走近卡巴斯基(六)

释放双眼,带上耳机,听听看~!

看看他们,你才知道什么是“蓝瘦香菇”!

这几天,有一个“蓝瘦香菇”的少年刷爆了朋友圈,因为女孩纸,因为失恋……鬼知道这个少年究竟经历了什么,竟然能“伤心欲绝”到这般田地……虽然无法感同身受少年的痛苦,但现如今“蓝瘦香菇”的可不止少年一人,看看我最近收到的一些消息,我相信这些才是好

前     言


杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

慢慢的,大家会发现,杀毒还是要靠技术说话的。很多人问我:你说卡巴斯基好,到底好在哪? 这个问题还真不是三言两语能说清楚的,所以我整理了一些内容,希望大家能看完,或许就能从中找到答案。今天讲第六部分:

六、Kaspersky System Watcher(卡巴斯基系统监控)

       如今的计算机系统比以前更擅长于多任务处理。同一时间可以运行很多程序,每个程序都有其执行的特定目的和在系统中的特定权限。

       安全解决方案的目的就是阻止任何具有破化性的程序进行活动,比如感染文件,或者恶意修改注册表。检测出现过的恶意文件的最“经典”的方法是用唯一的特征码检测(特征码检测技术)。然而,仅仅使用特征码检测技术不能再提供有效的防护了–––––根据卡巴斯基的内部数据,每天会有315,000个新的恶意样本会出现,很多都没有被收录进病毒数据库。

       应对这种形势有一个方法,须跟踪程序在系统中的行为,并将行为和典型的木马行为对比,再判断是否是病毒。然而,针对每一个单独的程序收集的数据是分散的,并没有提供程序在系统中所有活动的准确完整的记录。

       

系统事件监测技术

       系统事件监测是一种新的手段,这种技术收集了整个系统的信息来控制全局,从而最大限度阻止恶意软件的活动。如果有必要,程序会修复计算机,复原一些被恶意软件修改的参数。

       系统事件监测会跟踪系统中所有的重要事件,操作系统文件和系统配置的变化,程序的运行和网络活动。这些活动会被记录下来并分析,如果程序正在执行恶意操作,将会立即阻止并靠这些记录回滚恶意操作,阻止全面感染。

       系统事件监测用处很多,它有效对抗在系统中任何有迹象执行破坏的程序。这意味着它可以对抗未知威胁,即没有被收录进病毒数据库的威胁。

卡巴斯基系统监控,更高级别的保护


       卡巴斯基实验室的产品一直以最先进最前沿的技术打击威胁。在2009年开始,最基础的系统事件监控技术就有了,随着此功能的进一步改进,形成了卡巴斯基系统监控。

       卡巴斯基系统监控扫描最有价值的系统事件数据,比如监控文件的创建和修改,对于系统注册表的任何修改,系统的调用,网络的数据传输等。系统监控也监控各种操作的有关的目录和文件以及MBR的修改(操作系统加载程序存放的地方)。

       此外,系统监控分析通过TCP协议(传输控制协议)传输的数据包,从中搜寻任何恶意活动的证据。数据收集是全自动的,无需用户参与。

       使用BSS(Behavior Stream Signatures,行为流签名,即危险活动特征码)模式,系统监控可以基于对行为数据的分析,判定一个程序是否是恶意的。卡巴斯基包含一个信息交换机制,比如和网络反病毒组件,即时通讯反病毒组件,HIPS以及防火墙。这样,产品能够全面整体地检测恶意程序对程序规则(判定恶意软件)的违反,更好识别程序的行为。

(新版无法关闭了)

       系统监控组件是可以更新和调整的,比如事件列表和事件监视机制,甚至启发扫描都可以完全根据需要调整。这样很灵活和快速地响应威胁演化的迅速和系统配置的不断调整。系统组件的更新是常规反病毒数据库更新的一部分,不需要用户手动操作。

威胁检测


        内置的BSS模块(Behavior Stream Signatures,危险活动特征码)判定一个程序是否恶意。系统监控将程序的实时行为和典型的恶意程序的行为作对比。这个模块分析数据后会实时做出判断。卡巴斯基也提供了一种叫做启发式BSS,即检测到程序的行为相似与恶意程序,但也可能不是。系统监控除了使用标准的检测方式,系统监控也可以识别潜在的恶意活动。比如,一个受信任的程序被利用程序漏洞来执行恶意代码,系统监控依然会检测到这个行为并提示用户是否阻止。

        用户可以选择全自动处理模式,也可以选择交互模式。在交互模式,用户对行为有更多的控制权

勒索软件对抗模块

  

安全从业人员住民宿上演教科书式反偷拍,房主已被拘留

近日,一名青岛爱彼迎(airbnb)民宿房主被警方行政拘留。北青报记者了解到,原来这位房主一边开民宿,一边将摄像头装在路由器里,并对着卧室。发现房间内藏着路由器的是一名从事信息安全工作的游客,他此前曾通过商业安全和隐私保护培训了解到如何检查偷拍设备

        随着勒索软件(加密用户数据,必须支付赎金才能解密)的持续增加和传播,迫切需要相应的技术对抗,这在系统监控中有相应的模块。一旦可以的程序打开了用户的个人数据,该模块会做好文件的备份,使勒索攻击无效。因此,没有必要花钱解锁,加密的文件会被事先自动备份好的正常文件替换掉。

        

保护系统不被锁屏木马破坏


        锁屏木马是一种形式的勒索程序,它会锁住用户的屏幕,让用户无法进行正常的计算机操作,然后显示一个要求支付赎金才能解开锁的提示窗口。系统监控同样地提供了针对此类威胁的保护措施。在系统监控的设置菜单里,有相应的地方开启保护,并设置组合键,可以手动地在屏幕被锁后终止锁屏木马的进程,删除木马,实现解锁的目的。默认这项保护是处于开启状态的。

漏洞防护模块


        系统监控的另一个模块是反漏洞利用模块,阻止利用其他软件的漏洞,甚至是零日漏洞的恶意程序。这个模块控制各类程序,尤其是那些经常被当作漏洞利用目标的程序。如果这些程序被加载恶意代码,会开始检查并阻止。在这种方式下收集到的信息帮助检测漏洞利用行为并阻止它们。此外,反漏洞利用模块使用Forced Address Space Layout Randomization 技术(地址空间布局随机化,是参与保护缓冲区溢出问题的一个计算机安全技术。是为了防止攻击者在内存中能够可靠地对跳转到特定利用函数。ASLR包括随机排列程序的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置),这样漏洞利用程序很难将恶意代码加载到内存从而阻止了漏洞利用。

Java程序控制模块

       利用Java进行漏洞入侵一直是个大的安全隐患,原因是Java的普及和Java程序执行的虚拟环境的不透明性Java 虚拟机是运行所有Java程序虚拟机,是 Java语言的运行环境,Java语言的一个非常重要的特点就是与平台的无关性。而使用Java 虚拟机是实现这一特点的关键)。为了检测通过Java的攻击,系统监控有一个叫做Java2SW的特殊模块,有权限直接访问Java平台,在每一个JVM(Java Virtual Machine)植入安全监控模块。Java2SW分析在Java虚拟机内运行的代码,如果检测到可疑行为,会立即阻止。

回滚恶意软件对系统的更改


       在检测到恶意程序的感染时,系统监控会立即启动回滚(将计算机系统回滚到原来安全的状态)。回滚系统的工作包括还原创建后和修改的可执行文件,重要的Windows文件,和注册表项。在卡巴斯基最新版本中,回滚机制可以做修改。   


可用性


       系统监控模块在个人版产品和企业用户产品都集成了。

       对于家庭用户:KAV,KIS,KTS

       对于企业用户:KES(端点安全解决方案)/KSOS(中小企业版)


结论

       系统事件检测是通过系统监控实现的,是一种保护方法。所有重要的系统活动会被监测,基于监测数据,恶意程序的行为会被识别并阻止。这种方式可以阻挡住任何程序的恶意活动,不管恶意程序是否是已知的,在不在病毒数据库里。它提供了极高的检测率而误报却很少,因为一般是恶意程序才有破坏性的行为。

       因为对系统持续不断和详细的监控,所以能够精准的回滚恶意软件的操作,这提高了计算机的整体安全水品,提供了更精准的系统状态和进程的诊断。

未完待续……


如果你觉得不错请转发让更多人看到。

您的关注就是我的动力,扫描下面二维码关注“大兵说安全”

本文源自微信公众号:大兵说安全

防黑必备技能之端口篇(1)

“ 最近想把一些安全基础知识整理一下,以方便初学者学习,思前想后,我决定从端口开始说起” 端口部分,初步打算分为五部分内容讲解: 一、介绍端口基础知识 二、如何查看端口占用情况 三、如何打开及关闭端口。 四、如何利用端口分析恶意攻击。 五、常用端

人已赞赏
安全工具

售前工程师应该如何讲解PPT?

2019-10-14 17:29:37

安全工具

看看他们,你才知道什么是“蓝瘦香菇”!

2019-10-14 17:29:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索