隨著10月21日0時(shí),微點(diǎn)“黑屏行動(dòng)”開始出擊中國盜版市場(chǎng)����。微軟再次發(fā)布消息黑屏行動(dòng)將先讓5%的人“黑”�,再引起恐慌����,誰將成為5%,誰將幸免逃過�����。微軟的5%過后�,會(huì)不會(huì)來另一個(gè)5%或者更多,大量網(wǎng)友恐慌下四處投醫(yī)���,黑客看準(zhǔn)形勢(shì),伺機(jī)作案��。面對(duì)蜂擁而至的黑屏病毒�����,微點(diǎn)主動(dòng)防御軟件憑借著其巨大的優(yōu)勢(shì)�,為用戶計(jì)算機(jī)提供全面的安全保護(hù)����。
反病毒專家指出,現(xiàn)在出現(xiàn)的大量病毒相當(dāng)多是為躲避殺毒軟件查殺����,對(duì)老病毒進(jìn)行 “免殺”處理的變種病毒�。此次出現(xiàn)的黑屏病毒����,就是黑客利用用戶懼怕微軟在10月21日0時(shí)實(shí)施“黑屏行動(dòng)”的心理���,對(duì)灰鴿子病毒進(jìn)行“免殺”處理,以壓縮包或捆綁的形式�,冒充破解補(bǔ)丁��,誘導(dǎo)用戶進(jìn)行安裝。而受到誘導(dǎo)下載病毒的用戶將成為黑客的“肉雞”�����,并被黑客控制����。
為何微點(diǎn)主動(dòng)防御軟件在此次病毒與反病毒之爭中獲取勝利,能夠有效防范此類被黑客“免殺”處理的病毒����?
先看看現(xiàn)有殺毒軟件反病毒技術(shù)的局限
殺毒軟件的核心是反病毒公司從病毒體中提取一串或多串代碼作為識(shí)別病毒的特征碼���,殺毒軟件將病毒碼與計(jì)算機(jī)中文件進(jìn)行比對(duì)���,如果包含病毒特征碼��,就報(bào)毒。其特點(diǎn):
1)特征碼依賴病毒:因?yàn)椴《咎卣鞔a是從病毒體中提取的����,因此�����,只有收集到的病毒,反病毒公司才能從中提取出特征碼��;
2)病毒收集依賴用戶:病毒不是反病毒公司編寫的�����,雖然可以采用蜜罐等誘捕技術(shù),能夠自動(dòng)收集到極少部分病毒。但是,絕大多數(shù)病毒是反病毒公司從用戶提交的可疑程序中分析判斷中獲取的。殺毒廠家所宣稱的病毒監(jiān)測(cè)網(wǎng)��,實(shí)質(zhì)上就是由用戶組成的���,如果用戶沒有提交病毒樣本�����,反病毒公司就很難收集到病毒�����。
正是殺毒軟件這種致命的技術(shù)缺陷導(dǎo)致病毒防范的脆弱性,主要體現(xiàn)在:
1)不升級(jí)無法防范新編寫的病毒;
2)不升級(jí)無法防范經(jīng)過“免殺”處理的老病毒��;
結(jié)論:能否防范病毒主要取決于殺毒軟件公司能否收集到這個(gè)病毒��。
病毒輕松躲避殺毒軟件查殺的最常用最有效手段
針對(duì)殺毒軟件這種嚴(yán)重的技術(shù)缺陷��,病毒為了保護(hù)“勝利果實(shí)”,病毒制作者從技術(shù)的角度針對(duì)殺毒軟件的弱點(diǎn)進(jìn)行攻擊,僅僅采用以下幾種簡單方法就可以輕松逃避殺毒軟件的查殺:
1) 加殼:加殼是病毒制造者最常用���、最簡單、最有效躲避殺毒軟件查殺的技術(shù)。從技術(shù)原理上來說加殼是利用一種特殊的算法,對(duì)可執(zhí)行文件進(jìn)行壓縮加密��,借以改變其文件的特征�。比如,某個(gè)病毒程序殺毒軟件能夠識(shí)別,但加殼后的病毒程序由于文件特征完全發(fā)生了變化,殺毒軟件就無法識(shí)別了���。舉例來說,如果說病毒程序是一張烙餅,那殼就是包裝袋�,可以讓你發(fā)現(xiàn)不了包裝袋里的東西是什么���。更為嚴(yán)峻的是���,現(xiàn)在互聯(lián)網(wǎng)充斥自動(dòng)加殼機(jī),這種自動(dòng)加殼機(jī)能夠在1小時(shí)將一個(gè)病毒自動(dòng)加殼變成幾百甚至幾千的新病毒���。
2) 加花:加花是病毒免殺常用的手段����,加花的原理就是通過添加“花”指令(一些無用的垃圾指令)�,使得病毒的文件特征發(fā)生了改變,這樣病毒程序的特征碼跟原來就不一樣了,對(duì)于殺毒軟件來說就是一個(gè)新病毒,結(jié)果使得殺毒軟件無法在識(shí)別其是病毒����,還以為是正常的程序�����。
3) 變種:變種是在原有病毒的基礎(chǔ)對(duì)其功能進(jìn)行修改或者增加,變種后的病毒和原來病毒有繼承性,同時(shí)也改變了原病毒的文件特征��,由于特征碼已經(jīng)改變��,殺毒軟件就無法識(shí)別這些變種的新病毒��。
4) 自動(dòng)升級(jí):在病毒產(chǎn)業(yè)中有句話,殺毒軟件玩更新,病毒一樣玩更新�����。什么意思呢�,大家都知道,殺毒軟件是通過升級(jí)病毒特征來達(dá)到查殺病毒的目的����。病毒制造者也采用了同樣的手段使病毒不斷自動(dòng)更新�,達(dá)到躲避殺毒軟件的查殺�。簡單來說,反病毒公司收集到了某個(gè)病毒樣本���,并提取了病毒的特征碼,準(zhǔn)備在下午15時(shí)向殺毒軟件提供升級(jí)��。但如果病毒在14時(shí)就對(duì)自己先升級(jí)更新����,殺毒軟件在15點(diǎn)更新后掃描還是不能發(fā)現(xiàn)這個(gè)病毒�,因?yàn)椴《疽呀?jīng)更新了。
此次黑客的“黑屏”病毒所捆綁的“灰鴿子”����,就是通過加區(qū)段����、改變程序入口點(diǎn)和修改特征碼等的“免殺”方式�,成功躲過了殺毒軟件的查殺,利用微軟“黑屏”驗(yàn)證計(jì)劃興風(fēng)作浪�����。當(dāng)用戶一旦安裝這類“補(bǔ)丁程序”即刻成為黑客的“肉雞”���,黑客便可遠(yuǎn)程控制用戶的計(jì)算機(jī)���,盜取用戶的網(wǎng)游����、銀行、股票交易帳號(hào)等信息�����,甚至還可打開用戶計(jì)算機(jī)上的攝像頭���,拍下用戶的私密生活��。
微點(diǎn)主動(dòng)防御軟件采用的是新一代的反病毒技術(shù)――主動(dòng)防御技術(shù),完全不同于采用病毒特征碼來判斷病毒的殺毒軟件�����。主動(dòng)防御技術(shù)是通過對(duì)病毒行為規(guī)律分析���、歸納���、總結(jié),并結(jié)合反病毒專家判定病毒的經(jīng)驗(yàn)��,提煉出病毒識(shí)別規(guī)則知識(shí)庫�;模擬專家發(fā)現(xiàn)新病毒的機(jī)理,通過分布在用戶計(jì)算機(jī)系統(tǒng)上的各種探針��,動(dòng)態(tài)監(jiān)視程序運(yùn)行的動(dòng)作��,并將程序的一系列通過邏輯關(guān)系分析組成有意義的行為��,再結(jié)合應(yīng)用病毒識(shí)別規(guī)則知識(shí),實(shí)現(xiàn)對(duì)病毒的自動(dòng)識(shí)別���。
雖然當(dāng)前病毒通過加殼、加花��、變種��、自動(dòng)升級(jí)等多種手段來改變自己的靜態(tài)特征碼����,躲過殺毒軟件的查殺�,但微點(diǎn)主動(dòng)防御軟件是根據(jù)程序行為進(jìn)行判斷,無論病毒怎么“免殺”���,其行為并沒有變化,所以無法躲避微點(diǎn)主動(dòng)防御軟件的查殺����。這就好比小偷通過改變自身外貌特征來躲避殺毒軟件這個(gè)警察的追捕,然而改變了外貌特征的小偷始終無法掩蓋偷盜的行為,一旦盜取必被捉。
微點(diǎn)主動(dòng)防御軟件成功攔截“黑屏”病毒進(jìn)一步表明�����,主動(dòng)防御才是解決當(dāng)前病毒最有效的技術(shù)手段���。
