一年前,沒有人想到熊貓燒香會成為殺毒軟件的分水嶺,沒有人會想到08年是主動防御年,沒有人會想到熊貓燒香催化特征碼集體轉向主動防御。
熊貓燒香病毒
特征碼是一種很有療效的殺毒方式,有一殺一有二殺二,只要病毒庫里有記錄,馬上就會藥到病除,頂多偶爾鬧個小誤報。但是特征碼的缺點也恰恰在于病毒庫,病毒庫里有的樣本就可以殺,病毒庫里沒有的樣本就殺不了。而特征庫的收集要完全依賴于有人先中毒,中毒把病毒上報,反病毒工程師分析后提起病毒特征碼,隨即升級病毒庫之后殺毒軟件才能殺毒。在熊貓燒香之前,使用特征碼技術的傳統殺毒軟件活得還很滋潤。但是不湊巧,特征碼這回遇到了國寶熊貓燒香。
“熊貓燒香”是一個傳染型的DownLoad,使用Delphi編寫,從技術上來說它并沒有什么創新之處,卻借鑒很多經典病毒,木馬甚至是流氓軟件的技術優點。綜合成了一個擁有可愛的圖標卻讓人聞之色變的病毒。它的運行原理并不復雜,無非是“復制文件到系統目錄和根目錄”,”添加注冊表啟動項“,“利用微軟自動播放功能運行”,“針對計算機本身攻擊弱口令”,“利用IE瀏覽器漏洞在網頁文件中添加腳本代碼”等等一些并不算“最新先進”的病毒技術。但就是這些“不算最新”的病毒技術卻在全國上下揭起了一股“燒香”熱潮。
如果熊貓燒香沒有變種,那么特征碼技術對付它完全不費吹灰之力。但是李俊同學這把完全打破了以往的游戲規則,玩兒得太狠了,第一次大批量規模化的生產病毒,弄得特征碼殺毒措手不及。昨天的特征碼還沒有更新,今天的新變種就又出現了。叱詫風云十數載的特征碼殺毒,被熊貓燒香累得氣喘吁吁。
優勝劣汰,適者生存。達爾文的進化論同樣適用于病毒和反病毒。李俊用頻繁編寫變種的手法徹底擊潰了特征碼,那么很必然就會有另一種技術站出來取代特征碼而遏制李俊的熊貓燒香。這就是主動防御技術。
可以說主動防御恰恰是李俊和熊貓燒香的克星,李俊用變種和免殺肆意摧殘殺毒軟件的手法,遇到了主動防御一下就現了原型,無論李俊絞盡腦汁如何變化,始終無法突破主動防御。原因也很簡單,主動防御是行為殺毒,黑客所使用的免殺手法其實都是換湯不換藥,只給病毒換了件衣服而對病毒最本質的行為則保持不便。李俊使用的那些成熟得發俗的病毒行為早就在主動防御的掌控之中,即使李俊晚幾天被抓,再出上他一萬個熊貓燒香變種,一樣還是逃不出如來佛的手掌心。
李俊雖然被抓了,但是李俊把熊貓燒香的源代碼賣給了不少人,甚至在網絡上就可以隨意下載到熊貓燒香的源代碼。然后呢,數不清的小李俊、小浩雨后春筍般站了出來。一個李俊抓了起來,千萬個熊貓預備燒香,特征碼真的要頂不住了。殺毒軟件永遠都是必需品,特征碼雖然不行了,好在還有主動防御。08年已經是主動防御年了,鋪天蓋地的主動防御廣告也算是一件好事,畢竟主動防御讓殺毒軟件的防護能力大步提升。熊貓燒香最后燒出了個主動防御年,恐怕李俊也沒有想到。
