火絨安全軟件是新一代全功能安全軟件,火絨安全軟件基于強(qiáng)大的底層技術(shù),反病毒、主動防御和防火墻三大模塊深度整合,近日,火絨虛擬沙盒針對驅(qū)動病毒實(shí)現(xiàn)通用脫殼,可獲取到驅(qū)動病毒核心特征,提高此類病毒的查殺效果,更好地防御相關(guān)未知威脅。

火絨“在線支持與響應(yīng)平臺”統(tǒng)計發(fā)現(xiàn),近幾年驅(qū)動病毒數(shù)量在不斷增長,火絨安全接到用戶此類病毒問題的求助也在逐年遞增。

驅(qū)動病毒往往通過惡意劫持用戶網(wǎng)頁流量、盜取用戶信息、降低系統(tǒng)安全性等操作,給用戶電腦帶來安全隱患,侵害用戶個人隱私。驅(qū)動病毒問題已經(jīng)成為國內(nèi)個人用戶遇到的主要安全威脅之一。


【資料圖】

驅(qū)動病毒是一種內(nèi)核級病毒,病毒可以對操作系統(tǒng)內(nèi)核資源進(jìn)行劫持,或通過隱藏其他病毒進(jìn)程、注冊表、文件相關(guān)操作等方式與安全軟件進(jìn)行對抗。在此類對抗場景中,驅(qū)動病毒由于對運(yùn)行穩(wěn)定性要求較高,所以主要表現(xiàn)為使用“保護(hù)殼”方式對抗安全軟件查殺,如VMProtect等。而針對帶有“保護(hù)殼”的驅(qū)動病毒,常規(guī)查殺手段無法高效精準(zhǔn)地對其識別查殺。

另外一種現(xiàn)象是,越來越多的驅(qū)動病毒開始帶有微軟的WHQL簽名,從而使得安全軟件常規(guī)查殺效果進(jìn)一步降低。

此次火絨虛擬沙盒針對驅(qū)動病毒實(shí)現(xiàn)通用脫殼的技術(shù)升級,可以戳穿驅(qū)動病毒的“偽裝”,通過模擬仿真的方式,還原驅(qū)動病毒的本質(zhì)代碼、數(shù)據(jù)和病毒行為,捕捉病毒核心特征,實(shí)現(xiàn)“穩(wěn)、準(zhǔn)”查殺。

以Rootkit病毒Rootkit/W64.Agent.h為例,該病毒使用微軟的WHQL簽名,并且使用VMProtect進(jìn)行加密。相關(guān)文件信息,如下圖所示:

病毒驅(qū)動文件信息

脫殼前和脫殼后對比圖

VMProtect加密后,病毒的核心特征被加密,脫殼前和脫殼后對比圖,如下圖所示:

“拉法病毒”內(nèi)層核心特征

以“拉法病毒”的過濾驅(qū)動模塊HomePop.sys為例,該模塊使用VMProtect進(jìn)行加密,在火絨虛擬沙盒環(huán)境中對其進(jìn)行通用脫殼后,獲取到病毒核心特征,達(dá)到更好的查殺效果。相關(guān)特征,如下圖所示:

病毒使用的證書信息

病毒使用的證書信息,如下圖所示:

傳奇私服病毒內(nèi)層核心特征

以《傳奇私服正攜帶病毒劫持網(wǎng)絡(luò)流量火絨安全已攔截》中的Rootkit病毒為例,火絨虛擬沙盒引擎對其進(jìn)行脫殼后,即可獲取到大量核心特征,如:攔截的驅(qū)動簽名列表、C&C服務(wù)器地址、配置相關(guān)等信息,如下圖所示:

Rootkit/StartPage.m病毒內(nèi)層核心特征

以Rootkit病毒Rootkit/StartPage.m為例,火絨虛擬沙盒引擎對其進(jìn)行脫殼后,即可獲取到核心特征,如下圖所示:

樣本HASH:

標(biāo)簽: 火絨安全,火絨安全,火絨安全虛擬沙盒,攻略,教程