丁香毛片网

瑞星AI收集要挟检测引擎

瑞星反病毒焦点功效、自立常识产权、全行业高性价比

三大焦点引擎

➢ 睿擎(Smart Engine)——本地引擎

“睿擎”是一款由纯C++编写的歹意软件检测引擎。它具有杰出的平台兼容性、丰硕的文件格局撑持才能和壮大的歹意软件检测才能。

首要的辨认手艺

  • 智能特色码手艺
  • 敏感点指纹手艺
  • 骨干指纹手艺
  • 野生智能手艺

平台兼容性

在多种CPU体系下和多种操纵体系上供给了完整分歧的检测才能。

撑持的文件格局

撑持紧缩包、装置包、电子邮件、文档等多种文件格局。

➢ 云脑(Cloud Brain)——云端引擎

“云脑”是一个在线的歹意软件检测办事,经由进程HTTPS体例停止拜候获得办事。“云脑”不间接接管文件,而是接管颠末其配套的本地组件提取的文件择要,收集数据交互量极小。

今朝,“云脑”包罗了三个条理的检测手艺:

哈希及恍惚哈希检测

用于检测已知(或颠末轻细变型)的歹意软件。

敏感点指纹手艺

用于检测已知和未知的歹意软件。

野生智能手艺

用于预判未知的歹意软件。

➢ 鱼雷(Torpedo)——收集流引擎

“鱼雷”是一款玲珑的面向收集流的歹意软件检测引擎,具有内存占用小、速率快的特色,是收集侧供给根本的歹意软件检测才能的绝佳计划。


局部协作案例

国资委

国度动力局

环保部

公检法体系

广电体系

质检总局

国税体系

中国挪动

国度电网

国度开辟银行

北京电视台

澳洲联邦银行


天资认证

瑞星AI收集要挟检测引擎协作情势

瑞星AI收集要挟检测引擎软件可用于泛博宁静厂商、终端宁静厂商、防火墙、网闸等网关级硬件厂商、OA体系、邮件体系及手机宁静厂商的各种软硬件产物中,供给专业的反病毒功效。

若有协作动向的产物代办署理商或产物协作商,可填写协作表单。

瑞星AI收集要挟检测引擎SDK

瑞星AI收集要挟检测引擎


说话绑定

今朝已适配的说话:

  • C/C++
  • JAVA
  • Python(CPytohn)
  • dotNet
  • Nodejs
  • go
  • php

C/C++

EXTERN_C void*  lame_open_vdb(const char* vlibf);
EXTERN_C void   lame_close_vdb(void* vdb);

EXTERN_C void*  lame_create(void* vdb);
EXTERN_C void   lame_destroy(void* lame);
EXTERN_C void*  lame_fork(void* lame);

EXTERN_C long   lame_param_set(void* lame , const char*  param);
EXTERN_C long   lame_init(void* lame);
EXTERN_C long   lame_scan_file(void* lame , const char* fname , lame_scan_result* pResult);
EXTERN_C long   lame_scan_mem(void* lame , uint8_t* data , uint32_t size , lame_scan_result* pResult);


EXTERN_C long   lame_scan_file_with_callback(void* lame , const char* fname , lame_callback cb , void* user_data);
EXTERN_C long   lame_scan_mem_with_callback(void* lame , uint8_t* data , uint32_t size , lame_callback cb , void* user_data);

EXTERN_C long   lame_get_version(lame_info* info);
EXTERN_C long   lame_get_licence_info(rx_licence_info* info);

JAVA

public interface ScanFeedback {
	public abstract long DtEnterFile(String file_name, long depth, Object usr_data);
	public abstract void DtLeaveFile(String file_name, long depth, Object usr_data, long l);
	public abstract long DtAlarm(String file_name, ScanResult sr, Object usr_data);
}

public class Lame extends RavEngine {
	public long OpenVdb(String vdbf);
	public void CloseVdb();
	public boolean Load(long lib);
	public boolean Set(String param);
	public void Unload();
	public LicenceInfo GetLicence();
	public LameInfo GetVersion();
	public ScanResult ScanFile(String fname);
	public ScanResult ScanMem(byte [] data);
	public boolean ScanFileWithCallback(String fname,ScanFeedback cb, Object usrdata);
	public boolean ScanMemWithCallback(byte [] data,ScanFeedback cb, Object usrdata);
}

Python

class LameBase:
	def SetParam(self, param)
	def SetParameter(self, param)
	def Load(self, vdb_object)
	def GetVersion(self)
	def GetLicense(self)
	def Unload(self)

class Lame(LameBase):
	def ScanFile(self,fname)
	def ScanMem(self, data)
	def Clone(self)

class LameWithFeedback(LameBase):
	def SetCallack(self, enter_file, leave_file, alram)
	def ScanFile(self, fname)
	def ScanMem(self, data)
	def Clone(self)

dotNet

public class Lame : LameBase
{
	public LameScanResult ScanFile(string sFile);
	public LameScanResult ScanMem(byte[] bytes);
	public object Clone();
}

public delegate void ScanInternalFileEvent(string fname, LameScanResult result);

public class LameWithEvent : LameBase {
	public void ScanFile(string sFile);
	public void ScanMem(byte[] bytes);
	private void ScanInternalFile(string fname, IntPtr resp, IntPtr zero);
	public object Clone();
	private LameScanResult FetchResult(IntPtr resp);
}

public class VirusLib
{
	public bool lame_open_vdb(string vdbf);
	public void lame_close_vdb();
	public IntPtr vdb_handle;
}

Nodejs

lame.prototype.GetVersionInfo();
lame.prototype.GetLicenceInfo();

lame.prototype.OpenVdb(vlib);
lame.prototype.CloseVdb();

lame.prototype.ExtractFile(filename, password, enter_file, leave_file, userdata);
lame.prototype.Extract_GetSize(handle);
lame.prototype.Extract_Seek(handle, offset, method);
lame.prototype.Extract_Tell(handle);
lame.prototype.Extract_Read(handle, size);

lame.prototype.Load();
lame.prototype.SetParameters(param);
lame.prototype.Unload();
lame.prototype.ScanFile(path);
lame.prototype.ScanMem(data, size);
lame.prototype.ScanFileWithCallback(path, enter_file, leave_file, alarm, userdata);
lame.prototype.ScanMemWithCallback(data, size, enter_file, leave_file, alarm, userdata);

go

func (this *Lame) OpenVdb(vlib string) uintptr
func (this *Lame) CloseVdb()
func (this *Lame) Create(vdb uintptr) uintptr
func (this *Lame) Destory()
func (this *Lame) Init() bool
func (this *Lame) SetParam(param string) bool
func (this *Lame) ScanFile(path string) *DetectResult
func (this *Lame) ScanMem(data [] byte, size int) *DetectResult
func (this *Lame) ScanFileWithCallback(path string, cb ScanCallBack, userdata interface{}) bool
func (this *Lame) ScanMemWithCallback(data [] byte, size int, cb ScanCallBack, userdata interface{}) bool
func (this *Lame) GetVersion() *LameVersion
func (this *Lame) GetLicenceInfo() *LicenceInfo
func (this *Lame) ExtractFile(filename string, password string, cb ExtractCallBack, userdata interface{}) bool
func (this *Lame) Extract_GetSize(handle uintptr) int
func (this *Lame) Extract_Seek(handle uintptr, offset int, method int32) bool
func (this *Lame) Extract_Tell(handle uintptr) int32
func (this *Lame) Extract_Read(handle uintptr, buf [] byte, size uint32) uint32

php

class Lame
{
	function open_vdb($vlib_path = "");
	function create();
	function release(&$handle);
	function close_vdb(&$vdb);
	function set_parameter($param);
	function load();
	function unload();
	function scan($filename);
	function scan_with_callback($filename, $enter_file, $leave_file, $alarm, &$user_data);
	function scan_memory($contents);
	function scan_memory_with_callback($contents, $enter_file, $leave_file, $alarm, &$user_data);
	function extract_file($filename, $enter_file, $leave_file, &$user_data);
	function extract_get_size($handle);
	function extract_seek($handle, $offset, $method);
	function extract_tell($handle);
	function extract_read($handle, $size);
	function get_version();
	function get_licence_info();
}

引擎上风

丰硕周全的平台撑持

纯C++完成,无任何内联汇编,几近可在Windows及一切合适Posix规范操纵体系和CPU上编译运转。已不变利用于:

  • Windows + x86/x64
  • Linux + x86/x64
  • Linux + MIPS 32/64 + 巨细字节序
  • Linux + ARM 32/64
  • Unix + PowerPC
  • 国产操纵体系(Linux家属) + 国产CPU(x86/MIPS)

微弱的文件深度阐发/提取/解码才能

撑持多种紧缩包、自解压包、合适文档、媒体文件、加密剧本等。

撑持的紧缩包(自解压包)

7z ace arc arj bz2
cab cabset gz/gzip lha paquet
rar rar5 sea tar xz
zip apk jar zipx zoo
OLE

撑持的装置包:

  • Instyler
  • NSIS
  • Inno(all version)
  • SFactory
  • SmartInstaller
  • Wise Installer
  • SIS,塞班(Symbian)体系软件装置包
  • deb,Debian系Linux的软件装置包

撑持的电子邮件和邮箱文件

  • EML/MSG, 基于文本的电子邮件存档
  • MSO, 基于微软复合文档的电子邮件存档
  • FixMail Mailbox(低版本)
  • Outlook 4/5 Mailbox
  • Outlook 2003+ (.pst)
  • Netscape

撑持的文档/多媒体文件

提取文档中嵌入的别的资本,如:宏、剧本、可履行法式等

  • Open Office XML .xml,.odp,*.odt,*ods
  • Microsoft Office Binary(v2003-), *.doc, *.xls, *.ppt, ...
  • Microsoft Office XML(v2003+), .docx ,.docm, .xlsx,.xlsm,*.xlsb .pptx,.pptm, ...
  • Adobe PDF, 包罗 .pdf 和 基于XML的 .xdp
  • Flash SWF, 撑持 defalte 和 lzma 两种紧缩算法(提取SWF中嵌入的PE文件)
  • CHM,Windows赞助文件
  • RTF

撑持的磁盘/镜像/文件体系

提取磁盘内的分区 和 分区内 寄存的文件。

  • 假造化磁盘
    • VMDK(vmware)
    • VHD(microsoft)
    • QCOW(kvm/quemu) 今朝均未撑持快照
  • MBR/GPT分区表的磁盘镜像
  • NTFS文件体系
  • DMG,MacOS下的磁盘镜像文件
  • CramFS,特地针对闪存设想的只读紧缩的文件体系
  • CPIO,由linux cpio号令建立的归档文件
  • ISO

撑持的剧本宣布包:

  • AutoIt
  • QuickBatch
  • Gentee
  • 易说话(老版本)

撑持的其余文件范例:

  • VBE/JSE:微软的加密VBS剧本
  • HTML Data URI
  • UUE
  • FAS, AutoCAD剧本疾速加载文件
  • Windows PE,提取资本中的文件

丰硕的脱壳才能

  • 针对Windows PE文件: acprotect, armadillo, aspack, aspr, bitarts, crypt, dbpe, enigma, execrypt, exeshield, expressor, orien, packman, pcguard, pearmor, pec2, pespin, petite, pex, pklite, rlpack, svkp, upx, yoda, molebox, ahpack, cexe, depack, exe32pack, exefog, ezip, FSG, himeys, krypton, mew, nakepack, npack, nprotect, nspack, NTkrnl, obsidium, pcshrinker, pecrypt, pep, pedinisher, pelocknt, pestil, polycrypt, punisher, sdprotect, slvcodeprotector, themida, vprotect, yzpack, pe-ninja
  • 针对Linux ELF文件: upx (all targets,尝试性子)

周全的摹拟履行才能(反病毒假造机)

  • MS-DOS + BIOS + 8086 摹拟器
    该摹拟器用于假造履行 MBR,DOS-COM,DOS-EXE等陈旧的法式。

  • x86平台32/64位夹杂式Windows摹拟器
    该摹拟器用于应答古代歹意软件,撑持32位和64位法式。同时还撑持以32位体例履行64位法式,或以64位体例履行32位法式,来应答一些极度情况。

  • JavaScript沙盒
    用于假造履行JScript/JavaScript。

丰硕多样、针对性强的歹意软件辨认手艺

  • 简略特色码婚配手艺
    接纳逻辑地位 + 偏移 + 特色串的体例辨认病毒。
  • 词法阐发手艺
    针对VBS/JS/PHP/JAVA/C等文本文件停止词法阐发后,在语义层面临歹意剧本停止辨认。
  • 自界说查杀毒逻辑
    阐发员经由进程编写查杀病毒的代码,可查杀超等庞杂的数目极大的传染型病毒歹意软件家属。
  • 摹拟履行跟踪手艺
    又称反病毒假造机,将方针文件(PE文件/JS剧本)在摹拟器中履行,跟踪其履行时履行的指令、点窜的内存、挪用的函数、发生的副感化,记实日记,同时驱动特色码婚配、自界说查杀毒逻辑。
  • 智能特色码婚配手艺
    一种MPM全文搜刮手艺,近似正则抒发式的病毒特色描写体例但在歹意软件辨认上扩大了良多特别的才能,合用于内容婚配和情势婚配。
  • 多维度(内容立体)穿插鉴定手艺
    将文件经由进程差别的措置体例,分手成差别维度的内容立体,并在这些内容立体中停止特色婚配,经由进程差别立体中特色婚配情况来综合鉴定方针文件是不是为歹意软件。比方:敏感函数名 在原始内容中没法被婚配到,但在摹拟履行后的函数挪用日记中存在,能够揣度出该敏感函数被报酬加密或埋没了,这便是一种歹意软件的逻辑特色。
  • 图象婚配手艺
    该手艺特地针对“图标引诱”类的WinPE 歹意软件,比方,将本身的法式图标设置为MsOffice/PDF等文档图标来引诱用户双击履行的歹意软件。
  • 代码基因手艺
    针对差别范例的文件,提取这些文件的骨干(框架)内容,并计较其指纹(咱们称为代码基因),其可用于匹敌轻细变型/混合的歹意法式、歹意剧本、歹意宏。该手艺撑持 机械主动化 措置,无需野生提取,效力极高。
  • 关头内容查验手艺
    针对 Windows PE 文件(包罗dotNet),规定约15个关头内容地区,对这些地区根据特定算法计较指纹,并婚配歹意指纹库。该手艺撑持机械主动化措置,无需野生提取,效力高。
  • 数字署名校验及婚配手艺
    将方针文件的数字署名同已收录的歹意数字署名停止比对。
  • 简略哈希婚配手艺
    文件尺寸+文件内容哈希值。
  • YARA手艺
    融会了准行业规范歹意软件表述说话。
  • 野生智能手艺
    针对WinPE文件和Flash文件的野生智能歹意软件辨认手艺——RDM+。RDM+是瑞星自立研发的野生智能引擎,今朝以“云脑”和“嵌入”两种情势存在于反病毒引擎中。“云脑”情势具有复杂的展望模子、极快的误报措置速率、客户端无感的周期性更新,其展望进程融入在传统云引擎交互进程中,为利用者带来庞大的“零日”歹意软件辨认才能的晋升。“嵌入”情势则接纳更加小尺寸的模子,以完成客户端安排,它为引擎供给无收集情况下的基于野生智能的歹意软件辨认才能,因为模子较小,其在误报几率上会稍微高于“云脑”情势。
  1. 丰硕的 文件格局辨认才能
    • BOOT : MBR指导扇区
    • MZ : DOS可履行法式(exe)
    • PE : Windows可履行法式
    • DEX : 安卓利用主法式
    • ZIP : ZIP紧缩包
    • CAB : Microsoft制定的紧缩包格局
    • ARJ : ARJ紧缩包
    • RAR : RAR紧缩包
    • RAR5 : RAR 5.0 紧缩包
    • ARC : ARC紧缩包
    • ZOO : Unix体系中利用旧的紧缩格局
    • LZH : 用LHARC紧缩的文件
    • TAR : UNIX归并文件
    • GZIP : gz 紧缩包
    • UUE : UUE 编码文件
    • ACE : Ace 紧缩档案格局
    • BZ2 : BZ2 紧缩包
    • CHM : Windows赞助文件(颠末编译打包的HTML文件调集)
    • 7Z : 7Zip 紧缩包
    • XZ : XZ 紧缩包
    • SIS : 塞班体系的软件装置包
    • APK : 安卓利用宣布包
    • IPA : 苹果IOS软件宣布包
    • ZIPEXE : ZIP 自解压包
    • CABEXE : CAB 自解压包
    • ARJEXE : ARJ 自解压包
    • RAREXE : RAR 自解压包
    • RAR5EXE : RAR5 自解压包
    • ARCEXE : ARC 自解压包
    • ZOOEXE : ZOO 自解压包
    • LZHEXE : LZH 自解压包
    • ZIPNE : ZIP 自解压包
    • ZIPPE : ZIP 自解压包
    • ACEEXE : ACE 自解压包
    • NSIS : NSIS 装置包
    • INNO : INNO装置包(InnoSetup)
    • 7ZEXE : 7Zip自解压包
    • CABSETEXE : CABSET自解压包
    • SEAEXE : SEA 自解压包
    • WISE : WISE装置包
    • WISEA : WISE装置包
    • AUTOIT : AUTOIT剧本编译后的可履行文件
    • ELANG : 易说话编译的法式
    • GENTEE : GENTEE剧本编译后的法式
    • PAQUET : PaquetBuilder发生的装置包
    • INSTYLER : instyler SmartSetup建造的装置包
    • SFACTORY : Setup Factory建造的装置包
    • QUICKBATCH QuickBatch建造的可履行法式
    • DOC : Microsoft Windows复合文档
    • MDB : Microsoft Access数据库
    • HTA : Windows HTML Application文件
    • REG : Windows注册表文件
    • VBSENC : Windows加密VBScript文件
    • JSENC : Windows加密JScript文件
    • XOFFICE : Microsoft Office 2003+ 文档
    • JPEG : JPEG/JPG图片文件
    • SWF : Flash 文件
    • SWC : Flash 文件(带紧缩的)
    • PDF : Adobe PDF文档
    • MP3 : MP3 音频文件
    • LNK : Windows 快速体例文件
    • TTF : True Type Font 字体文件
    • ELF : Linux 可履行文件
    • CLASS : Java 子节码文件
    • BMP : Windows Bitmap位图文件
    • GIF : GIF图片文件
    • PNG : PNG图片文件
    • ICO : 图标文件
    • CDR : CorelDraw 发生的文件
    • MIDI : MIDI音频文件
    • MPEG : MPEG视频文件
    • HLP : Windows赞助文件
    • WPG : Word Perfect发生的矢量图文件
    • CPT : FineReport发生的报表文件
    • ISU : 装置法式发生的文件
    • WBM : Macromedia Fireworks File
    • CAT : Windows数字署名辑录文件
    • MBX : Microsoft Outlook保管电子邮件格局;Eudora邮箱
    • WAV : Windows波形声形
    • WDL : 北京华康公司开辟的一种电子读物文件格局
    • DBF : dBASE文件
    • REALPLER : RealPlayer媒体文件
    • RPM : RedHat包办理器包(用于Linux)
    • IDB : MSDev中心层文件
    • PDB : Windows调试标记文件
    • AU3SCRIPT : AutoIt3 剧本
    • DOSCOM : DOS COM文件
    • TEXT : 文本文件
    • VBS : VBScript文件
    • HTML : 网页文件
    • BAT : 批措置文件
    • JS : JScript文件
    • NS : NSIS剧本文件
    • EML : 电子邮件文件
    • IRC : IRC剧本
    • PERL : Perl剧本
    • SHELL : Bash shell剧本
    • VHD : 微软假造磁盘
    • VMDK : VMWare假造磁盘
    • RTF : RTF文档
    • PST : Outlook 2003 + 邮箱文件
    • UCS16LE : Unicode 16LE File
    • OUTLOOKEX_V5 Outlook Express 5 邮箱文件
    • OUTLOOKEX_V4 Outlook Express 4 邮箱文件
    • FOXMAIL_V3 Foxmail 3 邮箱文件
    • NETSCAPE_V4 Netscape 4 邮箱文件
    • BASE64 : Base64 编码后的PE文件
    • NWS : Windows Live Mail的( WLM)建立消息组的文件
    • MHT : 聚合HTML文档
    • MSG : 邮件
    • BOX : 邮箱文件
    • IND : 邮箱索引文件
    • JAR : Java归档文件
    • NTFS : NTFS文件体系
    • FAT : FAT文件体系
    • LOTUSPIC : Lotus利用的图片文件
    • VBVDI : VirtualBox 假造磁盘
    • SQLITE : SQLite 数据库文件
    • LIBA : lib文件
    • TIFF : TIFF图片文件
    • FAS : AutoCAD FAS文件
    • LSP : AutoCAD LSP文件
    • XDP : XML抒发的PDF文件
    • WSF : XML抒发的Windows剧本文件
    • EOT : Embedded Open Type 字体文件
    • ASF : 高等串流媒体文件
    • RIFF : 资本交换文件格局(ResourcesInterchange FileFormat),媒体文件
    • QTFF : QuickTime媒体文件
    • TORRENT : BT种子文件
    • WMF : Windows WMF 图象文件
    • JSENC : 加密JS剧本
    • COM : DOS-COM文件
    • INI : Windows的体系设置装备摆设文件
    • HTM : HTML网页文件
    • PPT : MsOffice PowerPoint幻灯片文件
    • PHP : PHP网页文件
    • MACH_O : MacOS可履行文件
    • FLV : FLASH VIDEO 流媒体文件
    • IPA : 苹果IOS利用文件
    • SMARTINSTALLER Smart Installer建造的装置包文件
    • MSO : 微软ActiveMine文件
    • PS : Microsoft Powershell 剧本文件
    • EPS : Adobe PostScript 文件
    • WSF : 含有可扩大标记说话 (XML)代码的Windows 剧本文件
    • INF : 体系主动化剧本
    • MSCFB : Microsoft Compound File Binary (CFB)
    • ODF : OpenOffice文件
    • OXML : OpenOffice文件(xml)
    • ISO : 合适ISO 9660规范的光盘镜像文件格局
    • DEB : Linux软件包(debian)
    • CPIO : Linux文件包(cpio号令建立)
    • CRAMFS : 特地针对闪存设想的只读紧缩的文件体系