https://fireeye.ijinshan.com/

1.傳說
孫大圣在太上老君的八卦爐里煉了七七四十九天，煉就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照，便立刻顯露原形。
某年月日，安全實驗室幾個技術宅被老板關進八卦爐煉也不知過了幾個七七四十九天，待到技術宅們開光顯身之際，他們也煉成了一雙“火眼”。
具體有沒有煉夠七七四十九天，有興趣的同學可以問下壇子里那個叫"高壓氣瓶"的家伙。

2.“火眼”是什么
簡單說，“火眼”就是一套自動化的病毒樣本動態行為分析系統，可對未知文件的行為給出詳細的分析報告。?
這一點來講，火眼和靜態文件鑒定是兩回事，這也是火眼和云鑒定的本質區別。

將火眼系統與醫學檢驗設備類比可以很容易理解：
以前生病去醫院做檢查，檢驗師須配制分析試劑處理血樣，在顯微鏡下仔細判讀細胞的形態、數量、評估生理特性。效率很低，且受經驗影響很大，同一份血樣由不同的醫師判讀，可能相差甚遠。
現在簡單了，檢驗師直接將采集的樣品放到一個自動分析儀中，幾秒鐘即可打印出化驗單。醫師看了化驗單就大致了解病情，而一個比較了解醫學知識的人，對著化驗單，也能看個八九不離十。
“火眼”就是這樣一套自動化的病毒樣本分析系統，安全愛好者將自己采集到的可疑樣本提交到系統中，等幾分鐘，系統就會給這個病毒樣本打印出一份“化驗單”。不太專業的安全愛好者對照這份“化驗單”也能猜個八九不離十。


三.設計火眼的動機
毫無疑問，和醫學科研一樣，計算機病毒自動分析儀產生的最初動機，就是提升病毒分析的效率，用系統去模擬一個專業病毒分析師對可疑文件進行專業分析。
在沒有“火眼”之前，安全軟件發燒友一般用下面三種方法來分析鑒定文件是不是病毒：（壇子里喜歡折騰病毒的諸位，你們是這樣折騰的嗎？）

1.殺毒軟件掃描
用殺毒軟件對目標文件執行掃描是最常見的作法，一個殺毒軟件可能不準，就用多個殺毒軟件，常見有網民在一臺電腦使用2，3個殺毒軟件檢查?；蛘邔颖咎峤坏絍irSCAN.org掃描，若有多個殺毒軟件報毒，就判斷這個文件是病毒。到底這個文件是不是病毒呢？實際上掃描之后仍然是吃不準的。因為不清楚這個可疑文件到底有哪些具體的惡意行為。

2.專業分析
通過解殼、解密，反匯編，或者使用IDA、OllySafe這樣的專業工具對可疑樣本進行分析。這只有具備相應專業技能的軟件工程師才能做到。

3.簡單行為分析
很多人不具備逆向分析的能力，會使用一些簡單的工具完成病毒行為分析和指導手工清除?？刹捎玫墓ぞ哂?#xff1a;Sreng、AutoRuns、Xurte等等。比如前幾年就流行使用Sreng，發現問題就掃描一個日志，再交給更專業的人分析日志，然后再做一個手動恢復的建議。

也有使用Sandboxie運行可疑文件，觀察具體行為，或先用installwatch記錄文件運行前后的系統配置鏡像變化，用Regshot這樣的軟件比較都有哪些注冊表條目被修改，然后判斷這個可疑文件是不是有害的，或者花更多時間使用虛擬機來更清晰的觀察程序運行之后的結果。

以上這些方法雖相對精確，但明顯存在以下這些問題需要克服：
1.疲勞
分析員使用IDA、OllySafe靜態分析病毒代碼，就如同常人閱讀一本書，需要從頭看到尾，才能大致了解這本書的意圖。而分析員可能需要一天到晚看病毒代碼，頭暈眼花看走眼極有可能出現分析結論出錯或者分析不全面。

2.效率
一個分析員處理一般的病毒，一個工作日不過三、五十個，如果需要詳細的出具一份病毒分析報告，則需要大量時間。在遇到難纏的病毒時，還可能需要幾天時間。普通網友用虛擬機等工具觀察一個可疑文件需要花更長的時間。

3.門檻較高
不是隨便拉個人過來就能做病毒分析，病毒分析師的門檻較高。一般安全愛好者同樣需要對系統有相當的了解。

4.簡單分析無法完整展現可疑文件的具體行為
對職業病毒分析員也一樣，有人擅長分析蠕蟲，可能更了解網絡方面的病毒指令，而對其他部分可能會忽略，完整而詳盡的病毒分析相當耗時間。


四.常見問題回答
1.“火眼”與云安全鑒定的區別
云安全系統平臺采用了30核云端鑒定器，這些鑒定器多是基于對文件的靜態分析，部分啟發式分析、虛擬化鑒定工具的目的是更快速的識別惡意文件，而不是更清晰的分析文件。
火眼則實現了對可疑樣本的詳細分析，“火眼”系統的上線后，逐步成熟，再接入云安全系統平臺，會對毒霸服務端技術的進步以有力的推動。

2.“火眼”與沙箱的區別
關于沙箱（Sandbox），更多的應用是運行正常程序之后，恢復系統為初始狀態，而非運行惡意程序。到目前為止，各種沙箱均存在被穿過的可能。沙箱的主要應用案例有瀏覽器、iOS操作系統，以隔離程序間的會話，在某一程序（或網頁）崩潰時其他應用不受影響。
“沙箱”也是不少技術達人喜歡使用的病毒分析工具，但在注冊表鏡像的比較方面，“沙箱”略差一些，“沙箱”的運行是動態展現的，最終獲得一個靜態的報告，還需要應用者篩選和整理。
而“火眼”生成的報告是系統整理完畢的結果，就象醫院出具的檢驗科報告單一樣清晰可讀。

總結

以上是生活随笔為你收集整理的金山火眼的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。