據(jù)火絨威脅情報系統(tǒng)監(jiān)測,近幾年64位病毒樣本數(shù)量大有上漲趨勢,從2018年至今,64位病毒樣本數(shù)量已增長了1445%,且今年速度明顯加快,如臭名昭著的Emotet病毒、IcedID病毒、Dridexs病毒均出現(xiàn)大量64位新變種?;鸾q安全實驗室預(yù)測,未來64位病毒數(shù)量還會以較快速度逐年遞增。
2018年-2022年Q3的64位病毒樣本量增長趨勢
由于Win32病毒樣本與安全軟件對抗的復(fù)雜度逐漸增高,以及近年來64位操作系統(tǒng)市場占有率的擴大增長,致使病毒作者開始逐步嘗試轉(zhuǎn)向開發(fā)基于Win64的惡意代碼及病毒混淆器,從而對抗安全廠商的查殺。
穿上“馬甲”照樣認(rèn)識你
“馬甲”即病毒混淆器。在病毒與安全軟件的對抗過程中,病毒混淆器一直扮演著極為重要的角色。病毒會套上一層甚至多層“馬甲”,偽裝成正常程序,隱匿自己的真實目的,誤導(dǎo)安全軟件的判定,達成其不正當(dāng)目的。
“抓住事物本質(zhì)及其規(guī)律,才能事半功倍”——火絨安全深諳核心的反病毒技術(shù)之道。火絨反病毒引擎擁有識破“馬甲”的能力,即便“馬甲”形態(tài)變化多端,依然能夠透過層層表象,剖析惡意代碼本質(zhì),還原病毒核心特征,進而更好地識別并查殺同一病毒家族的不同變種或未知變種。
火絨反病毒引擎的這種能力,則得益于獨有的高仿真度“虛擬沙盒”環(huán)境。
仿真生態(tài)與“寄居蟹”
對于“虛擬沙盒”,可以理解為一套仿真的生態(tài)環(huán)境,病毒就像寄居蟹一樣藏在不同的病毒混淆器中。為了讓寄居蟹放松警惕,行動起來,仿真生態(tài)要足夠還原寄居蟹真實生存環(huán)境。即讓病毒以為身處真實目標(biāo)環(huán)境,并開始執(zhí)行核心惡意代碼,因此暴露最本質(zhì)的病毒特征。
火絨虛擬沙盒設(shè)計了完備的32位操作系統(tǒng)環(huán)境仿真,模擬了超過23000個Windows API,涵蓋了絕大多數(shù)操作系統(tǒng)的核心機制,包括但不限于:文件系統(tǒng)、注冊表系統(tǒng)、窗口系統(tǒng)等,幾乎“一比一”復(fù)刻了系統(tǒng)環(huán)境。因此,病毒能夠“放心”運行,進而被火絨引擎識別,及時查殺,并精準(zhǔn)判定病毒類型及家族名稱。
火絨安全產(chǎn)品得益于引擎對病毒準(zhǔn)確的識別能力,可以幫助企業(yè)網(wǎng)絡(luò)管理員對問題精準(zhǔn)定性,及時確認(rèn)安全風(fēng)險敞口,進而采取應(yīng)對措施;同時會針對感染型病毒中被植入的惡意代碼做到準(zhǔn)確剝離,還原用戶原始文件。
積跬步 至千里
早在幾年前,火絨團隊就已經(jīng)在虛擬沙盒中探索構(gòu)建64位操作系統(tǒng),從指令的虛擬執(zhí)行到API、文件系統(tǒng)、注冊表等系統(tǒng)要素仿真搭建,再到對64位病毒檢出查殺的反復(fù)驗證,火絨安全于近日正式宣布進階了核心技術(shù)能力——火絨反病毒引擎“虛擬沙盒”支持64位虛擬環(huán)境,整體環(huán)境安全、可控。
支持64位虛擬環(huán)境后,火絨引擎通過對64位樣本的掃描可以獲取到病毒核心特征,從而提高火絨安全產(chǎn)品對未知病毒的檢出能力,防御未知威脅?;鸾q安全從未停止過對核心能力的技術(shù)投入,火絨引擎“虛擬沙盒”環(huán)境的仿真和推演,更是綜合時間、人力、技術(shù)、實踐經(jīng)驗不斷積累磨合、持續(xù)升級的結(jié)果。
因此火絨安全不僅是防病毒軟件提供商,也是重要的反病毒引擎提供商?;鸾q將獨具優(yōu)勢的本地反病毒引擎,賦能給國內(nèi)眾多一線安全廠商,共同應(yīng)對網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)攻擊。
火絨安全將緊跟網(wǎng)絡(luò)威脅變化,增強核心技術(shù)建設(shè),聆聽用戶需求建議,提升產(chǎn)品能力,提高用戶體驗,聚焦反病毒研究,在國內(nèi)終端安全領(lǐng)域不斷做精、做強。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )