Tech时间 | 病毒，壳和火绒虚拟沙盒

为了躲避查杀，计算机病毒会通过某些手段伪装自己。

用自然界生物举个例子：如果寄居蟹躲进一只海螺壳中，仅从表面的“壳”看很难判断它到底是海螺还是寄居蟹。

躲在“壳”里的病毒

在病毒与安全软件的代码对抗过程中，“壳”一直扮演着重要的角色。“壳”本身无关好坏，软件会使用“加壳”（软件加密）技术来保护自身版权。

但计算机病毒会像寄居蟹一样，躲在这些壳里——病毒特征（代码和数据）被改变（压缩、加密等），伪装成正常程序，试图躲过反病毒引擎的查杀。

后来出现专门对抗安全软件的“壳”，安全圈称之为“病毒混淆器” 。

病毒制造者在“壳”的帮助下，可以在短时间内、批量生成数以万计的变形（加壳）病毒样本，并迅速传播。  

这使得传统反病毒引擎“认壳”才能“脱壳”的机制变得很低效。面对这种情况，火绒反病毒团队决定通过“火绒虚拟沙盒”技术，让病毒“不攻自破”。

火绒虚拟沙盒：

高度还原操作系统环境，让病毒不攻自破

“形兵之极，至于无形。无形，则深间不能窥，智者不能谋。”（《孙子兵法》虚实篇）

火绒虚拟沙盒针对性地模拟了真实的操作系统环境，用“有形”的设计，达到“无形”的感知——让置身于虚拟沙盒的病毒毫无察觉异样，主动卸下“壳”并执行恶意行为，此时，病毒核心特征（代码、数据、行为）便暴露无遗，即可对其精准查杀。

实际操作中，当未知文件通过用户下载软件、解压缩文件、接收邮件、插入U盘等渠道进入电脑时，都将会运用到火绒“虚拟沙盒”进行判定，保障用户的安全。

过程看似复杂，但用户却无需等待过长时间。因为火绒虚拟沙盒使用了独有的自研技术，可以在有限时间内还原尽可能多的病毒核心特征，高效地查杀潜在病毒威胁。 

此外，火绒虚拟沙盒还会跟踪和记录这些病毒行为，为火绒工程师减少特征库中的冗余数据做支持，即一条记录可查杀更多样本，从而降低了资源占用。

因此，火绒虚拟沙盒这一技术使得火绒反病毒引擎在做到“精准查杀”、“全面防御”同时，又保证了用户良好的使用感受。 

2022年底，火绒虚拟沙盒正式支持64位虚拟环境，提高了火绒安全产品对日益增长的64位病毒的检出能力。以64位虚拟沙盒环境为例进行演示：

https://www.bilibili.com/video/BV1td4y1b7Ls

（视频内容仅用于展示火绒”虚拟沙盒”中的执行效果，火绒引擎在扫描样本过程中会自动完成虚拟执行流程并完成病毒监测。）

目前，火绒虚拟沙盒技术已支持Windows x86/x64、Linux x86/x64、Mac OS X x86/x64操作系统平台，且深度适配统信、鲲鹏、深度、神州网信、中科方德、中科红旗、中标麒麟等一众国产操作系统。

在终端攻击日益精进、网络病毒变化无常的互联网环境下，火绒安全坚持“以不变应万变”，通过打磨虚拟沙盒等自主研发技术，牢抓病毒威胁本质，不断筑起稳固的终端防护高墙。

更多阅读：

火绒虚拟沙盒白皮书

https://down5.huorong.cn/doc/technology/sandbox.pdf?version=2.7.1

火绒反病毒引擎白皮书

https://down5.huorong.cn/doc/technology/cobra.pdf?version=2.7.1