99秒云鑒定撕碎病毒的偽裝

現(xiàn)在大部分殺毒軟件都自帶了下載后自動查殺病毒的功能，可是即使殺毒軟件沒有報(bào)警，也不一定就是百分之百的安全，因?yàn)橛行┍I號木馬的新變種會通過各種免殺技術(shù)繞過殺毒軟件的追捕，等殺毒軟件可以識別這些病毒后自己的賬號早已飛入他人的囊中了。所以最新版本的金山毒霸中就增加了一個“云鑒定”的功能，當(dāng)發(fā)現(xiàn)某個文件在試圖更改系統(tǒng)設(shè)定，自己不能確定是運(yùn)行程序的正常步驟還是文件被捆綁上了病毒木馬，而且殺毒軟件反復(fù)查殺都不能看出端倪的話，可以讓服務(wù)器來鑒定一下它的安全性。

鑒定方法

雙擊金山毒霸的托盤圖標(biāo)，在彈出的主界面中依次點(diǎn)擊“安全百寶箱/云鑒定器”。這時軟件會彈出云鑒定器的操作界面，點(diǎn)擊窗口中的“我要鑒定”按鈕，在彈出的窗口選擇要進(jìn)行鑒定的文件（如圖1）。接下來云鑒定器首先會通過金山云安全系統(tǒng)，對這個文件的安全性進(jìn)行判斷，如果云端服務(wù)器已經(jīng)存在這個文件的資料，那么就會馬上給出該文件的鑒定結(jié)果（如圖2）。

云鑒定的結(jié)果絕大多數(shù)都是瞬間完成的，但如果云端服務(wù)器沒有立即給出這個文件的鑒定結(jié)果，也并不能說明該文件是絕對安全的，云鑒定會認(rèn)為這是一個“安全性未知”的文件。這樣云鑒定器就會自動將這個文件上傳到云端服務(wù)器。上傳完成后就可以看到軟件99秒的倒計(jì)時。而在這段99秒的時間里，云端服務(wù)器會通過自身的分析鑒定技術(shù)對這個文件進(jìn)行安全屬性的判斷（如圖3），一旦云端服務(wù)器判斷這個文件為病毒，就會馬上在云鑒定器的界面給出“病毒”的提示，并提示用戶刪除。

雖然“云鑒定”號稱99秒搞定文件的安全性，不過當(dāng)程序在99秒內(nèi)也無法判定文件是否安全時，云鑒定器就會將文件自動轉(zhuǎn)入人工分析的步驟。傳給金山公司的工程師，對文件代碼進(jìn)行分析，很快就可以給出準(zhǔn)確的判斷結(jié)果，并通過在系統(tǒng)右下角彈窗的方式反饋給用戶。通過人工鑒定的相關(guān)文件，會在鑒定結(jié)果后顯示一個綠色的頭像。如果上傳的文件的確是病毒文件自動對這個病毒文件進(jìn)行刪除操作。

體驗(yàn)感受

經(jīng)過筆者實(shí)際測試后，發(fā)現(xiàn)即使99秒的云鑒定不能識別文件的安全性，通過人工分析消耗的時間大約也只有5-10分鐘時間，即使筆者對測試用的木馬程序選用了脫殼等網(wǎng)上流行的免查殺手段，也依舊沒有逃脫人工分析的法眼。

另外，云鑒定的出現(xiàn)也可以讓大家在下載了某個不知是否安全的程序后第一時間判斷其是否存在木馬病毒，而不是去手動檢查自己殺毒軟件的病毒數(shù)據(jù)庫是否更新（特別是以前金山衛(wèi)士頻繁的更新速度總會給筆者一種漏掉病毒數(shù)據(jù)的感覺）。

不過這項(xiàng)新技術(shù)還是有兩點(diǎn)不足：目前云鑒定每次只能對單一的文件進(jìn)行檢查，而沒辦法對整個系統(tǒng)進(jìn)行掃描；而且和其他云技術(shù)一樣，一旦病毒切斷了用戶的網(wǎng)絡(luò)或在系統(tǒng)中屏蔽了金山服務(wù)器的地址，云鑒定就完全失去作用了。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文