火绒反病毒引擎“虚拟沙盒”再进阶 支持64位虚拟环境

据火绒威胁情报系统监测,近几年64位病毒样本数量大有上涨趋势,从2018年至今,64位病毒样本数量已增长了1445%,且今年速度明显加快,如臭名昭著的Emotet病毒、IcedID病毒、Dridexs病毒均出现大量64位新变种。火绒安全实验室预测,未来64位病毒数量还会以较快速度逐年递增。

2018年-2022年Q3的64位病毒样本量增长趋势

由于Win32病毒样本与安全软件对抗的复杂度逐渐增高,以及近年来64位操作系统市场占有率的扩大增长,致使病毒作者开始逐步尝试转向开发基于Win64的恶意代码及病毒混淆器,从而对抗安全厂商的查杀。

穿上“马甲”照样认识你

“马甲”即病毒混淆器。在病毒与安全软件的对抗过程中,病毒混淆器一直扮演着极为重要的角色。病毒会套上一层甚至多层“马甲”,伪装成正常程序,隐匿自己的真实目的,误导安全软件的判定,达成其不正当目的。

“抓住事物本质及其规律,才能事半功倍”——火绒安全深谙核心的反病毒技术之道。火绒反病毒引擎拥有识破“马甲”的能力,即便“马甲”形态变化多端,依然能够透过层层表象,剖析恶意代码本质,还原病毒核心特征,进而更好地识别并查杀同一病毒家族的不同变种或未知变种。

火绒反病毒引擎的这种能力,则得益于独有的高仿真度“虚拟沙盒”环境。

仿真生态与“寄居蟹”

对于“虚拟沙盒”,可以理解为一套仿真的生态环境,病毒就像寄居蟹一样藏在不同的病毒混淆器中。为了让寄居蟹放松警惕,行动起来,仿真生态要足够还原寄居蟹真实生存环境。即让病毒以为身处真实目标环境,并开始执行核心恶意代码,因此暴露最本质的病毒特征。

火绒虚拟沙盒设计了完备的32位操作系统环境仿真,模拟了超过23000个Windows API,涵盖了绝大多数操作系统的核心机制,包括但不限于:文件系统、注册表系统、窗口系统等,几乎“一比一”复刻了系统环境。因此,病毒能够“放心”运行,进而被火绒引擎识别,及时查杀,并精准判定病毒类型及家族名称。

火绒安全产品得益于引擎对病毒准确的识别能力,可以帮助企业网络管理员对问题精准定性,及时确认安全风险敞口,进而采取应对措施;同时会针对感染型病毒中被植入的恶意代码做到准确剥离,还原用户原始文件。

积跬步 至千里

早在几年前,火绒团队就已经在虚拟沙盒中探索构建64位操作系统,从指令的虚拟执行到API、文件系统、注册表等系统要素仿真搭建,再到对64位病毒检出查杀的反复验证,火绒安全于近日正式宣布进阶了核心技术能力——火绒反病毒引擎“虚拟沙盒”支持64位虚拟环境,整体环境安全、可控。

支持64位虚拟环境后,火绒引擎通过对64位样本的扫描可以获取到病毒核心特征,从而提高火绒安全产品对未知病毒的检出能力,防御未知威胁。火绒安全从未停止过对核心能力的技术投入,火绒引擎“虚拟沙盒”环境的仿真和推演,更是综合时间、人力、技术、实践经验不断积累磨合、持续升级的结果。

因此火绒安全不仅是防病毒软件提供商,也是重要的反病毒引擎提供商。火绒将独具优势的本地反病毒引擎,赋能给国内众多一线安全厂商,共同应对网络安全事件,防范网络攻击。

火绒安全将紧跟网络威胁变化,增强核心技术建设,聆听用户需求建议,提升产品能力,提高用户体验,聚焦反病毒研究,在国内终端安全领域不断做精、做强。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )