从苏宁电器到卡巴斯基(第二部)第10篇:我在卡巴的日子 X

22 篇文章 20 订阅 ¥99.00 ¥9.90

目录

在这里,我看到了究极

分组

启发查杀组

每周的任务

深入学习与总结

启发特征的发布

人工智能


在这里,我看到了究极


在南派三叔所写的小说《盗墓笔记》的《云顶天宫》这一部中,说张起灵化妆成“阴兵”去了青铜门后面的世界。等他回来的时候,众人问他在青铜门后面究竟有什么,张起灵回答道,他看到了终极。

直至小说的最后,南派三叔也没描写这个所谓的“终极”究竟是什么,但应该是一种超出常人理解甚至是张起灵理解的事物或者是超自然现象吧。因为“终极”也就预示着一切的尽头,不可能再有更进一步的发展了。而我在卡巴斯基,也遇到了类似的情况。但技术是永无止境的,我觉得用“终极”不妥,所以这里称其为“究极”。

 

分组


在之前我给大家看的排班表中,我说我们每个分析师在一周五天的工作中,有三天要上线去处理日常的Case,还有两天需要做高级查杀技术的研究。其实在一开始正式走出训练期的时候,我并不知道自己还需要做研究,因为当时我一周五天都是要上线处理Case的,甚至有些时候,我们四个分析师会同时上线。由于我们的业务并没有那么多,因此四个人同时上线,劳动力确实是有些富余了。

大约是训练期结束后的一个多月吧,此时我和另一个新同事Yang都已经处理了一段时间的Case,对卡巴日常的业务也算是比较熟悉了。有一天,Rocky突然对我俩说,我们以后要开始排班,每人一周上线三天,另外两天不用上线,需要加入一些研究组来做一些查杀技术的研究。然后他就把我分配到了启发查杀组,把Yang分到了主动防御组。由于Rocky也是启发组的,因此接下来这段时间就由他来指导我关于卡巴查杀引擎中启发模块的用法以及特征的提取方式。而Yang则由俄罗斯的一位同事进行远程指导。

Yang所学习的主动防御技术有些复杂,一开始还需要先配置好分析环境,听说配置文件有好几个G,安装起来很容易报错,这就让他感觉很头疼,花了很长时间配好以后,特征也很难写。因此他其实也没有在主防组待多久,就和Rocky表达了想要转组的要求,结合他自己的意向,就把他分配到了安卓病毒研究组。他在这方面毕竟也是有些基础,而“渣兔”也在这个组,大家还可以相互交流研究,因此Yang上手很快,没多久就通过了培训,开始正式做安卓病毒特征的编写工作了。

 

启发查杀组


我这边的启发式查杀相对来说上手还是比较简单的,在卡巴的内部,有一套用于启发特征编写的集成开发环境,有点类似于Visual Studio,我需要学习这套IDE的用法和语法,相当于是新学一门编程语言。然后需要以恶意程序的家族为单位,总结这一类恶意程序的特点,再基于卡巴的启发引擎,写出查杀程序。这样,以后只要出现包含有相同行为的样本,那么旧的特征依旧可以匹配到新的恶意程序。

在此之前,我完全不知道还有启发式查杀这一说,我天真地以为目前最厉害的查杀方式也就是主动防御了,因为我在入职前的自学时,确实看过一些文章,也了解过一些厂商会采用主防这样的方法。而在Rocky面试我的时候,我也仅仅回答了哈希查杀以及传统的特征码查杀这两种方式,并不知道启发是怎么回事,也完全没有听说过。这也就说明了,如果想要接触最先进的技术,还是得进大厂深造的。

在一开始,Rocky仅仅告诉我了一些最基本的启发语法,也给了我一些家族的样本,让我练练手,我需要以最小的代价干掉更多的恶意程序。在这个学习的过程中,由于我对启发理解不透彻,因此也是走了不少的弯路。比如我要是发现样本调用了DeleteFile函数,我可能就要直接报毒了,因为这个样本做了文件删除的操作,我就觉得很可疑。这个时候Rocky就会教导我说,单一的函数不可以拿出来作为特征,毕竟微软将这些API函数发明出来,不可能仅仅是为了给黑客利用的,正常的程序也是可以调用这些函数的。因此编写启发特征,应当提取出只有恶意程序才会使用的函数序列才可以。另外,最好是将静态和动态启发结合来使用,以达到最好的查杀效果。

这里所说的静态是指单单从样本的文件本身层面去找一些可疑的东西,比如奇怪的字符串等,但是如果样本使用了混淆或者加了壳,静态特征就无从下手了,此时就需要将这个样本在沙箱里面运行一下,通过分析沙箱运行出来的日志文件,提取特征。那么这也就是之前所说的函数调用序列了。有些时候日志文件会非常庞大,这就需要依靠分析师的经验从而在合适的地方进行提取了,大海捞针式地找可疑的地方肯定是不行的,这样会非常耗费时间。

 

每周的任务


当时Rocky让我一周提交八条启发特征,看起来不多,但实际上这确是一个比较艰巨的任务。因为尽管我们有非常好的启发引擎来帮助我们的分析与查杀,但现在很多的样本写得非常地晦涩,极难从中找到一些比较好的特点鲜明的特征出来。所以尽管我一周有两天时间做这方面的研究,但基本上能写出四条特征就已经很不错的了。所以没办法,为了完成任务,我就只能加班了。这个加班并不是每天六点下班以后继续干,而是利用我的休息日,也就是周日和周一,也来公司找样本做研究,提取特征。只有这样才勉强能够完成Rocky给我定下的目标。有时运气好,一周可以写出超过八条的特征,于是我就会把多余的这些留到下周再提交。

随着时间的推移,我发现我们系统样本库中的样本也是越来越少,好分析的都被我和美国的一位新来的分析师给研究完了,余下的都是特征不鲜明的样本了。这就很糟糕了,于是我就又改变了策略。由于我一周是要上线三天处理Case的,这些Case一般就是分析一些最新的样本。因此我就把每天上线遇到的这些样本保存了下来,到我做研究的时候,就专门研究这些最新的样本,这样就极大地缓解了系统库中样本不足的问题。这么做还有一个好处,那就是如果遇到的这些样本是世界上最新的病毒,而我又第一时间对其写出了启发式特征,那么等这些样本再次更新的时候,只要其核心恶意功能没有改变,那么我所编写的旧的特征依旧可以查杀新的样本,真正实现了防患于未然。此时Rocky也会非常惊讶,甚至还边检查我的特征边自言自语问道:我查杀的这些样本都是哪来的啊?

很明显这些样本连他也没见过。而直到我离职,我也没和他说其中的缘由,毕竟他也没正面问我,要是正面问,我当然会说的。

 

深入学习与总结


除了每次我都能利用启发查杀掉最新的样本从而令Rocky吃惊以外,我自己还看了很多俄罗斯大神编写的启发特征。因为Rocky教我的那些语法都太简单了,随着我对启发式查杀理解的加深,以及样本复杂性的增加,就势必促使我学习一些更加高级的语法以更巧妙地干掉更多的样本。特别是有一次,我写了一条特征可以有效地对抗“白加黑”恶意程序,Rocky见了也有点惊讶,一开始也是有点质疑地问我这样真的可以吗?我自信满满地说没问题,我看了很多这样的样本都具有这样的特性,于是在将信将疑中,Rocky几乎没有对我的特征做什么改动,就审核通过并发布了。要知道,我以往的特征,Rocky或多或少地都会做一些修改,以避免误报或者以适应更多样本的查杀。可越到后来,我就越不需要他的修改了,他能够提出的意见也是非常有限了。其实,这正是他对我能力的无声的认可。

尽管启发式特征非常强大,但是它的缺点也是非常明显的,那就是非常容易造成误报。像是我们日常所处理的Case里面,如果出现了误报,那么大概率是由于启发或者主动防御特征所引起的。毕竟很多开发人员就是喜欢将代码写得和病毒一样,而我们又不可能因为几起误报而修改启发特征。这里其实涉及到一种权衡的思想,有些写得很好的也是有些年头的启发特征,在其下已经查杀了几十万个恶意样本,因此这样的特征我们是坚决不能动的,于是出现误报,也就只能将被误报的文件放进白名单里面了。

 

启发特征的发布


而我在一开始写启发特征的时候,如果Rocky审核没问题,也会发布出来,但是这种发布需要以Silent的形式发布,也就是这种特征只会默默地收集符合特征的样本,并不会直接报毒。大概收集一周或者半个月之后,分析师可以看一下这段时间的这条特征之下的样本是否出现了干净文件,如果全都是恶意的,那么才可以解除Silent形态以正式发布。假设其中有干净文件,那么就要进一步分析,看看是不是特征没有写好,如果是的话,则要进行修改,然后继续以Silent形式发布,收集样本再次进行研究,如此循环,直至确认没问题才可以发布。因此一条启发特征往往是要经历很长的一段时间才可以发布的,毕竟启发式特征是可以实现一对多的查杀的,一旦由于分析师个人的原因将特征写错,那么势必会出现大规模的误报,从而产生不可逆的后果了。所以Rocky也是小心谨慎,只让我写特征就好,其余的后续工作就由他来处理,偶尔也会让我看看收集到的样本是否有问题,但大部分情况还是可以的,于是也就直接发布了。而熟悉了启发式查杀特征的编写,也预示着我对卡巴的日常工作可以说是完全上手了。

启发特征对我的影响非常深远,往近了说,我在吾爱破解的视频教程比赛中所使用的就是静态启发式查杀的思想,尽管我在课程里面所用的方法和卡巴很不一样,毕竟卡巴是专业的查杀引擎,而我是自己写程序,但却可以达到类似的效果。往远了说,后来我和看雪合作,新出了一套《恶意程序分析与高级对抗技术》课程,里面的高级篇就是举了好几个关于启发查杀的例子,尽管课程里面的启发与卡巴相比依旧是小巫见大巫,但我也是希望通过我的课程的启发,能够令更多的朋友了解到这样的一种思想,从而更好地为世界网络和平做贡献。

 

人工智能


当时在我离职前,卡巴招聘了一个北邮的实习生,在我们这里做一些高级技术研究。这位同事所研究的内容和卡巴现有的体系又不一样。因为不论是启发还是主防,虽说是目前最为成熟的高级查杀技术,但依旧很传统,特别是当人工智能技术的兴起,那么如何将这一新技术和病毒查杀相结合,势必会成为未来我们领域的主流研究方向。如果人工智能可以达到和分析师一样的水准,一方面可以大大提高病毒对抗效率,另一方面也会彻底解放我们分析师,也会促使我们转行,让我们也投入到人工智能的研究领域。

这位新同事在我们这里主要研究的是机器学习中的初阶——模式识别的一种方法。简单来说,我们知道图像文件其实也是101010这样的二进制文件,而病毒文件也是这样。于是我们可以采用一定的算法,将病毒的二进制文件强行转化为图片形式,主要是转化为灰度图。然后利用图像识别分析算法对其进行特征的提取,也可以计算不同图片文件的相似度,以确定这些病毒图片文件是否属于同一类。

这是一个非常新颖的思路,它最大的好处在于可以无视我们所分析的目标样本文件,因为不论是哪一类的样本,最后都会被转化为图片,然后只要直接调用图像相关算法就好了。而我们传统的分析与对抗方式,不论是启发还是主动防御,都要求我们分析师要熟悉不同恶意程序的特点才行,因为不同类型的文件会具有不同的文件结构、分析方法和分析工具,这就需要我们势必要进行长时间的培训,以熟悉不同样本的分析技术。而有了这种模式识别方式之后,研究人员只要不断地去优化算法就好,将传统的分析技能转化为数学的方法。因此这样的一种方式确实是让我眼界大开。同时可以说也是让我找到了自己未来研究的方向。

现在想想,真的是非常感激卡巴斯基让我接触到了这么多的黑科技,因为我也了解过一些友商的情况,他们并没有诸如启发这样的方式,很多时候依旧要依靠最基本的哈希或特征码查杀的形式。所以我才会有这样的感慨——

       在这里,我看到了究极。

 

回到目录

下一篇

  • 2
    点赞
  • 1
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

打赏
文章很值,打赏犒劳作者一下
相关推荐
DirectX修复工具(DirectX Repair)是一款系统级工具软件,简便易用。本程序为绿色版,无需安装,可直接运行。 本程序的主要功能是检测当前系统的DirectX状态,如果发现异常则进行修复。程序主要针对0xc000007b问题设计,可以完美修复该问题。本程序中包含了最新版的DirectX redist(Jun2010),并且全部DX文件都有Microsoft的数字签名,安全放心。 本程序为了应对一般电脑用户的使用,采用了易用的一键式设计,只要点击主界面上的“检测并修复”按钮,程序就会自动完成校验、检测、下载、修复以及注册的全部功能,无需用户的介入,大大降低了使用难度。在常规修复过程中,程序还会自动检测DirectX加速状态,在异常时给予用户相应提示。 本程序适用于多个操作系统,如Windows XP(需先安装.NET 2.0,详情请参阅“致Windows XP用户.txt”文件)、Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 8.1 Update、Windows 10,同时兼容32位操作系统和64位操作系统。本程序会根据系统的不同,自动调整任务模式,无需用户进行设置。 本程序的V4.0版分为标准版、增强版以及在线修复版。所有版本都支持修复DirectX的功能,而增强版则额外支持修复c++的功能。在线修复版功能与标准版相同,但其所需的数据包需要在修复时自动下载。各个版本之间,主程序完全相同,只是其配套使用的数据包不同。因此,标准版和在线修复版可以通过补全扩展包的形式成为增强版。本程序自V3.5版起,自带扩展功能。只要在主界面的“工具”菜单下打开“选项”对话框,找到“扩展”标签,点击其中的“开始扩展”按钮即可。扩展过程需要Internet连接,扩展成功后新的数据包可自动生效。扩展用时根据网络速度不同而不同,最快仅需数秒,最慢需要数分钟,烦请耐心等待。如扩展失败,可点击“扩展”界面左上角小锁图标切换为加密连接,即可很大程度上避免因防火墙或其他原因导致的连接失败。 本程序自V2.0版起采用全新的底层程序架构,使用了异步多线程编程技术,使得检测、下载、修复单独进行,互不干扰,快速如飞。新程序更改了自我校验方式,因此使用新版本的程序时不会再出现自我校验失败的错误;但并非取消自我校验,因此程序安全性与之前版本相同,并未降低。 程序有更新系统c++功能。由于绝大多数软件运行时需要c++的支持,并且c++的异常也会导致0xc000007b错误,因此程序在检测修复的同时,也会根据需要更新系统中的c++组件。自V3.2版本开始使用了全新的c++扩展包,可以大幅提高工业软件修复成功的概率。修复c++的功能仅限于增强版,标准版及在线修复版在系统c++异常时(非丢失时)会提示用户使用增强版进行修复。除常规修复外,新版程序还支持C++强力修复功能。当常规修复无效时,可以到本程序的选项界面内开启强力修复功能,可大幅提高修复成功率。请注意,请仅在常规修复无效时再使用此功能。 程序有两种窗口样式。正常模式即默认样式,适合绝大多数用户使用。另有一种简约模式,此时窗口将只显示最基本的内容,修复会自动进行,修复完成10秒钟后会自动退出。该窗口样式可以使修复工作变得更加简单快速,同时方便其他软件、游戏将本程序内嵌,即可进行无需人工参与的快速修复。开启简约模式的方法是:打开程序所在目录下的“Settings.ini”文件(如果没有可以自己创建),将其中的“FormStyle”一项的值改为“Simple”并保存即可。 新版程序支持命令行运行模式。在命令行中调用本程序,可以在路径后直接添加命令进行相应的设置。常见的命令有7类,分别是设置语言的命令、设置窗口模式的命令,设置安全级别的命令、开启强力修复的命令、设置c++修复模式的命令、控制Direct加速的命令、显示版权信息的命令。具体命令名称可以通过“/help”或“/?”进行查询。 程序有高级筛选功能,开启该功能后用户可以自主选择要修复的文件,避免了其他不必要的修复工作。同时,也支持通过文件进行辅助筛选,只要在程序目录下建立“Filter.dat”文件,其中的每一行写一个需要修复文件的序号即可。该功能仅针对高级用户使用,并且必须在正常窗口模式下才有效(简约模式时无效)。 本程序有自动记录日志功能,可以记录每一次检测修复结果,方便在出现问题时,及时分析和查找原因,以便找到解决办法。 程序的“选项”对话框中包含了7项高级功能。点击"常规”选项卡可以调整程序的基本运行情况,包括日志记录、安全级别控制、调试模式开启等。只有开启调试模式后才能在C
本套餐将包括两个重磅性的课程与一个赠送学习的课程,分别为SpringBoot实战视频教程与RabbitMQ实战教程跟SSM整合开发之poi导入导出Excel。目的是为了让各位小伙伴可以从零基础一步一个脚印学习微服务项目的开发,特别是SpringBoot项目的开发,之后会进入第二个课程:RabbitMQ的实战,即消息中间件在实际项目或者系统中各种业务模块的实战并解决一些常见的典型的问题!核心的知识点分别包括 一、SpringBoot实战历程课程 (1)SpringBoot实战应用场景的介绍与代码实战 (2)发送邮件服务、上传下载文件服务、Poi导入导出Excel (3)单模块与多模块项目构建、项目部署打包、日志、多环境配置、lombok、validator以及mybatis整合实战跟多数据源实战 (4)Redis缓存中间件的实战与缓存雪崩跟缓存穿透等问题的解决实战 (5)RabbitMQ消息中间件在业务模块异步解耦、通信、消息确认机制以及并发量配置等的实战 二、RabbitMQ实战教程课程 (1)RabbitMQ的官网权威技术手册拜读,认识并理解各大专有名词,如队列,交换机,路由,死信队列,消息确认机制等等 (2)RabbitMQ在业务服务模块之间的异步解耦通信实战,如异步记录日志与发送邮件等 (3)商城系统抢单高并发情况下RabbitMQ的限流作用与代码实战 (4)消息确认机制与并发量配置并用来实战商城用户下单 (5)死信队列深入讲解与DLX,DLK,TTL等概念的讲解并用来实战 “支付系统用户下单后支付超时而失效其下单记录”实战 详情,各位小伙伴可以查看两个课程的目录。相信学完该套餐相关课程后,你的实战能力将大大提升!涨薪将不再遥遥无期! 最后,赠送的SSM整合开发之POI导入导出Excel目的是为了让各位小伙伴也可以学习Spring+SpringMVC+Mybatis整合开发的项目,让大家一对比SpringBoot与SPring的项目开发流程以及复杂程度!!! 相信学完之后,你会对SpringBoot爱不释手!!
<p> <strong><span style="font-size:16px;color:#003399;">会用Python分析金融数据 or 金融行业会用Python</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">职场竞争力更高</span></strong> </p> <p> <br /> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231042221925.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">Python金融数据分析入门到实战</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">Get√金融行业数据分析必备技能</span></strong> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231042438069.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">以股票量化交易为应用场景</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">完成技术指标实现的全过程</span></strong> </p> <p> <br /> </p> <p> <span style="font-size:14px;">课程选取股票量化交易为应用场景,由股票数据的获取、技术指标的实现,逐步进阶到策略的设计</span><span style="font-size:14px;">和回测,由浅入深、由技术到思维地为同学们讲解Python金融数据分析在股票量化交易中的应用</span><span style="font-size:14px;">。</span> </p> <p> <br /> </p> <p> <span style="font-size:14px;"><br /> </span> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231043183686.png" alt="" /> </p> <p> <br /> </p> <p> <br /> </p> <p> <strong><span style="font-size:16px;color:#003399;">以Python为编程语言</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">解锁3大主流数据分析工具</span></strong> </p> <p> <br /> </p> <p> <span style="font-size:14px;">Python做金融具有先天优势,课程提取了Python数据分析工具NumPy、Pandas及可视化工具</span><span style="font-size:14px;">Matplotlib的关键点详细讲解,帮助同学掌握数据分析的关键技能。</span> </p> <p> <img src="https://img-bss.csdnimg.cn/202012231043472858.png" alt="" /> </p> <p> <strong><span style="font-size:16px;color:#003399;"><br /> </span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;">2大购课福利</span></strong> </p> <p> <strong><span style="font-size:16px;color:#003399;"><br /> </span></strong> </p> <p> <img src="https://img-bss.csdnimg.cn/202012300628195864.png" alt="" /> </p>
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页

打赏

ioio_jy

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值