2018-08-03 AV反病毒引擎

起点、生态与进化

    动力颠覆历史：能力+意图=威胁，动机+能力=动力；实施APT：目标价值；攻击者：意图，坚定性。

    生态：一个被部分恶意代码研究者与公众忽略的问题。以欧洲市场为例：1992年个人电脑销售额IBM公司居榜首占13.5%，Apple占8.5%，Compaq占8.5%，好利获得占6.4%，而德国Vobis只占4.5%。

    文件、引导区感染。病毒的最原始技能；感染后保持对象原状，知道病毒发作；从寄生到持久化；BIOSKIT、南桥、固件、网络守候注入。

    繁殖。自我复制，大量的自我复制。SQL.Slammer蠕虫在十分钟之内感染了7.5万台计算机。

    躲避天敌。一个古老的病毒，发作现象是演奏乐曲，Yangkee Dookle。Yangkee是最早具有反DEBUG能力的病毒。

    保护色。病毒模仿windows系统服务的名称。现在的病毒大部分有可信的数字签名。

    拟态。恶意代码以dll形式加载到windows程序中，如IE浏览器。

    引诱。社会工程学的手段。如u盘中，恶意代码名称命名为已存在的文件夹，将原来的文件夹设为隐藏，引诱人使用该恶意代码。

    假死。Rootlit.Baidu。拦截API操作，在发现DeleteFile时，返回已删除的结果，其实任然存在。

    环境。历来操作系统的升级都淘汰大量的病毒。DOS3.3 > DOS3.5；ME格式 > PE格式；Ring0；VxD > WDM。

    传播与迁徙。恶意代码对主流数据交换方式的依赖不亚于动物对迁徙途径的依赖。磁盘；电子邮件；远程溢出；口令破解；u盘；web注入。

    被淘汰的不仅仅是VX，也有AV。OLE2分水岭。Vista强化的DEP、PatchGuard等安全机制，把病毒挡在外面的同时，也把大量AV厂商长时间阻断于“兼容性”测试之外。

    家族与变种。耶路撒冷病毒有354个变种，是DOS时代最多的。而目前有多个病毒家族变种总数已经过万，这还不包括被通用特征匹配出的变种。灰鸽子变种数多达数十万，占全球后门变种总数的17%。

    反汇编和代码演进。DOS病毒的大量泛滥始于反汇编结果的公布。后门的急剧膨胀在于BO的代码公开。Rbot等僵尸程序家族的大量变种源于代码公开。

    跨平台病毒不是变异。变形也不是变异。变形的过程中没有产生新的功能特性。