火眼

金山網路 火眼

由金山網路出品的在線病毒檢測網站，類似於的Comodo在線沙箱，可以精準的分析出惡意程序的行為。

啟髮式的識別惡意程序的危險行為 基於完善的日誌記錄，啟髮式行為識別能提供更為清晰的危險行為報告，即使後台運行的隱匿行為也無處藏身。

系統中文件的增加、刪除、修改精確記錄而已程序運行造成的文件系統的變化，包括惡意程序釋放文件、修改系統文件、刪除文件等等，讓隱藏文件無處藏身。

註冊表關鍵位置的變動記錄惡意程序的註冊表操作（例如，比較常見的創建啟動項、修改註冊表鍵值、破壞安全模式等等），讓惡意程序的註冊表操作一目了然。

控制惡意程序的網路活動（發送數據、下載等）清晰展現盜號、後門、下載者等惡意程序的網路活動，並對這些網路活動進行協議解析、數據揭秘等。

惡意程序運行后的進程活動精確識別惡意程序的進程創建活動。

1.傳說

孫大聖在太上老君的八卦爐里煉了七七四十九天，煉就了火眼金睛。但凡妖魔鬼怪被大聖的火眼一照，便立刻顯露原形。

某年月日，安全實驗室幾個技術宅被老闆關進八卦爐煉也不知過了幾個七七四十九天，待到技術宅們開光顯身之際，他們也煉成了一雙“火眼”。

2.“火眼”是什麼？

簡單說，“火眼”就是一套自動化的病毒樣本動態行為分析系統，可對未知文件的行為給出詳細的分析報告。

這一點來講，火眼和靜態文件鑒定是兩回事，這是火眼和雲鑒定的本質區別。

將火眼系統與醫學檢驗設備類比可以很容易理解：

以前生病去醫院做檢查，檢驗師須配製分析試劑處理血樣，在顯微鏡下仔細判讀細胞的形態、數量、評估生理特性。效率很低，且受經驗影響很大，同一份血樣由不同的醫師判讀，可能相差甚遠。

現在簡單了，檢驗師直接將採集的樣品放到一個自動分析儀中，幾秒鐘即可列印出化驗單。醫師看了化驗單就大致了解病情，而一個比較了解醫學知識的人，對著化驗單，也能看個八九不離十。

“火眼”就是這樣一套自動化的病毒樣本分析系統，安全愛好者將自己採集到的可疑樣本提交到系統中，等幾分鐘，系統就會給這個病毒樣本列印出一份“化驗單”。不太專業的安全愛好者對照這份“化驗單”也能猜個八九不離十。

毫無疑問，和醫學科研一樣，計算機病毒自動分析儀產生的最初動機，就是提升病毒分析的效率，用系統去模擬一個專業病毒分析師對可疑文件進行專業分析。

在沒有“火眼”之前，安全軟體發燒友一般用下面三種方法來分析鑒定文件是不是病毒：

1.殺毒軟體掃描

用殺毒軟體對目標文件執行掃描是最常見的作法，一個殺毒軟體可能不準，就用多個殺毒軟體，常見有網民在一台電腦使用2，3個殺毒軟體檢查。或者將樣本提交到VirSCAN掃描，若有多個殺毒軟體報毒，就判斷這個文件是病毒。到底這個文件是不是病毒呢？實際上掃描之後仍然是吃不準的。因為不清楚這個可疑文件到底有哪些具體的惡意行為。

2.專業分析

通過解殼、解密，反彙編，或者使用IDA、OllySafe這樣的專業工具對可疑樣本進行分析。這隻有具備相應專業技能的軟體工程師才能做到。

3.簡單行為分析

很多人不具備逆向分析的能力，會使用一些簡單的工具完成病毒行為分析和指導手工清除。可採用的工具有：Sreng、AutoRuns、Xuetr等等。比如前幾年就流行使用Sreng，發現問題就掃描一個日誌，再交給更專業的人分析日誌，然後再做一個手動恢復的建議。

也有使用Sandboxie運行可疑文件，觀察具體行為，或先用installwatch記錄文件運行前後的系統配置鏡像變化，用Regshot這樣的軟體比較都有哪些註冊表條目被修改，然後判斷這個可疑文件是不是有害的，或者花更多時間使用虛擬機來更清晰的觀察程序運行之後的結果。

以上這些方法雖相對精確，但明顯存在以下問題需要克服：

1.疲勞

分析員使用IDA、OllySafe靜態分析病毒代碼，就如同常人閱讀一本書，需要從頭看到尾，才能大致了解這本書的意圖。而分析員可能需要一天到晚看病毒代碼，頭暈眼花看走眼極有可能出現分析結論出錯或者分析不全面。

2.效率

一個分析員處理一般的病毒，一個工作日不過三、五十個，如果需要詳細的出具一份病毒分析報告，則需要大量時間。在遇到難纏的病毒時，還可能需要幾天時間。普通網友用虛擬機等工具觀察一個可疑文件需要花更長的時間。

3.門檻較高

不是隨便拉個人過來就能做病毒分析，病毒分析師的門檻較高。一般安全愛好者同樣需要對系統有相當的了解。

4.簡單分析無法完整展現可疑文件的具體行為

對職業病毒分析員也一樣，有人擅長分析蠕蟲，可能更了解網路方面的病毒指令，而對其他部分可能會忽略，完整而詳盡的病毒分析相當耗時間。