-- 作者:longshentailang
-- 发布时间:12/9/2007 10:49:00 AM
-- 理解杀毒软件的意义[转帖]
Computer技术论坛:[url=http://cfan1.ttsite.com/read.php?tid-1978953.html] http://cfan1.ttsite.com/read.php?tid-1978953.html[/url] 文章如下: 如果生命是一种执着的力量,那么总有一种力量,比生命更加执着,就是死亡!!!当你去深刻思考“死亡”这两个字的含义,用心去感受生命的来临与离去,更或许有的人,需要在他弥留之际,才能真正理解生命的价值。 在计算机的世界里,病毒就是一种执着的力量,那么杀毒软件,就是死亡的力量;也或者病毒才是死亡的力量,不管怎样,杀毒软件是一种不可或缺的东西。我用过的一些杀毒软件,和我体验试用,或者给求助的朋友安装或者卸载的,都有我的一点感受,写出来,给大家一点思路,选择一个更适合自己用的杀毒软件。 在介绍之前,先简单结合自己的理解和引用一些文章,来说点技术性的知识: 一、杀毒软件引擎与病毒库的关系 其实病毒库与杀毒引擎没有直接的关系,杀毒引擎的任务和功能非常简单,就是对指定的文件或者程序进行判断其是否合法。而病毒库,只不过是对杀毒引擎的一种补充,也就是说:“我们没有足够聪明的杀毒引擎来完成这个过程”,那个过程,就是杀毒引擎对文件或者程序判断。明白这一点,就应该知道,好的杀毒软件,重要在引擎的优秀,病毒库只不过是补充,而且病毒库越大,杀毒速度肯定会降低。因为病毒库杀毒的过程,是引擎把判断能力交给病毒库,用病毒库与指定的文件进行对比判断。 二、加壳、脱壳(此段完全整理引用) 1.什么是加壳:所谓加壳,是一种通过一系列数**算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。 当被加壳的程序运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。 如何判断一个可执行文件是否被加了壳呢?有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件,如果能看到软件的提示信息则一般是未加壳的,如果完全是乱码,则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前,较常见到的壳有“UPX”、 “ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。 为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同。 脱壳能力不强的杀毒软件,对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳,则对于这些杀毒软件来说又是一种新的病毒,必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强,则可以先将病毒文件脱壳,再进行查杀,这样只需要一条记录就可以对这些病毒通杀,不仅减小杀毒软件对系统资源的占用,同时大大提升了其查杀病毒的能力。 2. 脱壳 马甲”能穿也能脱。相应的,有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法:硬脱壳和动态脱壳。 第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。由于,目前很多“壳”均带有加密、变形的特点,每次加壳生成的代码都不一样。硬脱壳对此无能为力,但由于其技术门槛较低,仍然被一些杀毒软件所使用。 第二种,是动态脱壳。由于加壳的程序运行时必须还原成原始形态,即加壳程序会在运行时自行脱掉“马甲”。目前,有一种脱壳方式是抓取(Dump)内存中的镜像,再重构成标准的执行文件。相比硬脱壳方法,这种脱壳方法对自行加密、变形的壳处理效果更好。 三、虚拟机脱壳引擎(VUE)技术(此段完全整理引用) 对于病毒,如果让其运行,则用户计算机就会被病毒感染。因此,一种新的思路被提出,即给病毒构造一个仿真的环境,诱骗病毒自己脱掉“马甲”。并且“虚拟环境”和用户的计算机隔离,病毒在虚拟机的操作不会对用户计算机有任何的影响。 “虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难,即使有雄厚的研发实力,也未必能在短时间内达到实用的程度。 四、启发式杀毒(启发式代码扫描技术,此段完全整理引用) 病毒和正常程序的区别可以体现在许多方面,比较常见的如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则没有会这样做的,通常它最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。 启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如,如果一段程序以如下序列开始:MOV AH ,5/INT,13h,即调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项,又没有要求用户交互性输入继续进行的操作指令时,就可以有把握地认为这是一个病毒或恶意破坏的程序。 启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。资料显示,目前国际上最著名的排名在前五名的反病毒软件产品均声称应用了这项技术,从来自不同机构和出处的评测结果来看,纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,一次质的飞跃。在新病毒,新变种层出不穷,病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。 五、杀毒引擎介绍(网上关于著名的五大杀毒引擎介绍很多,简单写几句自己理解的,其他引用) 1.诺顿:诺顿的引擎采用了系统最底层的核心驱动方式,应该说是最安全、最高级、最稳定的方式,但是需要微软的系统核心代码,如果说系统工作的步骤是3-2-1,那么诺顿便是这种方式工作。 首创实时监控技术,还知道微软的代码。大家都说诺顿不好,其实诺顿的引擎很强大。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。 2.McAfee:咖啡的工作方式相对与诺顿,叫做硬件虚拟层,3-2-1-1-2,其他的绝大多数是3-2-1-1-2-3咖啡采用启发式杀毒+虚拟脱壳,启发和虚拟技术是非常高的。 主要能力放在防毒上,也用了虚拟脱壳技术,基本所有壳都可以干掉,现在知道为什么它这么火了吧,北斗的壳,我不知道能不能干掉,但它的虚拟技术没有DR.WEB的好,用加密XTA算法(基本与DES一样很难破解)写的病毒,它和卡巴就都废掉了。 3.熊猫:西班牙的东东,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大,金山好像现在就在仿熊猫,监控好像不是,杀毒和升级都是仿造熊猫的,金山的监控很LJ,你用用就知道了。 4.卡巴斯基:..........废话免了。 5.Dr.Web:俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。 ************************************************ ************************************************ 下边开始我个人对正在使用和有点感受的各种杀软介绍,这里有很多我对杀软使用的理念 一、McAfee(迈克菲,俗称咖啡或卖咖啡) 我最喜欢的杀软,防护能力第一并不算过分。在我使用的感受中,我对他进行了优化,只保留了主监控,但是也足够强大。对于病毒,它允许在硬盘上存在,但是,当你鼠标指向病毒文件,单击一下,咖啡的监控马上会让你想要执行双击行为变得极为困难,不停的提醒你杀毒。而网页上的脚本,木马,咖啡都会让你有放心的警觉。而压缩的病毒样本,当你解压的时候,可能就无法实现了,因为解压的病毒文件已经被咖啡干掉了。 我还曾经试过,用一个绿色版的某杀软扫描,扫描到我强硬放置的病毒文件时,咖啡报毒并删除了,而用来扫描的杀软却什么也没有用发现。对于咖啡的防护能力,我想不用说更多了! 杀毒能力:很多人认为咖啡的杀毒能力弱,其实我并不觉得,咖啡的启发式杀毒做的非常优秀,根据文件或者程序的行为特性来判断是否是病毒,再加它的很成熟的虚拟脱壳技术,脱壳杀马能力也是非常强大。某些专业的杀毒的测试中,杀壳能力某些测试甚至超过卡巴斯基。而我个人认为:咖啡杀毒能力弱也只是相对于蜘蛛,或者稍弱于卡巴! 系统资源占用:很多人说咖啡的进程数太多,内存占用太大。我想,如果所有默认的都开启,确实是那样。但是,又有几个人会把杀毒软的所有默认功能都开启呢?我写过McAfee2006和2007个人版的优化设置方法。设置之后,咖啡的系统资源占用是很少的,至少我的赛扬1.0+256内存老爷车,安装了咖啡个人版的杀毒+防火墙套装并优化后,虽然保留了5个进程(其中3个是防火墙,1个是自动升级,1个咖啡安全中心,剩下的一个才是主监控),但XP系统跑起来很流畅。2006个人版杀毒+防火墙占用硬盘空间不到35MB。2007我还没有正式用,但感觉有点不如2006版厚道了! 防火墙:智能性非常好,不需要那么烦琐的设置,非常简单设置规则就够了,这是我的感觉,我用的墙不多。至少一点:咖啡的规则设置为严格(更严格一级便是锁定断开网络),连接PPLive网络电视,一点不卡。其他的我试用过的防火墙,正常的网络连接很多都麻烦。 企业版对比:咖啡的企业版拥有更多的拥趸,但是我认为,企业版的那些设置规则,是需要网管设置好,然后给菜鸟用的。我不喜欢,因为杀软和防火墙,我认为智能性是第一的,所以我只推荐个人版,而且个人版的杀毒和监控能力,跟企业版同样的强大。 缺点: 1.没有自带的卸载程序,即使用非常优秀的卸载工具,也很难卸载干净,网上所谓的专用卸载工具也更不可能,卸载后,注册表一定要手动清理才行。 2.有些流氓软件,他不报毒,而且和平相处,比如:yahoo! 3.咖啡的扫描速度虽然还可以,但是扫描器的启动速度很慢,需要忍受! 二、Dr.Web(蜘蛛) 蜘蛛是世界第一的杀毒引擎,我觉得这毫无疑问!他的启发式扫描技术和虚拟脱壳技术都是第一的,似乎还没有什么壳可以绕过蜘蛛。也曾是1994年第一个可以根除OneHalf病毒的杀毒软件。另外,2006年末和07年初最猖狂的熊猫烧香病毒,灭掉了卡巴、咖啡、诺顿、冰刃、江民、瑞星等等几乎所有的著名杀毒软件和辅助工具,而Dr.Web及采用Dr.Web引擎的驱逐舰杀毒软件,由于其引擎的优越性,是很少几个没有被病毒关闭的著名杀软。 在我的电脑中,一直有蜘蛛的绿色版,而且便于朋友使用,我特意弄了一个汉化界面和英文原版界面,并总结了一点升级和汉化界面使用说明。在杀毒处理设置中,我全部采用了移动指定文件夹的方式,目的就是用它来抓取病毒样本。 在一次帮人弄毒入膏肓电脑时,我先用了别的杀软在安全模式中扫描,虽然也杀出上百个病毒,但是却总是被病毒中途关闭或者扫描到某病毒程序时,无法杀毒而造成引擎停止。或许是病毒太强了,有写入系统服务的DDos、backdoor,mplay.com,还包括威金,流氓软件、常见木马等等。没办法请出 Dr.Web,安全模式下不到20分钟的扫描后,抓取病毒样本71个,另外直接灭掉病毒110多个,再修复了一下注册表,系统恢复了!蜘蛛杀毒能力到底多么强大,我看也不必多说了! 还有,我想大家肯定知道360safe和qqkav这个2个软件,它们在蜘蛛的扫猫结果中,是被列为病毒的范畴!360safe我个人肯定不会去用,也不了解,但我想周鸿祎那个家伙在其中做点龌龊行为,一点都不奇怪!杀掉的原因,我想跟qqkav的原因差不多。 那么qqkav呢?它是有此我用蜘蛛扫D盘的时候就把它干掉了。技术角度讲,qqkav肯定要加壳来防止被病毒破坏,虽然qqkav处理某些qq病毒还算可以,但是它本身却也恶意捆绑浏览器主页,说它是病毒便是理所索应当的了。这点来看,qqkav的丑恶行为没能骗过蜘蛛虚拟脱壳技术,但是其他杀软都无法达到蜘蛛的水平,至少同样是启发式扫描+虚拟脱壳技术的McAfee,却没能判断qqkav是病毒。而卡巴跟360safe的关系,就更不用说报毒了。 看来做龌龊行为还想要挂完美的牌坊,除非把你的加壳能力做到可以绕过蜘蛛! 资源占用:蜘蛛的监控能力如何我不知道,有人说有点烂,我不知道,我不用,但肯定的是:资源占用很少,文件体积也很小,我的绿色版还不到10MB。 驱逐舰杀毒软件:驱逐舰完全是买的蜘蛛的杀毒引擎,虽然Dr.Web不可能把核心技术卖出去,但是驱逐舰肯定足够强大了,脱壳能力在某些专业网站评测肯过卡巴斯基,用来当作蜘蛛的汉化版本使用也可以推荐! 推荐:适合玩家,遇到很难干掉的病毒时,才需要用蜘蛛。 三、Kaspersky卡巴斯基 网上一句话很中肯:卡巴斯基被神化了!卡巴杀毒能力确实是很强的,但是其引擎的优秀性,比蜘蛛还差一大截,我也使用过卡巴斯基,由于机器配置太差,没法使用,所以我用的时间很短。但我对这个杀软还算比较了解。真因为很多人对他过分推崇,所以,我很多时候都在挑卡巴的缺点,目的其实是让人正确认识卡巴斯基这个优秀的杀毒软件。 杀毒方式:卡巴杀毒的方式,第一依据不是文件或者程序行为的判断,而是病毒库。卡巴病毒库非常的优秀,病毒库与引擎结合的也非常好,但是感觉卡巴太过依赖他的病毒库了,强势的地方反而是缺陷。所以,他的脱壳能力,有的时候却不如咖啡!卡巴的拥护者可能不愿承认,但事实不可否认!综合来说,卡巴的杀毒能力仅弱于蜘蛛,其他的包括卡巴的模仿者都还要差点火候! 监控能力:卡巴的后台监控能力弱,这是不可否认的。比如开启迅雷等下载工具的监控,一个含有病毒的压缩包下载后就会被卡巴删除。但是如果关闭卡巴的下载后扫描,压缩病毒包下载到硬盘后,卡巴的监控就差了很多,可能你会很容易把病毒解压出来,或者双击运行病毒文件,卡巴都没法组织病毒发作,只能是这时候发现病毒,怎么办?这时候才是真正的卡巴斯基,杀毒!所以,卡巴更适合玩家,对于有重要资料的人,并不太适合! 资源占用:卡巴占用系统资源实在太多了,网上有些拥趸似乎不承认,认为自己优化一下就没问题。但是任何事情都是相对的。在一台纯净的系统上,安装卡巴斯基后,不管你怎么优化,只要主监控打开,你去对比纯净系统看PF值增加,我想不承认卡巴浪费资源的人会闭嘴的! 四、Norton诺顿 这个本应该是世界第一的杀毒软件,给我的感觉却很孱弱,有朋友用诺顿,虽然还没有被病毒干掉,但是病毒搞得电脑没法用,都说诺顿的监控能力如何如何,甚至应该是第一,但是我认为它比咖啡的监控差得远! 网上评的缺点:1.误杀、误报率高;2.防火墙发现病毒后,提示信息无法关闭;3.升级慢。 资源占用也很让人吃惊,杀毒能力也似乎不行,没有更深入研究过,无权多说......略过!但强烈不推荐! 五、Avast! Professional V4.7 这个杀软我比较喜欢。只是我用的时候,没有太留心它的监控能力,只是杀毒能力不错,结合Ewido做系统保护是比较安全的组合。软件系统资源占用也让人满意。而它最值得推荐的莫过于DOS杀毒功能了。DOS是最好的杀毒环境,杀毒可以更彻底。但是DOS杀毒使用起来却很麻烦,比如需要软驱,软盘,或者现在先进一点的用U盘。而Avast,却只需要你界面设置下次系统启动前杀毒,就可以体验DOS杀毒了!这种方式也叫BootScan方式。国产的江民杀毒,从KV2006开始,便增加了这种方式,应该是学习,至少说是参考了Avast的吧! 推荐给手动杀毒能力弱的用户! 六、KV江民杀毒 让人惋惜的国产杀毒软件,科技发展的今天,不前进就等于后退。江民KV2005还是值得怀念,至少那时候我用它,系统虽然也时常有点病毒,但是都是小问题,启动江民引擎扫毒就可以了。启动速度、杀毒速度都比较快,资源占用都不大,在国内,杀毒能力也足够强大了。但是2006、2007除了功能增加,比如 BootScan(不过是DOS杀毒而已,这个名词纯粹炒概念),但是杀毒能力上,却似乎没有增强了。 江民的一些特殊病毒专杀工具等还是不错的,可以推荐,比如威金的专杀! 推荐江民KV2005,我的朋友单位仍然在用的,安全性还不错! 七、瑞星 这个无耻的家伙我不得不多说。用卑劣的手段做宣传,获得政府的支持,银子赚了,却没有去搞技术研发,引擎仍然那么烂!瑞星的监控实在是觉得很差很弱智:记得我用的时候,遇到很明显的病毒时,瑞星监控:怀疑是病毒,是否杀毒?(搓鸟,这事还需要怀疑!),ok,下次同样处理,杀毒!!过会儿,又是那毒,怀疑,杀否?(KAO,我很忙,这么笨还杀毒干嘛?还总出来对话框耽误我用电脑) 刘旭时代,起码瑞星还能杀杀自己放出去的病毒,而现在呢?可能瑞星公司里连可以写出像样病毒的人都没有了吧?网上流传瑞星公司的程序员自爆内幕,造成磁盘自检错误的问题并非完全捏造。再看下边这段瑞星2007的技术分析,您,还用瑞星吗?(以下关于瑞星的引用) --------------------------------------------------------------- [color=blue]《电脑安防论坛》->『国内杀软』->瑞星2007虚拟脱壳引擎测试评价(论坛版主:mervynlove) [url=http://www.dn66.net/read.php?tid-11852.html]http://www.dn66.net/read.php?tid-11852.html[/url] 单纯从虚拟机技术上说,瑞星的VM是很不错的,但从杀毒产品上来说,比较失败。瑞星当初为了对付以后可能存在的加壳病毒而研究虚拟机,应该说是比较有眼光和远见的,但经过多年直到今日,这个庞大的脱壳虚拟机只是为了应付商业宣传,从具体杀毒效果上来说,对上,比不过卡巴的脱壳引擎,比如卡巴基本是静态脱壳,速度极快、脱壳类型极多、且这个引擎与他们自身病毒库高度结合;也不比木马克星之类的末流木马查杀工具,因为当前木马病毒技术含量急速下降,外加某些特定原因,造成事实上大量传播的危害性木马采用同种文件体,也就是说查杀时候甚至不需要脱壳(即使他们本身有壳)。反观瑞星这个虚拟机模块,不仅臃肿,而且速度不够快,且仅能对付一般的压缩壳,数年时间闭关研制这个所谓的高级技术,也导致该模块与病毒库之间的脱节、耦合性非常差。[/color]---- ----------------------------------------------------------- 八、金山毒霸 我的电脑也可以说裸奔过,是开了一个金山网镖2006,那种情况可以做一个不好听的比喻:那等于是戴着安全套裸奔!使用分析??浪费口水!!! 九、AST(超级巡警) 这个号称国内黑客开发的,弥补传统杀毒软件不足的杀软西,虽然能力还差很多,但我还是想支持一下! 我对它的使用,更多是用作杀毒辅助工具,他的很多启动查看功能,系统服务查看等功能,在杀毒的时候很方便,直接定位到病毒去手动杀。 内存占用还可以,启动时占用比较高,运行稳定后会降下来,官方绿色版的体积很小,6.5mb左右,监控灵敏性也很好。杀毒能力差点,某次给人杀毒时,安全模式下,遇到某毒无法删除时,引擎也停止了,结果我用手动方式强制删除对应的那个病毒程序后,引擎再次开始运行。看来能力还是弱了一点! 最新的V3正式版,启动速度改善很明显,不知道是否还会有引擎被病毒卡死的问题,但是有一点,引擎增加了应用程序规则的功能(所说的主动防御),而这些,还是6.25mb的体积内的,我很推荐这个软件! 当然,2006年末到07年初这些时间里,熊猫烧香这个著名的毒王,却是超级巡警最先截获,最先开发了专杀工具,最终提出了彻底解决办法!无论怎样,国产的东西如果厚道的,确实去搞技术研发的,我会一直支持的! 十、其他 这些我没有用过,只是个别有人求我远程杀毒,或者朋友用的说不错的,我相信朋友的话,简单提一下: 1.费尔托斯特----国产的杀软,之前不支持杀壳,最新的2007还不了解!朋友是说这款国产杀软是很不错的! 2.东方微点------瑞星原开发人刘旭,最新研发的综合安全防御软件,但是看他的介绍中:首创动态仿真反病毒专家系统等,又是炒概念,启发式杀毒而已,但是国产的新技术,当一回东方微点的小白鼠又有何妨呢? 3.eTrust-------CA公司的杀毒软件+防火墙功能,2006年杀软排行第九名的,自称:系统资源占用的小巧强悍的杀毒软件,也用了启发式杀毒,而且据说防护功能做的很好!有朋友使用,简单考察过觉得还行,我个人推荐试用! 4.ESET NOD32--------国外权威机构的评测很高,微软御用了四年的杀毒软件。网上的有点评价:1.占用资源较小;2.防毒能力强;3.它可以在文件下载过程中就检测出是否感染了病毒,包括rar、zip中的文件(典型的启发式杀毒);4.扫描速度超快。但是,我和我的几个朋友,都不推荐ESET NOD32,防毒能力真的强吗?杀毒能力真的可以达标吗?我们不推荐!!!! **********************【补充,总结】*********************** 【主动防御技术】 要补充的,当然就是这个当前最热炒的概念,看了很多关于主动防御技术概念的解释,或许我的技术原理知识欠缺太多,因为理解这些概念以后我却越发的糊涂......先不说,来看我搜集整理的一点点主动防御技术的分析介绍。 一、主动防御技术的概念(此段完全整理引用) 概念上来讲,是指对未知病毒的防范,在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。 也就是有些人所说的:通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征,如修改注册表、自我复制、不断连接网络等,综合这些病毒行为特征来判断其是否为病毒。 江民防病毒专家称,主动防御核心技术有“虚拟机技术”“病毒行为阻断技术”等。虚拟机技术用软件虚拟CPU环境,激活病毒,判断其是否是病毒并清除。 瑞星病毒专家称,“主动防御”一是在未知病毒和未知程序方面,通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面,通过对漏洞攻击行为进行监测,这样可防止病毒利用系统漏洞对其它计算机进行攻击,从而阻止病毒的爆发。 二、那主动防御技术在系统运行时,到底是什么样的? 使用过防火墙的人都知道(xp系统也有自带的防火墙),经常询问是否放行一个进程访问网络,或者对有不明连接进入本机而发出警告。我认为防火墙也是运用了所谓的“主动防御技术”一个方面。 来切实体验一下:具体是哪个安全厂商的主动防御不便明说。我使用其监控后,并没有什么明显的感觉,因为是先启动系统和几个软件,再启动的防御系统。但过一会便开始了询问,XX程序,是否允许....还有msn也开始被其询问(软件都已经运行)。之后又下载东西,打开迅雷下载,很灵敏,询问是否允许运行(这更像防火墙软件的应用程序规则),但是在下载开始之后,似乎像噩梦一样,某端口尝试链接,是否运行?......每一个下载节点都要询问,试想如果是 p2p的网络电视如:ppstream,pplive之类的,可要怎么看下去?-----这点,主动防御我不喜欢! 三、但还有其他的问题要探讨: 关于主动防御的“行为判断”技术识别,我想上篇大家看过启发式扫描技术的介绍,那么启发式扫描技术的判断行为方式,又与主动防御的行为判断有什么根本的区别吗?国内最早涉及主动防御技术的,应该是江民KV2005的未知病毒扫描程序了,但是这个技术也没能用来监控,而对病毒的查杀能力上,也没有能够超过世界知名厂商所应用的启发式扫描的杀软。主动防御技术主要用在监控上,那么启发式扫描技术如果也完善在监控方面的话,同样是对程序行为方式的判断,它们的判断机理上又有什么样的实质区别呢? 我们再看上面江民防病毒专家的说法,核心技术要“虚拟机技术”,“病毒行为阻断技术”,那么“病毒行为阻断技术”的实际意义在哪里?既然是判断行为,难道 msn这种程序都还要询问用户吗?至少启发式扫描技术不会对msn这类程序当作病毒处理掉!那么主动防御的行为判断到底判断了什么呢?似乎仅仅是做到了怀疑,然后交给用户去处理,我说过我的所喜欢的安全类软件,智能性(处理)第一! 另外,我们都应该知道一点,虽然国内单纯的“虚拟机技术”并不差,但是结合的杀毒中,虚拟脱壳技术就相比国外差的多了。那么这个核心技术应用在主动防御中,谁能用的相对更完善一点呢? 说实话,后边补充的这点东西,我是完全带着疑问的,对于主动防御这个新技术,我没有能力感觉出来优越性! --------------------------------------------------- 列举几个我所知道的,对外宣传使用了主动防御系统的软件! 1.诺顿网络安全特警NIS2006 2.卡巴斯基kis6.0 3.瑞星 4.金山毒霸KAV2005 5.江民KV2005 6.超级巡警AST V3.0 7.东方微点 *** 这样看来,国内的主动防御技术的应用超过了国外,应该自豪了!! ----------------------------------------------------- 【总结】: 对于杀毒软件的选择,许多人总是问别人该用那一个。其实大多数情况下,如果你有一个很干净的的上网习惯(正常的网站被挂马毕竟少数),不随意打开未知邮件中的附件和链接等等,绝大多的杀软都可以保证你的安全了!剩下的选择条件就看你的硬件配置、与其他重要软件冲突、使用习惯等方面考虑了。 如此一来,再加上点支持国产的想法,江民KV2005、费尔托斯特、AST超级巡警、东方微点...我个人都推荐,甚至金山毒霸也可以考虑。那么某个著名国产杀毒软件为什么不推荐?沉重点说,在杀软与病毒的较量中,让它死去之后重头再来或许更厚道点,我这样说希望看者明白一点,前进的民族工业仍需牺牲百姓的利益来扶植,但长不大的阿斗却不可扶植! 而对于其他的杀毒软件,都有各自的选择喜好。比如我自己喜欢用病毒试验各种杀软,却有重要的资料,所以我选择McAfee,又弄了DrWeb、卡巴、AST、Ewido等等绿色杀软试玩。 杀软的对比,仅仅是站在技术角度的感受,毕竟我不是专业分析人员。那么杀毒软件的意义,对于不同使用的人,当然也不同! 然而对于不担心资料丢失,又有成熟的手动杀毒技术的纯玩家来说,或许杀毒软件没有任何意义!
|