三、主动防御技术:
主动防御技术这是目前炒得比较热的一个概念。从概念上来讲,是指对未知病毒的防范,在没有获得病毒样本之前先阻止病毒的运作。主动防御技术主要是针对未知病毒提出来的病毒防杀技术。也就是所谓的:通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征(如自建进程、自建启动项、修改注册表、自我复制、不断连接网络等),综合这些病毒行为特征来判断其是否为病毒。
业内专家解释称:主动防御更像是多种杀毒技术的结合体,核心技术是将“虚拟机技术”和“病毒行为阻断技术”等技术结合起来,虚拟机技术用软件虚拟CPU环境,激活病毒运行,从而判断它是不是病毒并予以杀除。之所以主动防御技术被炒得火热,当然离不开各安全厂商们不遗余力的宣传,但笔者认为这与他们之前的表现不无关系,病毒的猖獗也起到了推波助澜的作用,用户们太需要一款真正能够帮助他们解决问题的产品了。
SSM(System Safety Monitor):说到主动防御,不能不先说说SSM这款软件,这个软件是HIPS(Host-based Intrusion Prevention System)的成果,它既不是反病毒软件,也不属于防火墙,却将主动防御技术运用得炉火纯青。小到每个进程,大到整个磁盘底层,都在其保护范围之内,使其免受不良程序的危险,当然也包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等功能,SSM的功能相当强大,有兴趣的朋友可以下载使用(http://syssafety.com/download/ssm-2.0-free.exe)。
卡巴斯基(Kaspersky):卡巴从它的6.0版本开始引入了“Proactive Defense”,在默认设置下并不开启注册表监控,因为卡巴认为这种交互非常繁琐,会给普通用户带来比较多的麻烦,普通用户往往并不能弄清楚各个注册表项的作用,因此在默认情况下并没启动这个功能。而卡巴最值得品味的是它的行为监控模块,通过内置规则, 当某程序试图执行时,行为监控就会比对规则判断是否为恶意程序,它的准确度非常高,最新的版本几乎能100%发现Rootkit(采用线程注射的DLL木马),对于木马、后门、蠕虫等基本都能拦截,并都以“Trojan Generic”提示用户。那些进程注入、隐藏数据发送、带参数启动IE等自然都不能逃出它的法眼。
诺顿(Norton):不久前诺顿表示,将继Norton 360中加入其首个主动式防御技术“SONAR”后,于2008年推出新版杀毒软件产品“Norton AntiVirus”时,加入开发代号为“Canary”的浏览器弱点防御技术。
趋势(TrendMicro):趋势科技虽然在其杀毒软件与邮件安全等产品,都采用了同属主动式防御的启发式技术,但对于来自网页的众多新型攻击,趋势科技则是打算打造大规模的网址数据库,每日对比3亿笔以上的网页,以实时更新的有害网页名单来对抗来自网页的攻击。
瑞星:虽然瑞星开始时的注册表监控功能离主动防御的范畴还相距甚远,而它最近加入的一个防止直接通过浏览器执行程序的功能,却是相当值得推荐的,因为通过IE中毒的人实在太多。
江民KV:它在很早的几个版本中就已经包含了注册表监控的功能,后来演变为“木马一扫光”。“木马一扫光”在刚开始的时候包含了注册表监控、进程注入、键盘记录几个功能,也可以说是实现了一些简单的主动防御模块,可能因为交互的原因,在给用户带来安全的同时也伴随着麻烦,因为很多用户根本无法弄懂KV到底在提示什么。现在,这个功能被改为了类似瑞星的单纯的注册表监控,其他的功能交给了“系统监控”,网络访问控制(主要是HTTP、EMAIL)、进程注入保护、擅自运行程序、直接内存访问、文件访问控制、文件完整性保护等样样俱到,虽说不是特别全面,不过已经涵盖了绝大部分。由于用户水平的不同,KV的这些功能给用户的“感觉”自然也不相同,而往往初级用户认为这很“麻烦”,但这并不能抹杀KV在这方面所做的努力,作为一款国内杀软,已经是难能可贵了。
四、概念炒作?
主动防御有个缺点,就是必须当程序似乎执行时才有效,静态查毒不生效。一直以来,病毒和反病毒技术不断在赛跑,即便研究出主动防毒技术,还存在被病毒突破的可能。所以,主动防御技术并不能百分之百将病毒完全阻止,人们所以为的“杀病毒于无形”可能性只是一种理想状态。由于目前病毒的技术以及杀毒引擎的核心技术都掌握在黑客和安全厂商手中,对于“主动防御”是否如同以往的杀毒技术一样为概念炒作,也许只能用时间来证明这一切了。
结束语:病毒产生之后除了要依靠防病毒公司的产品进行杀毒之外,作为用户也应在使用时加强注意。反病毒专家不断的反复强调,用户在使用时计算机时,除对需要对一些未知文件进行谨慎的处理外,对互联网上的一些网页也应特别注意,不要一味只依赖杀毒软件,不点击非信任链接、不浏览莫名网站的用户也可以做到“主动防御”。
