天融信终端威胁检测防御系统技术白皮书.docxVIP

天融信终端威胁检测防御系统白皮书 天融信终端威胁检测防御系统 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话：(86)10传真：(86)10服务热线：400-610-5119 800-810-5119 Http: // 目录 TOC \o "1-3" \h \z \u 第一章 技术背景 3 第二章 终端威胁检测防御系统概述 3 终端威胁检测防御系统的定义 3 终端威胁检测防御系统的构成 3 终端威胁检测防御系统的扫描技术 3 终端威胁检测防御系统的解码（Decomposition）技术 4 第三章 天融信终端威胁检测防御系统架构 4 天融信终端威胁检测防御系统组件 4 第四章 天融信终端威胁检测防御系统特性 5 广泛的平台支持 5 通用扫描（Generic Detection）技术 5 轻量化的设计 5 丰富的文件格式支持 5 多种扫描技术的应用 6 代码级修复能力 6 基于天融信沙盒的通用脱壳（Generic Unpacking） 6 基于天融信沙盒的动态行为分析（行为沙盒） 7 第五章 评估终端威胁检测防御系统能力 8 终端威胁检测防御系统的检出能力 8 终端威胁检测防御系统的解码（Decomposition）能力 9 第六章 附录 10  技术背景 天融信终端威胁检测防御系统能够在众多杀毒软件中脱颖而出，得益于一个安全厂商的基本操守，没有任何捆绑、弹窗、收集隐私信息等侵权行为，同时更加强力地狙杀各种流氓软件，严控商业软件的侵权行为。因此，安装了天融信终端威胁检测防御系统的电脑依然是最纯净的。 天融信终端威胁检测防御系统完美地实现了反病毒、主动防御和防火墙三大功能模块的深层整合，在产品架构、数据和功能设置等层面，真正做到了“三合一”。天融信终端威胁检测防御系统是最轻巧的安全软件，安装后仅占用20M硬盘资源，病毒库3M大小，日常内存占用不到10M左右。这一方面得益于引擎等底层技术的先进，二是在“威胁情报分析系统”的帮助下，天融信终端威胁检测防御系统只精准地加载“活着”的病毒样本。在几乎感觉不到它存在。 天融信终端威胁检测防御系统以创新的杀毒技术、先进的防御理念、纯净的运行环境和超低的资源占用，为您的计算机保驾护航。 终端威胁检测防御系统概述 终端威胁检测防御系统的定义 终端威胁检测防御系统负责扫描给定待扫描对象是否包含恶意代码。一般来说，终端威胁检测防御系统应至少具备以下属性： 对于给定对象，评估是否包含恶意代码； 能够明确描述该对象所包含恶意代码类型，如：木马、后门、蠕虫等； 对于寄生类恶意代码（宏病毒、感染型病毒等），可以从宿主对象中剥离恶意代码，并还原宿主对象数据； 终端威胁检测防御系统的构成 符合上述定义的终端威胁检测防御系统，一般来说至少由以下几个模块构成： 数据格式识别、分析模块：负责对待扫描对象的格式进行识别和分析，为扫描核心提供足够的格式相关信息； 反病毒特征库：本地特征库、云特征库； 扫描核心：负责整个终端威胁检测防御系统的扫描逻辑，不同的扫描技术也由扫描核心来调度； 终端威胁检测防御系统的扫描技术 特征扫描 全文哈希； 分段哈希； 局部敏感哈希； 关键数据 通过提取恶意代码中关键代码或数据片段来标识此类恶意代码； 关键数据特征描述和方法多种多样，但至少会包含两类信息，即定位方法和匹配方法。例如，在文件偏移0x100至0x200之间，查找序列AABBCCDDEEFF； 启发式扫描 静态启发式扫描：通过提取待扫描对象的静态信息，通过启发式算法评估其恶意性； 动态启发式扫描：通过提取待扫描对象的动态信息（例如：在沙盒中产生的行为），通过启发式算法评估其恶意性； 动态行为分析 在终端威胁检测防御系统扫描时，通过在沙盒中动态执行待扫描对象，并捕捉其动态行为，并通过行为模式或启发式算法来评估其恶意性； 基于大数据的统计分类 支持向量机（SVM）、决策树、神经网络。 终端威胁检测防御系统的解码（Decomposition）技术 当在当前待扫描对象中没有扫描到恶意代码时，扫描核心需要对该对象进行分析，并进行子对象拆分，以便对拆分后的子对象进一步进行扫描。通常，解码技术包括，解压缩；解安装包；解复合文档；其他数据解码；可执行文件脱壳。 天融信终端威胁检测防御系统架构 天融信终端威胁检测防御系统组件 总体来说，天融信终端威胁检测防御系统采用单内核（Monolithic Kernel）设计，并采用比较常规的模块划分方式，主要包括： 天融信反病毒特征库：与其他主流终端威胁检测防御系统并无二致，天融信终端威胁检测防御系统是一款特征