使用機器學習的檢測技術
Dr.Web 長年來了解惡意程式,我們深入了解惡意軟體,並且可以識別出真正惡意的程序。
現在,Dr.Web將其經驗轉化為最複雜的演算法,而其檢測程序每天都經過改進和完善。
我們使用機器學習的Dr.Web SpIDer ML Anti-Script新技術來訓練我們的模組,促使Dr.Web SpIDer Guard使用特殊技術來進行辨識,在惡意程式執行前就識別它,並且可以檢測到更多種類的全新未知惡意腳本。
Dr.Web 不再依賴病毒資料庫的更新,其檢查模式在安裝後就生效,減少病毒資料庫的資訊量,而提升檢測品質。
不採用特徵比對的檢測技術
使用特徵碼檢測,防毒毒軟體則只能檢測到目前現有狀況的30%的惡意程序。然而剩下的70%呢?
總是有被全新的未知惡意程序感染的風險。
Doctor Web防病毒解決方案同時使用多種惡意軟件檢測方法,這使它們能夠對可疑文件進行徹底檢查並控制軟件行為。
- 啟發式分析器
- 來源追踪技術
- 執行emulation模塊 (台灣普遍稱沙箱作業)
- Fly-Code技術
- 全面分析打包威脅
- 腳本啟發式技術
- Structural entropy結構性變動分析
特徵碼分析
掃描從特徵分析開始,通過將文件代碼段與已知病毒特徵進行比較來執行簽名分析。特徵是一個有限的連續字節序列,它對於識別特定病毒是必要且足夠的。為了減小特徵庫的大小,Dr.Web防毒解決方案使用特徵總和檢查, 而不是完整的特徵序列。總和檢查可唯一識別特微,而保留了病毒檢測和中和的正確性。Dr.Web病毒資料庫的組成使得某些記錄不僅可以用於檢測特定病毒,還可以檢測整個威脅類別。
來源追踪
特徵分析完成後,Dr.Web防毒解決方案將使用獨特的Origins Tracing方法來檢測使用已知感染機制的新病毒和經過修飾的病毒。因此,Dr.Web使用者可以免受惡意勒索Trojan.Encoder.18(也稱為gpcode)之類的威脅。除了檢測新病毒和經過修飾的病毒之外,來源追踪機制還可以大大減少啟發式分析器的錯誤觸發次數。
執行emulation(aka.沙箱)
當無法直接應用針對總和檢查的搜索或很難執行檢測時,程式代碼的emulation技術可用於檢測加密病毒。該方法意味著通過emulation(處理器和運行時環境的編程模型)來模擬分析代碼的執行。emulation在受保護的儲存區域(emulation緩衝區)中運行),其中分析的程序的執行是逐條指令建模的。但是,這些指令實際上都不由CPU執行。當emulation收到感染了病毒的文件時,其結果就是解密的病毒體,然後可以通過搜索特徵碼總和檢查輕鬆確定。
啟發式分析
啟發式分析器使用的檢測方法基於對某些特徵(屬性)的某些知識(啟發式),這些特徵可能是病毒代碼本身的典型特徵,反之亦然,這在病毒中極為罕見。每個屬性都有一個權重係數,該權重係數確定其嚴重性和可靠性的級別。如果相應的屬性表示惡意代碼,則權重係數可以為正;如果該屬性不具有計算機威脅的特徵,則權重係數可以為負。根據文件的總權重,啟發式分析器計算未知病毒感染的可能性。如果超過設定值,則啟發式分析器將得出結論,即所分析的對象可能感染了未知病毒。
啟發式分析器還使用FLY-CODE技術,這是一種用於提取文件的通用演算法。該技術不僅可以使Dr.Web知道,而且可以由以前未開發的新程序通過打包程序壓縮文件中的惡意對象,從而進行啟發式假設。在檢查壓縮包裝對象時,Dr.Web防病毒解決方案還使用Structural entropy結構性變動分析。該技術通過安排代碼段來檢測威脅。因此,一個資料庫記錄允許識別使用單一記錄但多型態的記錄來視別壓縮包裝後的大部分威脅。
但是,就如同在不確定性下的任何假設測試系統一樣,啟發式分析器可能會犯I型或II型錯誤(忽略病毒或引發錯誤警報),因此,由啟發式分析器檢測到的對像被視為“可疑”。
在執行上述任何檢查時,Dr.Web防毒解決方案將使用有關已知惡意軟體的最新訊息。Doctor Web防病毒實驗室的專家一旦發現新的威脅,就會發佈病毒特微,行為特徵和屬性的更新。在某些情況下,每小時可以發布幾次更新。因此,即使全新病毒通過Dr.Web駐地防護程序並滲透到系統中,更新後也會在程序列表中將其檢測到並消除。
Preventive Protection預防性保護
- 保護系統免受新發且多產的惡意程式的攻擊,這些惡意程式能躲避免通過傳統的基於特徵檢測的分析和啟發式程式,能躲避的主因為尚未將其待徵記錄添加到安全系統中(例如,由於尚未下載最新更新)
- 檢測不需要的文件修改,監視所有系統程序的運行以檢測典型的惡意軟體動作(例如,加密勒索軟體行為),並防止惡意程式將其代碼寫入其他程序
- 檢測並消除尚未發現的威脅:加密勒索軟體修改正常程序,通常用於間諜活動和建立殭屍網絡的遠端控制惡意程式以及惡意軟體壓縮程序