一年前,沒有人想到熊貓燒香會成為殺毒軟件的分水嶺,沒有人會想到08年是主動防御年,沒有人會想到熊貓燒香催化特征碼集體轉(zhuǎn)向主動防御。
熊貓燒香病毒
特征碼是一種很有療效的殺毒方式,有一殺一有二殺二,只要病毒庫里有記錄,馬上就會藥到病除,頂多偶爾鬧個小誤報(bào)。但是特征碼的缺點(diǎn)也恰恰在于病毒庫,病毒庫里有的樣本就可以殺,病毒庫里沒有的樣本就殺不了。而特征庫的收集要完全依賴于有人先中毒,中毒把病毒上報(bào),反病毒工程師分析后提起病毒特征碼,隨即升級病毒庫之后殺毒軟件才能殺毒。在熊貓燒香之前,使用特征碼技術(shù)的傳統(tǒng)殺毒軟件活得還很滋潤。但是不湊巧,特征碼這回遇到了國寶熊貓燒香。
“熊貓燒香”是一個傳染型的DownLoad,使用Delphi編寫,從技術(shù)上來說它并沒有什么創(chuàng)新之處,卻借鑒很多經(jīng)典病毒,木馬甚至是流氓軟件的技術(shù)優(yōu)點(diǎn)。綜合成了一個擁有可愛的圖標(biāo)卻讓人聞之色變的病毒。它的運(yùn)行原理并不復(fù)雜,無非是“復(fù)制文件到系統(tǒng)目錄和根目錄”,”添加注冊表啟動項(xiàng)“,“利用微軟自動播放功能運(yùn)行”,“針對計(jì)算機(jī)本身攻擊弱口令”,“利用IE瀏覽器漏洞在網(wǎng)頁文件中添加腳本代碼”等等一些并不算“最新先進(jìn)”的病毒技術(shù)。但就是這些“不算最新”的病毒技術(shù)卻在全國上下揭起了一股“燒香”熱潮。
如果熊貓燒香沒有變種,那么特征碼技術(shù)對付它完全不費(fèi)吹灰之力。但是李俊同學(xué)這把完全打破了以往的游戲規(guī)則,玩兒得太狠了,第一次大批量規(guī)模化的生產(chǎn)病毒,弄得特征碼殺毒措手不及。昨天的特征碼還沒有更新,今天的新變種就又出現(xiàn)了。叱詫風(fēng)云十?dāng)?shù)載的特征碼殺毒,被熊貓燒香累得氣喘吁吁。
優(yōu)勝劣汰,適者生存。達(dá)爾文的進(jìn)化論同樣適用于病毒和反病毒。李俊用頻繁編寫變種的手法徹底擊潰了特征碼,那么很必然就會有另一種技術(shù)站出來取代特征碼而遏制李俊的熊貓燒香。這就是主動防御技術(shù)。
可以說主動防御恰恰是李俊和熊貓燒香的克星,李俊用變種和免殺肆意摧殘殺毒軟件的手法,遇到了主動防御一下就現(xiàn)了原型,無論李俊絞盡腦汁如何變化,始終無法突破主動防御。原因也很簡單,主動防御是行為殺毒,黑客所使用的免殺手法其實(shí)都是換湯不換藥,只給病毒換了件衣服而對病毒最本質(zhì)的行為則保持不便。李俊使用的那些成熟得發(fā)俗的病毒行為早就在主動防御的掌控之中,即使李俊晚幾天被抓,再出上他一萬個熊貓燒香變種,一樣還是逃不出如來佛的手掌心。
李俊雖然被抓了,但是李俊把熊貓燒香的源代碼賣給了不少人,甚至在網(wǎng)絡(luò)上就可以隨意下載到熊貓燒香的源代碼。然后呢,數(shù)不清的小李俊、小浩雨后春筍般站了出來。一個李俊抓了起來,千萬個熊貓預(yù)備燒香,特征碼真的要頂不住了。殺毒軟件永遠(yuǎn)都是必需品,特征碼雖然不行了,好在還有主動防御。08年已經(jīng)是主動防御年了,鋪天蓋地的主動防御廣告也算是一件好事,畢竟主動防御讓殺毒軟件的防護(hù)能力大步提升。熊貓燒香最后燒出了個主動防御年,恐怕李俊也沒有想到。
