嘍大家好����,我是蔡姬。六十四款電腦病毒pk這八款殺毒軟件�����,看看哪款殺毒軟件可以正常的防御��。
接下來出場的是聯(lián)想電腦管家���,聯(lián)想電腦管家整裝待發(fā)����,放門一鍵運行六十四款電腦病毒�����。重啟一下,這也是正常的進入了系統(tǒng)。
本期視頻就到這里,想看四款殺毒軟件防暈效果的可以去翻翻我的視頻。本期視頻就到這里,下期再見����,拜拜�����。
進入騰訊之前����,劉釗和木馬病毒并沒有什么“交情”�。他印象中唯一一次和病毒親密接觸就是1998年,他的電腦突然無法開機�����?���!艾F(xiàn)在回想起來應(yīng)該是中了 CIH 病毒,因為那天正好是26號���。”如今已經(jīng)成為反病毒安全專家的他對雷鋒網(wǎng)回憶���。
2010年,研究生學習信息地質(zhì)學的劉釗加入了騰訊�����,負責電腦管家的界面開發(fā)�����。然而沒過多久他就發(fā)現(xiàn),在電腦管家里有著一種遠比設(shè)計界面更加有趣的工種,那就是為電腦管家提供“炮彈”——用各種姿勢絞殺木馬。
而一旦親手摸到病毒和木馬����,這個漢子的天賦異稟便噴薄而出��,從此義無反顧地踏上了反病毒木馬這條“不歸路”。
騰訊電腦管家 安全專家 劉釗
▌木馬“收割機”
木馬和恐怖片里的僵尸有著一個共同的特點,那就是:如果你選擇一對一的徒手搏擊����,對方在數(shù)量級的優(yōu)勢絕對會讓你死相凄慘���。
每天全世界的黑客都會如細胞分裂般地制造出無數(shù)木馬��。而“優(yōu)秀”的木馬又會產(chǎn)生成百上千的變種。面對木馬的海洋�����,安全研究員需要一個“聯(lián)合收割機”����。
劉釗參與研發(fā)的這臺“木馬收割機”名為哈勃分析系統(tǒng),是騰訊電腦管家的后方“火力支援”。如同天文望遠鏡哈勃一樣,這個哈勃也擁有無數(shù)的鏡組��,這些鏡組就是判定惡意程序的“規(guī)則”�����。每天����,全世界的全量樣本都會經(jīng)過系統(tǒng)自動篩查�,那些已知的木馬和完全無害的程序通過無數(shù)條已知的規(guī)則篩查����,會被瞬間分進“黑”“白”兩個名單。而少數(shù)系統(tǒng)無法判斷的灰色程序�,就是劉釗們的任務(wù)�。
他必須使用各種姿勢對其中典型程序的行為進行研究�����,直到明確了這些程序的真實身份——非黑即白�。針對這些惡意程序添加新的識別規(guī)則之后,系統(tǒng)就完成了一次升級。
說到底�����,劉釗和同事們用來驅(qū)動哈勃的無數(shù)條“規(guī)則”才是對抗木馬的“終極大殺器”�����。
做軟件界面開發(fā)的時候��,你是在和電腦交流,是嚴謹而精準的。
做一般產(chǎn)品的時候��,你是在和用戶交流�,就像是在和朋友聊天。
而對抗木馬的時候,你是在和木馬的作者——一個活生生的黑客打交道�。我的對手在千方百計地逃過追蹤����,而我是要千方百計地抓住他����。這不是在聊天�,而是在斗爭。
這項工作在劉釗心中的魅力正在于此�。
▌代碼背后的“黑影”
借助手上各種自動化工具�,一個簡單的新型木馬只需要幾分鐘就可以被識別出來��;然而對于“高手”的作品���,也許要花上劉釗幾天時間��。
在劉釗眼里,這些病毒木馬背后的黑客們的水平可謂參差不齊��,有些欺騙用戶的方法甚至很“質(zhì)樸”�����。他舉了幾個例子:
我們知道圖標的樣子并不代表文件的后綴名�。有一些木馬選用了一個壓縮包的圖標����,但實際上是一個可執(zhí)行文件。這種方法自從有 Windows 那年就存在了�����,但是直到現(xiàn)在依然有木馬使用���,也依然有用戶上當��。
很多人清楚“.exe”“.com”文件是可執(zhí)行文件���,點擊的時候會慎重����。但是他們不知道“.scr”也是可執(zhí)行文件���。如果木馬偽裝成這個 Windows 的屏保類文件����,可以輕松騙過很多人���。
還有很多木馬被黑客設(shè)置成隱藏文件�,和一個“.bat”的批處理文件或快捷方式放在同一個壓縮包里。很多小白并不知道�����,只要打開系統(tǒng)選項���,就可以輕易看到藏身于此的木馬�����。一旦點擊了指向木馬的文件�,就會瞬間中招。
在辦公室里���,經(jīng)常傳來劉釗的惋惜。
在看到這類木馬的時候�,我第一時間不會想到木馬的作者是什么樣的人����。反而是想到的是受害的用戶���,因為沒有養(yǎng)成良好的安全習慣�,才會上了這種簡單騙局的圈套。
黑客襲擊烏克蘭電站的內(nèi)藏宏病毒的 Excel 文件
然而����,劉釗所代表的安全研究隊伍正在迅速壯大,他們的專業(yè)技術(shù)可以迅速賦能管家類軟件,用戶利用防護軟件可以輕易查殺這些“簡易木馬”�。這種情況反而倒逼黑客不斷升級自己的“武器”����。這兩年����,黑客和安全研究員之間的“神魔斗法”突然變得白熱化,開發(fā)木馬的黑客們已經(jīng)把欺騙的對象從用戶轉(zhuǎn)移到安全研究員身上。
常見的宏病毒,是在 Office 文檔中加入一段 VB 代碼�。然而現(xiàn)在很多黑客并不在常規(guī)的代碼位防止惡意代碼����,而是放在窗體的文字里��,這就可以逃避一些自動工具的查殺�。然而�,為了逃避安全研究員的手動查殺,他們還會把代碼文字的大小縮到最小號,當安全人員打開代碼查看的時候�����,什么都看不到����。
另外,有一些黑客還會為木馬的指令進行“加花”——采用CPU指令集里面非常冷門的指令。本來用一句“滾犢子”就能說明白的指令偏偏被說成“翻滾吧牛寶寶”����。對于計算機來說���,這些“加花指令”和正常的指令沒有區(qū)別����;但是對于屏幕前的安全研究員來說���,滿眼都是憂桑��。
很多木馬會被作者隱藏在正常的應(yīng)用程序之中,他們僅僅改動程序中的幾行代碼��,就能達到惡意的目的�����。而對于這種“帶病的”程序����,其中惡意代碼只占非常小的比例���。當那些“不說人話”的指令夾雜在數(shù)萬行正常程序的代碼中的時候��,手動找到這些“李鬼”就只有理論上的可能性了�。這個時候��,最有效的辦法是把木馬放在沙箱中執(zhí)行�����,在動態(tài)中觀察木馬究竟會做出哪些行為���。
簡單說來����,沙箱就是一個封閉的虛擬環(huán)境��,惡意的程序會以為自己成功感染了用戶的系統(tǒng),從而開始惡意行動�����。這樣就讓它們瞬間露出馬腳��,現(xiàn)出原形���。
然而�,神魔斗法還遠沒有停息���。很多木馬“進化”出了一項功能��,那就是檢測自己是否在沙箱之中���,或者檢測自己是否被安全研究員用動態(tài)調(diào)試器所控制����。
很多木馬在沙箱中會擺出一副人畜無害的姿態(tài)����,或者一旦遇到調(diào)試器就自動崩潰。這個時候我們就需要審查木馬的代碼��,檢查其中的“反制”代碼�,然后選擇性地跳過這些代碼,再讓木馬跑一次�����。
劉釗所做的一切�,都是為了最終抓住木馬“現(xiàn)形”的證據(jù)。而一旦掌握了它的行為�,就可以滿心仇恨地用正確的方法“手撕”木馬了����。一般的木馬會被提交到殺毒引擎中進行查殺���,而對于“特立獨行”的木馬���,則需要開發(fā)專殺工具����。
哈勃分析系統(tǒng)上線的木馬專殺工具
然而事實是殘酷的�����。從安全研究員開發(fā)查殺規(guī)則到用戶可以使用查殺工具����,一定存在一個哪怕十分微小的時間差��。
事后的補救永遠是下策�。
如果木馬足夠“野蠻”��,很可能在你查殺的時候���,它已經(jīng)成功把你的資金轉(zhuǎn)走���,或者成功地破壞了你的文件��。面對這些情況,我們也無能為力。所以最好的辦法是防患于未然�����。當人們都能提高警惕,不運行非官方的程序�����,不點擊可疑郵件或鏈接的時候��,木馬才會無計可施。
劉釗說。
▌“兇殘”的對手
身為安全專家����,劉釗并不能戰(zhàn)勝所有的對手�。這是一個事實�。
敲詐木馬就是劉釗面對的“兇殘對手”。這類源自于國外的木馬一旦成功感染,就會鎖住用戶的設(shè)備或文件����。然后會在設(shè)備上顯示敲詐信息�。用戶在支付了“贖金”之后就會從黑客手里得到解鎖密碼�����。
敲詐木馬 Jigsaw 發(fā)作的界面
劉釗告訴雷鋒網(wǎng)��,
2015年流行的 Android 手機鎖屏敲詐木馬會采用誘騙的手段獲得用戶的授權(quán),然后在屏幕的頂端覆蓋一層蒙版����,使得用戶所有的點擊行為全部失效���。
然而����,這類敲詐木馬并沒能擊敗他����。經(jīng)過研究�����,他和團隊發(fā)現(xiàn)���,只要連接電腦��,就可以通過調(diào)試模式對手機發(fā)送指令,關(guān)掉頂層的蒙版��,進而殺掉這個木馬��。如果手機沒有設(shè)置調(diào)試模式�,也可以重啟進入安全模式��,抑制所有第三方程序的請求��,從而干掉木馬。為此���,哈勃系統(tǒng)還專門推出了查殺這類木馬的專殺工具。
Android 手機敲詐木馬
真正可怕的對手�,是“電腦密鎖”類的敲詐木馬�����。這是于2015年初開始流行的敲詐木馬。它的可怕之處并不在于木馬本身的技術(shù)����,而在于其中一些采用了 RSA 加密算法對用戶的文件進行加密����。不要小看這個 RSA 算法��,大多數(shù)銀行都在采用這種加密算法保護用戶的數(shù)據(jù)安全�����。
一個足夠長度的 RSA 密鑰,如果采取暴力破解的方法��,需要最好的計算機集群連續(xù)工作上千年��。截至目前�����,世界上所有的黑客都沒有發(fā)現(xiàn)這個加密算法的弱點。換句話說��,如果這種加密算法存在漏洞�,那么我們所有人的銀行賬戶都會暴露在危險之中。
敲詐木馬 CTB-Locker 的索要贖金界面
對于這類木馬�����,唯一的解決方案就是在它發(fā)作之前清除掉����。如果不幸被襲擊,受害者除了乖乖按照黑客的指示通過地下暗網(wǎng)繳納比特幣贖金��,似乎沒有更好的選擇�。不過,劉釗告訴雷鋒網(wǎng)�,在這波席卷全球的密鎖類木馬大潮中���,中國大陸成為了唯一未被“玷污”的凈土����。
目前還沒有檢測到大規(guī)模傳播的PC密鎖類敲詐木馬�����,一個重要的原因就是中國的用戶沒有辦法連接到暗網(wǎng),所以就算想支付贖金都沒有辦法。��。�。
面對這么“惡劣”的土壤,木馬作者似乎沒有任何動力把敲詐木馬翻譯成簡體中文。這對劉釗來說也許是個尷尬的好消息�。
▌“宅男”或“鐵漢”
很多人會覺得劉釗有一張標準的宅男臉��。但在代碼世界里,他卻是一個站在在我們身前和木馬病毒死磕的“鐵漢”。
我們每日坐在鋼筋樓宇中��,覺得安全無虞�����;殊不知網(wǎng)絡(luò)世界仍處蠻荒����。這些信奉叢林法則的黑客一手炮制的木馬����,想要掠奪的是我們每一個人的金錢財產(chǎn)、珍貴資料,以及對互聯(lián)網(wǎng)世界的信任�����。如果你了解了劉釗和木馬之間的戰(zhàn)爭���。相信你也會得出這樣的結(jié)論:
這場戰(zhàn)爭并不是兒戲���,容不得半點疏忽�。
也許下一次騰訊電腦管家又彈出木馬警告的時候,你會想到,在這場無休止的戰(zhàn)爭中�����,劉釗和他的同事們又打了一次勝仗�。
▌文章推薦:
黑產(chǎn)揭秘:利用偽基站釣魚有哪些套路���?
日��,國產(chǎn)殺毒軟件騰訊電腦管家再傳捷報���,據(jù)國際權(quán)威殺毒評測機構(gòu)VirusBulletin公布的2018年8月VB100評測成績顯示�����,騰訊電腦管家(英文版)以100%通過率�,0誤報的優(yōu)異成績獲得認證����,同時也是其第30次獲得該認證,再次刷新連續(xù)通過記錄,持續(xù)領(lǐng)跑國際殺毒軟件第一陣營。
(圖:騰訊電腦管家(英文版)連續(xù)通過VB100認證)
作為英國著名獨立病毒測試中心VirusBulletin,VB100以世界性組織WildList病毒資料庫作為病毒來源�����,對世界各國殺毒軟件進行測試���,其中立����、公平、專業(yè)的定位使得其很快在反病毒安全領(lǐng)域獲得權(quán)威地位。騰訊電腦管家(英文版)參與的本次測試采用雙系統(tǒng)測試模式,其在Windows7和Windows10兩個系統(tǒng)環(huán)境中分別通過了相關(guān)測試��。事實證明�,擁有云查殺木馬、系統(tǒng)加速、漏洞修復(fù)���、實時防護等多種功能的騰訊電腦管家(英文版),自2012年6月首次參與測評以來��,不斷創(chuàng)下VB100通過認證記錄�,安全防護及病毒查殺方面的能力已達到國際一流殺軟水平���。
今年以來�,騰訊電腦管家(英文版)屢獲國內(nèi)外權(quán)威安全測評機構(gòu)肯定。2018年5月��,由國際知名第三方網(wǎng)絡(luò)信息安全測評機構(gòu)賽可達實驗室組織的“動態(tài)測試”����、“靜態(tài)掃描”兩項測試中,騰訊電腦管家(英文版)取得最高分�����,獲得總成績第一;2018年7月����,以檢測率99.5%的成績斬獲第23次國際權(quán)威殺毒軟件評測機構(gòu)AVC真實世界測試“最佳(A+)”評級,獲得“ADVANCED+”榮譽稱號����。
其實�,這些優(yōu)異成績的取得離不開騰訊安全反病毒實驗室自主研發(fā)的TAV引擎的支持��,該引擎凝聚了實驗室多年同惡意軟件對抗的技術(shù)經(jīng)驗�����,擁有輕量、易擴展��、通殺性強�����、極速檢測流行威脅等特點。在病毒形勢日益嚴峻的態(tài)勢下,騰訊反病毒實驗室一如既往地專注于互聯(lián)網(wǎng)安全建設(shè)�����,精品打磨各線產(chǎn)品��,打造以自研引擎TAV為技術(shù)核心的Windows管家����、手機管家���,以哈勃分析系統(tǒng)為核心技術(shù)的御界防APT郵件網(wǎng)關(guān)����、御界高級威脅檢測系統(tǒng)�����,可以應(yīng)對多種安全事件,為電腦端用戶����、手機端用戶�、企業(yè)用戶營造一個安全的網(wǎng)絡(luò)環(huán)境����。
(圖:騰訊安全反病毒實驗室核心技術(shù)構(gòu)成)
作為VB的“老朋友”,日前騰訊電腦管家還亮相在加拿大舉行的VirusBulletinInternationalConference(VB2018)大會����,期間騰訊安全專家畢磊���、郭曉龍發(fā)表了名為《危險卷土重來:對抗不斷變化的宏病毒威脅》的主題演講,介紹了近年來宏病毒利用社會工程學進行大勢傳播的增長趨勢����,分享了目前已應(yīng)用到騰訊電腦管家產(chǎn)品中�����,服務(wù)于億萬用戶的多種宏病毒檢測手段與方法。
如今,網(wǎng)絡(luò)安全已逐漸成為海陸空天之外的第五種安全�。本次測試�,騰訊電腦管家(英文版)以100%的病毒查殺率�,0誤報的優(yōu)異成績連續(xù)30次通過認證,其不僅在世界舞臺證明了國內(nèi)安全廠商的實力,而且也為國內(nèi)網(wǎng)絡(luò)安全行業(yè)的進步帶來更大信心��。
---------------------------------------------------------
1.本文援引自互聯(lián)網(wǎng)���,旨在傳遞更多網(wǎng)絡(luò)信息���,僅代表作者本人觀點����,與本網(wǎng)站無關(guān)。
2.本文僅供讀者參考,本網(wǎng)站未對該內(nèi)容進行證實,對其原創(chuàng)性、真實性��、完整性���、及時性不作任何保證����。
