火绒反病毒引擎“虚拟沙盒”再进阶 支持64位虚拟环境

据火绒威胁情报系统监测，近几年64位病毒样本数量大有上涨趋势，从2018年至今，64位病毒样本数量已增长了1445%，且今年速度明显加快，如臭名昭著的Emotet病毒、IcedID病毒、Dridexs病毒均出现大量64位新变种。火绒安全实验室预测，未来64位病毒数量还会以较快速度逐年递增。

2018年-2022年Q3的64位病毒样本量增长趋势

由于Win32病毒样本与安全软件对抗的复杂度逐渐增高，以及近年来64位操作系统市场占有率的扩大增长，致使病毒作者开始逐步尝试转向开发基于Win64的恶意代码及病毒混淆器，从而对抗安全厂商的查杀。

穿上“马甲”照样认识你

“马甲”即病毒混淆器。在病毒与安全软件的对抗过程中，病毒混淆器一直扮演着极为重要的角色。病毒会套上一层甚至多层“马甲”，伪装成正常程序，隐匿自己的真实目的，误导安全软件的判定，达成其不正当目的。

“抓住事物本质及其规律，才能事半功倍”——火绒安全深谙核心的反病毒技术之道。火绒反病毒引擎拥有识破“马甲”的能力，即便“马甲”形态变化多端，依然能够透过层层表象，剖析恶意代码本质，还原病毒核心特征，进而更好地识别并查杀同一病毒家族的不同变种或未知变种。

火绒反病毒引擎的这种能力，则得益于独有的高仿真度“虚拟沙盒”环境。

仿真生态与“寄居蟹”

对于“虚拟沙盒”，可以理解为一套仿真的生态环境，病毒就像寄居蟹一样藏在不同的病毒混淆器中。为了让寄居蟹放松警惕，行动起来，仿真生态要足够还原寄居蟹真实生存环境。即让病毒以为身处真实目标环境，并开始执行核心恶意代码，因此暴露最本质的病毒特征。

火绒虚拟沙盒设计了完备的32位操作系统环境仿真，模拟了超过23000个Windows API，涵盖了绝大多数操作系统的核心机制，包括但不限于：文件系统、注册表系统、窗口系统等，几乎“一比一”复刻了系统环境。因此，病毒能够“放心”运行，进而被火绒引擎识别，及时查杀，并精准判定病毒类型及家族名称。

火绒安全产品得益于引擎对病毒准确的识别能力，可以帮助企业网络管理员对问题精准定性，及时确认安全风险敞口，进而采取应对措施；同时会针对感染型病毒中被植入的恶意代码做到准确剥离，还原用户原始文件。

积跬步 至千里

早在几年前，火绒团队就已经在虚拟沙盒中探索构建64位操作系统，从指令的虚拟执行到API、文件系统、注册表等系统要素仿真搭建，再到对64位病毒检出查杀的反复验证，火绒安全于近日正式宣布进阶了核心技术能力——火绒反病毒引擎“虚拟沙盒”支持64位虚拟环境，整体环境安全、可控。

支持64位虚拟环境后，火绒引擎通过对64位样本的扫描可以获取到病毒核心特征，从而提高火绒安全产品对未知病毒的检出能力，防御未知威胁。火绒安全从未停止过对核心能力的技术投入，火绒引擎“虚拟沙盒”环境的仿真和推演，更是综合时间、人力、技术、实践经验不断积累磨合、持续升级的结果。

因此火绒安全不仅是防病毒软件提供商，也是重要的反病毒引擎提供商。火绒将独具优势的本地反病毒引擎，赋能给国内众多一线安全厂商，共同应对网络安全事件，防范网络攻击。

火绒安全将紧跟网络威胁变化，增强核心技术建设，聆听用户需求建议，提升产品能力，提高用户体验，聚焦反病毒研究，在国内终端安全领域不断做精、做强。