火絨安全軟件是新一代全功能安全軟件,火絨安全軟件基于強(qiáng)大的底層技術(shù),反病毒、主動(dòng)防御和防火墻三大模塊深度整合，近日，火絨虛擬沙盒針對(duì)驅(qū)動(dòng)病毒實(shí)現(xiàn)通用脫殼，可獲取到驅(qū)動(dòng)病毒核心特征，提高此類病毒的查殺效果，更好地防御相關(guān)未知威脅。

火絨“在線支持與響應(yīng)平臺(tái)”統(tǒng)計(jì)發(fā)現(xiàn)，近幾年驅(qū)動(dòng)病毒數(shù)量在不斷增長(zhǎng)，火絨安全接到用戶此類病毒問題的求助也在逐年遞增。

驅(qū)動(dòng)病毒往往通過惡意劫持用戶網(wǎng)頁(yè)流量、盜取用戶信息、降低系統(tǒng)安全性等操作，給用戶電腦帶來安全隱患，侵害用戶個(gè)人隱私。驅(qū)動(dòng)病毒問題已經(jīng)成為國(guó)內(nèi)個(gè)人用戶遇到的主要安全威脅之一。

【資料圖】

驅(qū)動(dòng)病毒是一種內(nèi)核級(jí)病毒，病毒可以對(duì)操作系統(tǒng)內(nèi)核資源進(jìn)行劫持，或通過隱藏其他病毒進(jìn)程、注冊(cè)表、文件相關(guān)操作等方式與安全軟件進(jìn)行對(duì)抗。在此類對(duì)抗場(chǎng)景中，驅(qū)動(dòng)病毒由于對(duì)運(yùn)行穩(wěn)定性要求較高，所以主要表現(xiàn)為使用“保護(hù)殼”方式對(duì)抗安全軟件查殺，如VMProtect等。而針對(duì)帶有“保護(hù)殼”的驅(qū)動(dòng)病毒，常規(guī)查殺手段無法高效精準(zhǔn)地對(duì)其識(shí)別查殺。

另外一種現(xiàn)象是，越來越多的驅(qū)動(dòng)病毒開始帶有微軟的WHQL簽名，從而使得安全軟件常規(guī)查殺效果進(jìn)一步降低。

此次火絨虛擬沙盒針對(duì)驅(qū)動(dòng)病毒實(shí)現(xiàn)通用脫殼的技術(shù)升級(jí)，可以戳穿驅(qū)動(dòng)病毒的“偽裝”，通過模擬仿真的方式，還原驅(qū)動(dòng)病毒的本質(zhì)代碼、數(shù)據(jù)和病毒行為，捕捉病毒核心特征，實(shí)現(xiàn)“穩(wěn)、準(zhǔn)”查殺。

以Rootkit病毒Rootkit/W64.Agent.h為例，該病毒使用微軟的WHQL簽名，并且使用VMProtect進(jìn)行加密。相關(guān)文件信息，如下圖所示：

病毒驅(qū)動(dòng)文件信息

脫殼前和脫殼后對(duì)比圖

VMProtect加密后，病毒的核心特征被加密，脫殼前和脫殼后對(duì)比圖，如下圖所示：

“拉法病毒”內(nèi)層核心特征

以“拉法病毒”的過濾驅(qū)動(dòng)模塊HomePop.sys為例，該模塊使用VMProtect進(jìn)行加密，在火絨虛擬沙盒環(huán)境中對(duì)其進(jìn)行通用脫殼后，獲取到病毒核心特征，達(dá)到更好的查殺效果。相關(guān)特征，如下圖所示：

病毒使用的證書信息

病毒使用的證書信息，如下圖所示：

傳奇私服病毒內(nèi)層核心特征

以《傳奇私服正攜帶病毒劫持網(wǎng)絡(luò)流量火絨安全已攔截》中的Rootkit病毒為例，火絨虛擬沙盒引擎對(duì)其進(jìn)行脫殼后，即可獲取到大量核心特征，如：攔截的驅(qū)動(dòng)簽名列表、C&C服務(wù)器地址、配置相關(guān)等信息，如下圖所示：

Rootkit/StartPage.m病毒內(nèi)層核心特征

以Rootkit病毒Rootkit/StartPage.m為例，火絨虛擬沙盒引擎對(duì)其進(jìn)行脫殼后，即可獲取到核心特征，如下圖所示：

樣本HASH：

標(biāo)簽： 火絨安全，火絨安全，火絨安全虛擬沙盒，攻略，教程