基本介紹
- 中文名:百銳金盾
- 最新版本:BSD1.5
- 引擎大小:2.04MB
- 運行環境:32位Win7/XP/2000/2003/Vista
軟體介紹,研究方向,
軟體介紹
軟體語言:簡體中文
八大技術特點:
1.功能強大的脫殼技術。
2.基於動態、靜態相結合的啟發式檢測技術。
3.基於動態、靜態的加密/多態/變形病毒檢測技術。
4.功能強大的內置病毒家族分析系統,有效定位已知病毒家族新增變種。
6.獨創的反免殺技術,不受常規免殺技術影響。
7.不使用白名單技術,同時擁有極低的誤報率。
研究方向
代碼動態啟發式分析:
動態啟發檢測主要基於反病毒虛擬機技術。通過模擬Intel CPU、部分計算機硬體(硬碟等)和Windows作業系統構造一個反病毒虛擬機,然後把待檢測程式載入到該仿真的系統中運行。虛擬機中設定有若干行為監控點,對程式行為進行實時監控,根據是否含有惡意行為偵測病毒。由於被檢測程式是在虛擬機中運行,病毒並不會威脅真實計算機系統。
模擬Intel CPU:仿真的CPU主要由機器碼識別系統、定址系統和指令解釋執行系統組成,機器碼識別系統負責對程式的指令識別,然後把識別出來的指令傳遞給指令解釋系統執行。在指令的執行過程中如果用到記憶體需要使用定址系統來定址訪問記憶體。這個過程中異常捕獲系統要實時監測虛擬CPU中可能導致的異常,並做成實時回響。
模擬Windows作業系統:該模組主要由PE載入系統、API系統、檔案系統、註冊表系統和任務調度系統等組成,病毒在運行前需要用PE載入系統載入,然後移交給虛擬CPU執行,程式執行過程可能需要API等系統的支持,如果病毒程式是多執行緒多進程的,還需要任務調度系統的支持。模擬的Windows作業系統中也具有相應的異常處理系統,當虛擬CPU監測到異常的時候,交由虛擬的Windows作業系統進行異常回響。
代碼靜態啟發式分析:
靜態啟發式檢測技術主要基於對代碼片段的分析來檢測病毒。通過對檔案外部靜態信息進行分類,結合病毒感染形式,模擬跟蹤代碼執行流程來判斷是否是病毒。靜態檢測中包括針對程式存在異常的檢測方案,和針對惡意行為規則的檢測方案。
針對異常的檢測方案中,會對病毒木馬所使用的技術進行分類處理,例如入口模糊隱藏,隧穴感染等等方式進行抽象分析,同時歸納出這些異常點,結合分析算法來達到未知病毒檢測的效果。
針對惡意行為規則的檢測方案中,會對已經形成的病毒家族行為進行歸納及規則演繹,同時對惡意程式代碼進行反彙編,模擬跟蹤代碼執行流程,解析特定函式及參數等有效信息的來形成規則,匹配已有知識庫的規則來完成對新增病毒變種的有效檢測。
主動防禦技術:
自動化病毒樣本分揀平台:
基於百銳啟發式檢測技術,完成對病毒樣本的自動分揀,自動命名,自動提取病毒特徵碼的一體化系統。