當前,計算機病毒主要以加殼的特洛伊木馬、蠕蟲為主,病毒的作者不再像以前一樣僅僅是為了炫耀自己的計算機水平有多高,而是為經濟利益所驅使,盜取使用者私密資訊、開闢系統後門等等,帶來直接經濟損失。
隨著軟體漏洞的頻頻出現,尤其是microsoft的windows和office漏洞,甚至是0day漏洞攻擊,加上使用者安全意識不夠,再加上病毒誕生速度,造成了如今病毒氾濫的現象。反病毒軟體查不到病毒、殺不掉病毒,使用者怨聲一片,只怪病毒出現得實在太快,編寫技術實在太高。為了殺掉乙個病毒,需要漫長的等待反病毒廠商將其加入到病毒特徵庫中,公升級了,發現又無法清除,只能返回到連microsoft都不知道是否該放棄的dos中解決。
防病毒自然被所有人看成了乙個最關鍵的環節。怎麼實現呢?
啟發式這個概念在幾年前已經有人提出並已經實現,到了現在啟發式已經發展到了乙個相當厲害的程度,在將誤報降低到最少的前提下盡可能的發現未知病毒。每個反病毒軟體廠商實現的方式不同,但是基本上都是一種理念,就是在乙個虛擬環境中執行病毒根據病毒行為判斷,當然這種虛擬方式持續的時間極短。啟發式在國外基本上算是乙個比較成熟的技術了,尤其以nod32、mcafee、dr.web等尤為厲害,他們的啟發式引擎能夠相當準確的查出乙個新病毒並且及時阻止,誤報的概率比起其他來小太多。實際上kaspersky也有自己的啟發式引擎,某些時候也能報出未知病毒,概率嘛自然比起前面說的要小很多,不過在某些特定語言編寫的病毒方面,kaspersky能夠很準確的報未知病毒
(kaspersky lab的病毒特徵碼提取技術那是業界首屈一指的,經常會發現之前某個病毒的特徵碼仍然適用於之後出現的病毒的情況)。國內的情況就不樂觀,啟發式雖然在國內不能說成空白,但是也不知道該拿什麼詞來形容現階段的狀況。以國內三大江民、瑞星、金山為例,江民kv系列一直都有延續著「廣譜查殺」技術,這種技術對變種病毒很有效,尤其對巨集病毒之類的,偶爾大家或許能看到kv報某可疑檔案為win32.type,這就是kv「廣譜查殺」技術的收穫(廣譜技術和之前說的啟發式是有一定區別的);瑞星的行為分析技術似乎對於windows平台下更有效,通過病毒行為判斷來分析病毒的可能性,從實際情況來說,它的效果比kv的明顯,但這只是乙個相對比較,整體看來作用也不大,很少發現報未知病毒的情況;至於金山毒霸,幾年前因使用的是dr.web的引擎有啟發式的存在,現在因為完全用了自己的引擎技術,至少我沒有發現金山毒霸有啟發式的影子。
主動防禦這個詞好像是近段時間才出現的吧,國內的反病毒軟體好像是kv第乙個用了登錄檔監控技術,所以有一部分人就認為主動防禦就是登錄檔監控這東西,那麼這太片面了。
現在病毒有哪些行為呢?擅自建立程式,建立自己的啟動項,將自己插入到別的程序中,利用rootkit程式設計隱藏自己……
說到主動防禦,我不得不說到的是system safety monitor(簡稱ssm)這款軟體,這個軟體屬於host-based intrusion prevention system(hips),它不是反病毒軟體,也不是防火牆軟體,卻能夠從小到每個程序大到整個磁碟底層保護系統免受不良程式的危險,軟體的功能自然包括最常見的登錄檔保護、檔案保護、磁碟系統保護、防止程序注入等,ssm的功能太強大,不多說。kaspersky從v6開始引入了proactive defense,它的主動防禦預設並不開啟登錄檔監控,因為這種互動很麻煩,對普通使用者來說會帶來相當多的麻煩,使用者看不懂這些登錄檔監控到底在提示些什麼,因此kaspersky lab出於對使用者的考慮預設並沒啟動這個功能,至於它的行為監控模組就值得稱道,通過內建規則,
當某程式試圖執行時,行為監控就會比對規則判斷是否為惡意程式,這種準確度是相當驚人的,最新的版本基本上能100%發現rootkit,對於木馬、後門、蠕蟲等基本都能攔截,雖然報的名字很統一trojan generic,那些程序注入、隱藏資料傳送、帶引數啟動ie等自然都不能逃出它的監控(他的proacive defense彌補了了在啟發式方面的相對薄弱),有機會大家去用一用吧。國內方面,瑞星目前僅有乙個登錄檔監控,那麼可以將其排除在主動防禦之外,因為這個太膚淺,不過最近加入了乙個防止直接通過瀏覽器執行程式的功能,這個功能相當值得稱道,通過ie中讀的人實在太多;毒霸沒有這個功能;江民的kv系列,從前幾個版本就有了登錄檔監控,後來發展到「木馬一掃光」,木馬
一掃光在最初包含了登錄檔監控、程序注入、鍵盤記錄幾個功能,初步實現了一些簡單的主動防禦模組,可能因為互動沒做好,在給使用者帶來安全的同時也帶了了麻煩,使用者不知道kv到底在提示些什麼,現在到了kv2007,木馬一掃光被降級到了純粹的登錄檔監控範圍,其他的功能交給了「系統監控」,網路訪問控制(主要是http、email)、程序注入保護、擅自執行程式、直接記憶體訪問、檔案訪問控制、檔案完整性保護等樣樣俱到,雖說不是特別全面,不過已經涵蓋了絕大部分,這些對於有經驗的使用者來說是個福,對於初級使用者來說就有些麻煩,得看以後怎樣改進了,最好直接判斷程式可能是什麼或是什麼。
當然,主動防禦有個缺點,就是必須當程式似乎執行時才有效,靜態查毒不生效。
啟發式與主動防禦,國內軟體kv在這方面的發展和應用略佔優勢,我們只能期待會更好,沒有國人不支援自家的東西。
防毒軟體引擎
轉貼 防毒軟體的引擎 鄭重宣告 本貼原作者為走走看看 很多人認為諾頓企業版和個人板採用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。zdnet上刊登過一篇文章指出 企業版和個人版引擎的核心規則完全一樣,但在前端檔案匯入部分企業版是優於個人版的,企業版使用了更多的api介面...
亂彈防毒軟體
最近一段時間,公司病毒氾濫,中招的機器也不少,公司要求安裝的趨勢根本沒有招架能力,幾乎是被病毒一招致命 藍 紅 無意間在晚上看到對當前使用比較多的防毒軟體的評價,很有意思,呵呵 卡巴就好象西毒,兇猛強悍,神功蓋世,對敵決不留情,出手狠辣,招招奪命,絕少失手,不愧為一代梟雄,但畢竟練的不是純正內功,容...
戲說防毒軟體
一,卡巴就好象西毒,兇猛強悍,神功蓋世,對敵決不留情,出手狠辣,招招奪命,絕少失手,不愧為一代梟雄,但畢竟練的不是純正內功,容易走火入魔,導致 系統 出問題 二,麥咖啡就象東邪,玉樹臨風,俊朗瀟灑,對敵招式繁多,機關重重,殺伐決斷從不遲疑,為江湖第一機智聰明之人,但因其心機太深,令人難以掌握 三,諾...