|
|
|
 |
|
殺毒趨勢 主動防御技術路在何方?
|
|
來源:IT168 2007-11-10 15:29:28
|
|
去年以來,由于一些新出的病毒搞的一些著名的殺毒軟件非常被動(去年肆虐一時的熊貓燒香就是其中典型的代表),讓不少用戶抱怨的同時也讓大家發現了當前很多主流殺毒軟件技術上的不足,甚至有一些媒體說他們的殺毒技術的核心特征碼技術是過期藥,只能在一些用戶遭殃后再出手治病救人。各個廠商之間的口水大戰也讓不少用戶茫然。 為了彌補自己技術上的不足,挽回自己在用戶中技術落后的形象。各大主流廠商紛紛推出主動防御技術來補充自己產品在對付未知威脅方面的不足,國產殺毒軟件繼東方微點首次在國內推出以行為殺毒混合特征碼的主動防御技術之后,其他著名殺毒軟件也紛紛宣布實現了主動防御技術,他們的主動防御技術大多是基于原先已經很成熟的啟發式殺毒技術,其中江民還加入了一個基于HIPS技術設計的防御模塊,雖然對用戶要求偏高,但是對于高手來說確實安全系數提高了不少。國際廠商中動作最大的是卡巴斯基,繼在6.0版本中加入基于行為殺毒技術的主動防御模塊后,新的7.0版本又重新加入啟發殺毒模塊,加上他強大的特征碼技術,同時擁有三大殺毒技術的卡巴斯基從表面上看似乎他的技術構成已經臻于完美。國際廠商中的諾頓也宣布在新版本中也加入行為殺毒技術,似乎一夜之間所有的殺毒廠商都有了很大的技術提升,紛紛從買過期藥變成賣包治百病的靈丹妙藥…… 主動防御究竟是什么? 估計有不少用戶被各大廠商炒作的各種技術術語搞的暈頭轉向,其實各大廠商主動防御技術不過基于二種技術:一種是基于虛擬機設計的啟發殺毒技術,一種是基于程序行為判斷的行為殺毒技術。下面分別來分別小小的介紹一下。 啟發殺毒技術是目前比較成熟的對付未知病毒的技術,以NOD32,Dr.Web、邁克菲,Avira、VBA32等為代表,其中以NOD32把啟發殺毒發揮的最淋漓盡致,NOD32在業界有啟發之王的美譽,憑借這一項絕技,NOD32不但常年在VB100測試中笑傲江湖,還在很多測試未知病毒的測試中常常名列前茅。以NOD32的啟發殺毒技術為例,他監控系統時候先用他內置的特征碼庫判斷,如果判斷不出的就把程序納入NOD32內置的一個微型虛擬機內運行來根據他的行為進行危害判斷,發現沒有問題再放行(說一句題外話,虛擬機殺毒是一個比較成熟的老技術,不像某些廠商說的是他們首創)。這種技術理論上是可以對付所有的病毒,可惜目前由于系統開銷問題,所有的啟發殺毒引擎只能用簡化的虛擬機,這樣一些設計先進的病毒可以判斷出這還是虛擬機從而不發作,如果用更復雜的虛擬機,雖然可以發現更多的病毒,但是系統開銷又很大(不過好在新的INTER和AMD的CPU都內置了虛擬化技術,虛擬機的運行速度加快了不少)。啟發引擎只能在速度和效率上找平衡,這也是當前所有啟發殺毒技術的無奈。還有一個問題是由于啟發殺毒技術為了加速判斷,經常需要運用一些規則來判斷,但是由于判斷的規則有些嚴厲有些寬松,嚴厲的經常有誤殺問題,寬松的也容易放過一些真正的病毒,所以啟發殺毒引擎在規則的嚴厲程度的選擇上是一個很大的問題,就是以啟發成熟著名的Nod32也有誤殺的問題,譬如他就把常用的五筆輸入法安裝文件判斷為危險程序,要清除他!其他的啟發殺毒軟件譬如Dr.Web和Avira相對的誤報就更多些,由于啟發技術已經被運用多年,技術已經很成熟,所以目前幾乎所有的主流殺毒廠商都在擁有特征碼殺毒的基礎上集成了啟發殺毒引擎。他是目前主動防御技術的主力軍,也是被研究的最多的,意味著能夠突破他的病毒也會有不少。 行為殺毒技術是這兩年熱炒的殺毒技術,其中在國內以東方微點為先行者進行了很好的探索,在國際上也有很多廠商也在這方面進行突破,其中名氣最大的是卡巴斯基,他在6.0版本中集成了比較完備的行為殺毒技術,其他譬如印度的Sanrasoft公司的Rudra,美國的Cyberhawk和英國的Prevx1都以行為殺毒技術為核心來構建自己的產品,其他一些大牌主流廠商也開始跟進。行為殺毒技術很好解釋,就是程序在系統中實時監控所有的程序行為,發現他有危險的行為就立即制止并報警。如果再通俗些解釋,其實就是把啟發殺毒中在虛擬機中驗證的程序行為拿到真實系統中來監控。 從理論上說,行為殺毒技術是最完美的殺毒技術,但是由于各個廠商技術水平的不同,他們的行為殺毒技術實現的程度也不同,最基礎的就是江民和諾頓,只是集成了HIPS技術,監控系統中的所有行為他都要匯報讓用戶來干預,對于了解系統的軟件高手來說是利器,可以體驗完全掌控系統的快感,對于普通用戶來說那沒完沒了的提示就是惡夢。再進一步就是卡巴斯基這種,因為已經內置了一些行為數據庫,可以進行智能行為判斷,一些正常的程序行為自動被過濾了,并且可以根據分析出的危險行為進行分級,雖然有一些誤報,但是還是給用戶一種對付未知病毒的手段。第三種就是微點、Cyberhawk和Prevx1這種基本完全靠行為殺毒吃飯的殺毒軟件,他們都內建了比較完善的行為分析數據庫,大大的減少了需要用戶進行干預的次數,智能化程度已經比較高了。但是由于目前Win系統過于龐大,各種應用軟件的編寫和運行方式千差萬別,對于殺毒軟件公司來說完全判斷出所有的安全行為和危險行為基本是不可能完成的任務,所以微點也有一些特征碼技術來補充完全靠行為殺毒的不足,Cyberhawk宣傳自己是主流殺毒軟件的良好補充……,加上和啟發殺毒一樣需要對誤報進行控制,現在可以這樣說,純粹靠行為殺毒來對付未知的病毒在當前是不可能完成的任務!
|
