自主研发反病毒引擎
时间:2022-03-09 19:06:01 | 来源:行业动态
时间:2022-03-09 19:06:01 来源:行业动态
提到火绒安全的核心技术产品和能力时,刘刚明显打开了话匣子。据介绍,火绒安全自主研发的新一代反病毒引擎,拥有通用脱壳、动态行为查杀等技术,并且在持续不断地改进虚拟沙盒的执行效率和启发算法。这些反病毒引擎技术的及时更新,都会明显提高火绒对网络中未知威胁的检测能力。我可以非常自信地说,在国内,火绒安全自主反病毒引擎的技术实力绝对是靠前的。
其中,最为核心的火绒虚拟沙盒技术,通过构造完备的操作系统仿真环境,让病毒在虚拟环境中充分展示各种特性。这听起来很简单,但好的虚拟机对系统性能的把控要求很高,是技术考验的关键。
据介绍,反病毒虚拟沙盒至少需要符合几点:首先是虚拟执行效率要足够高,反病毒引擎要求能够在相对较短的时间内(毫秒级)完成对待扫描对象的扫描;其次,具有完备的操作系统环境仿真,至少应包括文件系统、注册表、进程、线程、调度逻辑、时钟、同步对象等;再次,虚拟沙盒应当可以捕获并记录程序在沙盒内虚拟执行时所产生的行为,此类记录可以是系统调用级别或更高级的抽象等。
资料显示,通用脱壳、动态行为查杀是火绒虚拟沙盒的重要应用。通用脱壳是指在不需要识别样本是否加壳的情况下,通过将样本放入虚拟沙盒深度执行并通过启发式逻辑分析样本数据是否已被还原的技术。动态行为查杀技术则是火绒反病毒引擎通过跟踪和记录程序或脚本在虚拟环境中的动态行为,配合启发式分析算法对程序的恶意行为进行评估。无论病毒如何修改或混淆特征,只要它的行为与已知的病毒行为模式匹配,就可以直接判定为病毒。
刘刚介绍称,目前的虚拟机主要分为两类:一类是使用开源代码设计的,还有一类就是像火绒这种,完全自主技术研发的。目前大多数杀毒软件的虚拟机,主要还是需要用户授权把资料上传到病毒查杀的服务器上进行检测,这种模式就像去医院看病,你用医院的大型检测设备进行体检,这种检测有依赖设备、流程的局限性,不容易日常及时准确地发现病毒。
火绒安全的产品则更像是一种可以随时随地检测健康的穿戴设备,通过自主技术把检测设备小型化,跑在用户终端,这意味着火绒只需要更新自己的病毒库即可,安全防护过程不再依赖互联网。最直接的用户使用感受,便是轻巧且检测速度快,检测结果不受断网影响,这就是火绒虚拟沙盒技术的功劳。所以说,虽然都叫虚拟机,但其实是不一样的内核。
严格地讲火绒安全这种虚拟机,国内只有我们一家能做。这项技术有大量的体力活要干,可以理解为1/3是技术要攻关的,剩下2/3就都是体力活,需要几年的体力。所以在国内,绝对不是说没人能做,很多圈内人也认可这项技术,只是没人能像我们这样坚持做下去。因为互联网公司机制不支持你如此长时间地单向投入。
谈到开源,他补充解释称,坚持自主研发并不代表火绒安全排斥开源,单从基础层面的角度来说,开源的和自主研发差异并不明显。但从专业技术角度来讲,真正想要满足市场特定层面的需求,核心的杀毒引擎等组件必须自主研发。真正精深的部分还是需要专业且持续的研究,尤其是顶层的技术创新。