拉手风琴

病毒的发现改变了人们对于微生物的认知：病毒体积微小、结构简单，甚至没有完整的细胞结构，仅仅是一个蛋白质外壳包裹着核酸链。不同于寄生类细菌，病毒必须将遗传物质注入到宿主细胞内，依靠宿主细胞的物质和能量，才能完成自我复制和增殖。

很快，病毒出现了另外一层含义：1987年，一对来自巴基斯坦的兄弟发明了另一种“病毒”，它的感染目标并不是细胞生物，而是计算机系统，能够耗尽计算机的存储空间。

计算机病毒就此诞生，并很快成为危害计算机安全的头号杀手，在网络空间大肆传播。它和普通的细菌、病毒等寄生生物一样，具有传播、复制和破坏宿主正常功能的能力。

猝不及防

说句实话，李奇微针对志愿军后勤特点制定的这种“磁性战术”非常有效。但正如麦克阿瑟所说，靠这种手风琴式的打法，“联合国军”想要快速结束战争的愿望却很难实现。

示意图片来源于网络

核酸检测

时至今日，人们对于病毒的检测已经有了比较科学的方法，比如大家所熟知的新冠病毒核酸检测，无论是咽拭子和是肛拭子，都能够有效采集并检测到病毒核酸。

椒图就是用这个“钩子”把恶意代码钩出来。

• 第一，INJECT注入模块负责把HOOK模块第一时间加载到新建进程内。

  这个过程就如同护士把棉签放到你的咽部。

  
  

• 第二，HOOK钩子模块是整个无文件检测引擎的核心，负责修改进程内的指令，用于在命令执行之前，拿到需要关心的函数调用参数或者Com方法中的参数。HOOK函数可以理解为一段消息处理的程序，每当消息发出，在没有到达目的窗口前，HOOK函数就先捕获该消息，亦即钩子函数先得到控制权。

  这里再科普一下。程序猿朋友都知道，每一个应用程序都包含大量的变量和函数。在数学中，函数可以把各种不同类型的变量，按照一定的计算关系给组合起来，比如二次函数、三角函数等。这里也一样，函数可以把变量组合起来，执行既定的操作或者命令。钩子钩住了关键参数，接下来就能判断程序到底会执行什么样的操作，这个操作是不是恶意的。
  
  
  这个过程就如同护士拿着棉签对你的咽部一顿操作，采集关键样本。
  
  
  
  

• 第三，CHECK检查模块会将钩子捕捉到的关键参数进行检查，判断是否为恶意。这个模块内置了大量的业务逻辑规则，用于和钩住的参数进行匹配，比如脚本特征匹配、拦截逻辑判断、白名单放行逻辑、写入事件、写入日志等操作。如果发现了有什么不对的地方，就可以产生告警。

  这个过程就相当于护士采集到的咽拭子或者肛拭子样本，送到检测中心去检测。

除了无文件攻击检测引擎之外，椒图还有一些功能模块也能够检出部分类型的无文件攻击。

基因突变

我们应当注意到，病毒是非常容易发生变异的。由于缺乏细胞结构的保护，病毒的核酸链非常容易在复制的过程中发生改变。

就目前而言，相对于病毒对动植物生命健康带来的巨大危害而言，无文件攻击尚未成为攻击服务器的最主要方式。

但在将来的某一天有人和你打赌，就赌你中招的服务器上没有恶意软件，你就得掂量掂量再下注了。

分享

收藏

点赞

在看