百锐(ruì)金盾ByteHero System Defense Software(BSD)是一款基于启发式病毒检测技术的(de)安全防护软件。它占(zhàn)用(yòng)系统资源少,侦测准确性(xìng)高(gāo),不含病毒库(kù),无需升级即可(kě)防御大量已(yǐ)知和未知病毒,配合常规杀毒软件(jiàn)使用将(jiāng)极(jí)大(dà)地提高(gāo)对互联网新(xīn)增未知(zhī)病毒的(de)防(fáng)范能力(lì)。
1.功能强大的脱壳技术。
2.基于动(dòng)态、静态(tài)相结合的启发(fā)式(shì)检测技术。
3.基于动态、静态的加密(mì)/多态/变形病毒检(jiǎn)测技术。
4.功能强大的内置病毒家族分析系统,有效定位已知病毒家(jiā)族新增(zēng)变种。
5.功(gōng)能强大未知病毒(dú)探测能力,全(quán)面覆盖病毒/木马/蠕虫/间谍后(hòu)门程序(xù)。
6.独创的(de)反免杀技术(shù),不(bú)受常规免(miǎn)杀技术影响。
7.不使用白名单技术(shù),同时拥有极低(dī)的误报率。
8.强力拦(lán)截各种网(wǎng)页脚本、漏洞型病毒木马的运行(háng),还您安心(xīn)舒适的上网环境(jìng)。
代码动态启发式分析:
动态启发(fā)检测主(zhǔ)要基(jī)于反病毒虚拟(nǐ)机技术。通过模拟Intel CPU、部分计算机硬件(jiàn)(硬盘等)和(hé)Windows操作系统(tǒng)构(gòu)造一个反病毒(dú)虚拟机,然后把待检测程序加载到(dào)该仿真的系(xì)统中(zhōng)运行。虚拟机中设置有若干行为监控(kòng)点,对程序行为进行实(shí)时监控,根据是否(fǒu)含有恶意(yì)行为侦(zhēn)测病毒。由于被(bèi)检(jiǎn)测程序是在虚拟机中(zhōng)运行(háng),病毒并不会威(wēi)胁真实计(jì)算(suàn)机系(xì)统。
模(mó)拟(nǐ)Intel CPU:仿真的CPU主要由机器码识别系统、寻址系统和指(zhǐ)令解释执行系统(tǒng)组成,机器码识别(bié)系统负责对程(chéng)序的指令识别(bié),然后把识(shí)别(bié)出来的指令传递给指令(lìng)解释系统执行。在指令的执行(háng)过(guò)程中(zhōng)如果用到内存需要使用寻址系统来寻(xún)址访(fǎng)问内存。这个(gè)过程(chéng)中异常捕获系统要实时监测虚拟CPU中可能导致的异常,并做成实时响应。
模拟Windows操作(zuò)系统:该模(mó)块主要由PE加载系统、API系统(tǒng)、文(wén)件系统、注册表系统和(hé)任务调度系统(tǒng)等组(zǔ)成,病毒在运行前(qián)需(xū)要用PE加载(zǎi)系统(tǒng)加载,然后移交给虚(xū)拟CPU执行(háng),程序执行过(guò)程可能需要API等系统的支持,如果病毒程(chéng)序是多(duō)线程多进程的,还需要任务调度系统的支(zhī)持。模拟的Windows操作系统中也(yě)具有相应的异常处理系统(tǒng),当虚拟CPU监测(cè)到(dào)异常的时候,交由虚拟的Windows操作系统(tǒng)进行异(yì)常响应。
代(dài)码静态启发式分析:
静态启发式检测技术主要基于对代码片段的分析(xī)来(lái)检测病毒。通过对文件外部静态(tài)信息进行(háng)分类,结(jié)合病毒感染形式,模拟跟踪(zōng)代码执行流(liú)程来判断是否是(shì)病毒。静态检测中包括针对程序存(cún)在异常的检测方案,和针对恶意行为规则的检(jiǎn)测(cè)方案(àn)。
针对异常的检测方案中,会对病毒木马所使(shǐ)用的技(jì)术进行分类(lèi)处理,例如入(rù)口模糊隐(yǐn)藏,隧穴感染等(děng)等方式进行抽象分析,同时归纳(nà)出这些异常点,结合分析算(suàn)法来(lái)达到未知病(bìng)毒检(jiǎn)测的效(xiào)果。
针(zhēn)对恶意行为规则的检测方案中,会对已(yǐ)经(jīng)形成的病毒家族行为进行(háng)归(guī)纳及(jí)规则演绎,同时对(duì)恶意程序(xù)代码进行反汇编,模拟跟踪代(dài)码执行流程,解析特(tè)定函数及参数等有效(xiào)信息的来形成规(guī)则,匹(pǐ)配已有知识库的规则来完成对新增病毒变种的有效检测。
主(zhǔ)动防御技术:
建立识别恶意代码的专家系统,对windows内核层进行(háng)访问控制,记录程序关联(lián)行为。通过启发式检测技术进行信息过(guò)滤,由专家系统推理判断,识别(bié)病毒行(háng)为,从而实现智能化主(zhǔ)动防御(yù)系统。
自(zì)动化病(bìng)毒样本(běn)分拣(jiǎn)平(píng)台:
基于百锐启发式检测技术,完成对(duì)病毒样(yàng)本的自动(dòng)分(fèn)拣,自动命(mìng)名,自动提取病毒特征码(mǎ)的一体化系统。
运行环境:32位Win7/XP/2000/2003/Vista
