Daha önceki blog postlarda AntiVirus motoru olarak neden VIPRE’yi seçtiğimizden sık sık bahsedeceğimizden söz etmiştik. Bu yazı dizisinin ilkini yayınlıyoruz.Klasik(imza veri tabanına göre koruma yapan)güvenlik programları,hızla gelişmekte olan gelişmiş malware uygulamalarını durdurmakta yetersiz kalmaktadır.Sebebi ise,günümüz zararlıların yüksek obfuscation teknikleri kullanmalarıdır.
Bu tekniklerden akla ilk geleni Packer kullanımıdır. Bu teknik, antiviruslerin bir dosyayı analiz edebilmek için özelleştirilmiş çözme işlemleri (Static Unpackers) üretmesini gerektirmektedir.Bu durum antivirus üreticilerinin devamlı özelleştirilmiş unpackerları Virus Engine’lerinin içerisine eklemek yoluyla zaman kaybetmelerine neden olmaktadır.
Antivirus firmaları, yeni obfuscation tekniklerini bertaraf edebilecek imzaları yeterince hızlı üretemedikleri için, geçen süre içerisinde kullanıcılar yeni tehditlere karşı tamamen korunmasız kalmaktadır.
Bizim kullandığımız antivirüs motoru VIPRE, malware leri saptamak için arka planda birbirinden farklı bazı teknikler uygulamaktadır. Bu teknikler,klasik imza tespiti, heuristic ve en önemlisi de virtualized environment'tir.
Virtualized Environment (sanallaştırılmış windows ortamı), olası zararlı uygulamaları kendi üzerinde çalıştırarak test ediyor, bu sayede obfuscation edilen kod çalıştığında normal haline geliyor ve static imza karşılaştırılması yapılabiliyor. VIPRE ve sadece 2 AV tarafından desteklenen bu teknoloji sayesinde static unpacker’lar kullanılmıyor ve zararlı, bilinmeyen bir obfuscation tekniği ile tanınmaz yapılmış olsa bile yakalanıyor. Ancak bu tekniğin dezavantajı, her zararlı bir nevi kontrol altındaki sanal makinada çalıştırıldığı icin performans kaybı oluşturmaktadır. Sunbelt Software bu konuda yaptığı ar-ge ler sayesinde bu performans kaybının önüne geçen ve bu alanda dünyada ilk kez kullanılan MX-V’i teknolojisini kullanmaya başladı ve bunu basına duyurdu.
MX-V teknolojisi, VIPRE’de kurulu emülasyonun, dinamik çeviri (ikili çevirinin farklı bir formu) adıyla bilinen bir metodu kullanan uzantısıdır. Bu sayede klasik CPU emülasyonun 10 MIPS olan performans bariyerini rahatlıkla kırabilmektedir.
Dinamik çeviri, performansı 400 MIPS e kadar çıkarabilmek için programın geniş parçalarını anında tekrar derleyebilen bir teknolojidir. Vipre'nin gömülü emülasyonunda kullanılan da dinamik çeviridir. MX-V katmanı da ona malware yapısını hızla analiz edebilmesi için yeterli olan bir ilavedir .
Bizim ürettiğimiz imzalarda, MX-V kullanan VIPRE motoru üzerinde çok hızlı bir şekilde taranacaktır.
