创建键盘钩子记录器这项动作,火眼会明确给出“创建键盘钩子”,而不是机械的输出几项函数,从而极大的帮助分析人员提高了分析效率,完善了分析结果的精度和完整度。
(五)清晰(clear)
对于一个优秀的动态样本分析系统来说,最终输出的样本分析报告则显得尤为重要;相比于国外一些同类产品的机械输出,在火眼的分析报告中则是简明清晰显示所有病毒行为而过滤掉干扰信息,能够突出重点,彰显主次。而API序列是分析人员判断病毒与否的一项重要指标,在火眼的分析报告中,进程树创建导航能够清晰的反映出进程线程的创建关系,而对于敏感API调用也会显示为高亮,引起分析员注意。再者是loop节点的自动识别,智能识别并删除无用代码,防止病毒留下的诸多循环影响分析师判断正常逻辑。
appstore游戏漏洞好友
一家行业领先的网络安全公司发布研究报告称,苹果应用商店有超过1000款应用程序存在安全漏洞,容易受到黑客的攻击。
一款名为JSPatch的用于帮助开发者修改应用程序的软件,存在一个安全漏洞,这使得它很容易成为黑客的攻击目标。这个安全漏洞相当于在设备上留了一个后门。一旦黑客发现和利用这个后门,他们就能够访问到设备中的照片、麦克风和剪贴板数据以及其他涉及个人隐私的功能。
该漏洞是网络安全公司FireEye发现的。该公司称,在苹果iOS应用商店中有1220款应用程序可能会受到影响。
“狡猾的攻击者可能会先编写一款合法的、没有恶意的应用程序,然后提交苹果应用商店审核。一旦它通过审核,正式进入苹果应用商店,它就能够给设备发送非法的、恶意的指令。”FireEye公司新兴科技主管乔希?高德法布(Josh Goldfarb)说。
开源工具JSPatch给了开发者更大的自主权,但却不符合苹果试图坚持的安全标准。
JSPatch并不是恶意软件,但是它的安全漏洞一旦被人利用,用户设备里的数据,甚至是用户允许该软件访问的其他应用程序,就很容易遭到非法入侵。
如果这款软件可以访问Apple Pay或其他移动钱包,那么问题就会变得非常严重了。
FireEye公司并未指明哪些应用程序是用JSPatch开发的,但是它重申苹果应用商店中已有1000多款应用程序受到影响。
高德法布给担心恶意应用程序的iOS用户提供了一些安全方面的建议。
“我们的建议是:仅下载你需要的、你了解的和你相信的应用程序。”他说,“提防那些不断向你提出请求并要求你批准的应用程序,只批准那些必要的请求。”
这并不是安全漏洞第一次出现在苹果的“封闭式花园”中。尽管如此,苹果的应用商店仍然要比谷歌(微博)应用商店Google Play安全得多。
在去年9月,数百款iPhone应用程序被发现感染恶意程序XcodeGhost。这算得上是苹果应用商店遭到的第一次较大的攻击。苹果当时立即行动,撤下了几款应用程序。
在被“越狱”的iOS设备中,这种攻击就常见得多。
“攻击者们一直在寻找进入苹果封闭式花园的途径。”FireEye公司的首席技术官布莱斯?博兰(Bryce Boland)说。
FireEye公司与《福布斯》杂志全球2000强企业中的650家企业均建立有合作关系。它预计,针对移动设备的恶意攻击还会增加。
“移动设备是攻击者比较青睐的攻击目标,因为相对于笔记本电脑和台式电脑来说,它们的安全防护措施比较薄弱。”高德法布说,“我们将会看到移动环境下的恶意攻击越来越多。哪里有铜臭味,攻击者就会飞向哪里。因此,我们将会看到更多针对移动设备的攻击。”
0条大神的评论