正在阅读:火绒虚拟沙盒技术杀毒引擎!火绒3.0评测火绒虚拟沙盒技术杀毒引擎!火绒3.0评测

2015-10-26 16:46 出处:PConline原创 作者:我爱我家 责任编辑:zhangxinxin

新功能 新体验

更加强悍的反病毒引擎 新一代虚拟沙盒技术

  火绒3采用了更加强悍的反病毒引擎,除了具备更加高效的特征扫描功能外,还拥有了新一代的“虚拟沙盒”技术,使之拥有了更加强大的通用脱壳和行为扫描能力。

火绒3
图5 火绒3拥有更加强悍的反病毒引擎

火绒3
图6 火绒3反病毒引擎架构

  总体来说,火绒3反病毒引擎采用单内核(Monolithic Kernel)设计,并采用比较常规的模块划分方式,主要包括5大反病毒技术:

  1) 火绒反病毒特征库:与其他主流反病毒引擎并无二致,火绒反病毒引擎是一款特征驱动的引擎。

  2) 火绒反病毒引擎扫描核心:扫描核心负责全部扫描逻辑的调度,包括特征扫描、静态和动态启发式扫描,以及宏病毒和感染型病毒查杀等功能。

  3) 火绒反病毒引擎I/O 抽象层:为扫描核心提供一致的I/O 访问接口,同时提供相应的缓存机制来减少对物理磁盘的I/O 访问。

  4) 火绒反病毒引擎文档分析模块:文档分析模块负责对不同格式分析以及解码的支持,包括各种压缩文档和邮件、PDF 等各种复合文档等。

  5) 火绒虚拟沙盒:火绒反病毒引擎在进行扫描时,会将待扫描对象置于火绒虚拟沙盒中进行受控虚拟执行,以此来实现脱壳、行为分析等动态分析技术。

  上边提了,火绒3加入了“虚拟沙盒”技术,那么,什么是沙盒技术呢?简单的来说就是将程序放入一个虚拟的运行环境来运行,通过观察其运行行为来判断是否具有病毒木马行为,而这种“运行”(演练)并不会威胁到真实系统的安全。火绒虚拟沙盒设计了完备的操作系统环境仿真,模拟了超过5000 个Windows API,涵盖了绝大多数操作系统的核心机制。

火绒3
图7 火绒3虚拟沙盒总体架构

  关于虚拟沙盒:

  套用一句广告词,“不是所有的虚拟机都叫虚拟沙盒”。反病毒虚拟沙盒应至少符合以下几个基本要求:

  1) 虚拟执行效率要足够高:反病毒引擎要求能够在相对较短的时间内(毫秒级)完成对待扫描对象的扫描,所以低下的虚拟执行效率是无法真正应用于反病毒虚拟沙盒的。

  2) 具有完备的操作系统环境仿真:如果仅仅能够虚拟执行指令,那么还无法称作虚拟沙盒。虚拟沙盒应具有完备的操作系统环境仿真,至少应包括:文件系统、注册表、进程、线程、调度逻辑、时钟、同步对象。

  3) 能够捕获并记录程序虚拟执行时的行为:虚拟沙盒应当可以捕获并记录程序在沙盒内虚拟执行时所产生的行为,此类记录可以是系统调用级别或更高级的抽象等。缺失捕获并记录行为的特性,行为分析便无从谈起。

  防范于未然,最好的方式就是御敌于国门之外。火绒3除了拥有强悍的反病毒引擎外,还加强了防御能力,火绒3通过组合多种防御技术,自上而下地在所有可能的威胁入口设计了独特的防御策略,共同有效地防御不同类型的恶意威胁。

火绒3
图8 火绒安全解决方案的分层防御架构

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品