毒师周军：我如何创造一只“杀毒神兽”

我们把火绒剑放到了自己的QQ群里，也放到了卡饭论坛上，大家觉得这个工具非常实用，这些支持者也成为了我们的最早的用户。

【火绒剑】

有了火绒剑，显然就要有火绒盾。火绒盾一开始的功能也很简约，就是通过行为模式来判断一个程序是否存在恶意。

看一个程序是否有恶意行为，仅仅通过一个动作（单步防御）在很多情况下不能奏效，而是要把一个主体的多个动作串联起来才能判断。

举个例子：

一个人使用刀，并不是违法行为；

一个人站在人群中，也并不危险；

但是一个人在人群中握着刀，就很危险。

这个思路并不新奇。火绒盾做出的第一版产品也和“主流产品”很相似。但是由于可以直接接触到用户的反馈，我发现原来我们做多步防御的思路并不好。

过去的行为分析，主要看的是进程和进程的关系。每个分析器用独立的视角分析一个进程，这样就会造成子进程父进程等等多个进程分析之间的混乱。而我们发现，如果换一个视角，把每个行为和进程的关系作为一个矩阵来观察，事情就变得非常清晰了。

用这种方法，系统可以比较容易地总结出病毒的行为模式，建立起一整套基于行为的防护规则。这一套分析规则一直没有让人失望，至今为止还没有需要被“特殊照顾”的白名单文件。

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!