众所周知，病毒、木马等技术不断在更新，产生和蔓延的速度也更快。当前的病毒主要以加了壳的特洛伊木马和蠕虫为主，病毒的制造者也不再像以前一样，仅仅是炫耀他们那高超的计算机和网络水平，而是将获得经济利益作为目标，盗取用户私密信息、开辟系统后门、入侵大型网络服务器等等，给个人或团体带来直接经济损失。而反病毒软件的表现，显然是不尽人意的，虽然安全厂商也在不断的努力提高自己的杀毒引擎技术，但他们的表现以及其产品的杀毒、防毒的效果是大家有目共睹的，对于目前纷纷被各安全厂商普遍标榜的“主动防御”技术，能为我们的计算机世界开辟一片宁静的“天空”吗？

    一、病毒加壳VS杀软脱壳：
    为什么现在的木马、蠕虫都普遍加壳呢？所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变，还有一些加壳软件可以压缩、加密驱动程序，以达到缩小文件体积或加密程序编码的目的，加壳后的病毒增加了自我保护的能力，使杀毒软件查杀起来不再那么轻而易举。对于加了壳的病毒，杀毒软件要想清除它，那么首先需要对其脱壳，脱壳主要有硬脱壳和动态脱壳两种。

    硬脱壳：硬脱壳就如同压缩和解压缩一样，找出加壳软件的加壳算法，写出逆向算法。由于很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

    动态脱壳：由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“壳”。 动态脱壳是抓取病毒在内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

    脱壳能力的强弱将直接影响杀毒软件查杀的效果，纵览目前国内市场主流的杀毒软件，其中脱壳能力最强的非卡巴斯基莫数，它现在能脱4000种以上的“壳”。脱壳能力弱的，对付“加壳”后病毒需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。若其脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力。

    虚拟机脱壳：近年来，这种技术已经得到安全界的公认。它是给病毒虚拟一个仿真的运行环境，同时将虚拟环境与用户的计算机进行隔离，因此不会影响用户的计算机和正常的使用。但由于编写虚拟机系统需要解决虚拟cpu、虚拟周边硬件设备、虚拟驱动程序等多个方面的难题，因此，不是每种杀毒软件都拥有此引擎。

    二、广谱查杀VS启发式：
    广谱查杀技术被国内几大安全厂商普遍采用，如江民、瑞星、金山等，江民KV系列一直延续着“广谱查杀”技术，这种技术对变种病毒以及宏病毒很有效，偶尔大家或许能看到KV报名为“Win32.Type”的可疑文件，这便是其收获。瑞星的行为分析技术似乎主要针对Windows平台，它通过病毒行为判断来分析病毒的可能性，相对比较来说，比KV的效果似乎更加明显，而整体看来作用也不大，很少发现报未知病毒的情况。对于金山毒霸，它最初使用的是Dr.web启发式的引擎，现在因为完全用了自己的引擎技术，使我们很难在其身上看到启发式的影子。

    启发式在国外基本上已经是一种比较成熟的技术，它是在极短的时间内虚拟一个环境让病毒执行，然后根据其行为与正常程序执行的区别进行判断，通常一个正常应用程序在最初执行的是检查命令行输入有无参数项、清屏和保存原来屏幕显示等指令，而病毒程序最初通常执行的是直接写盘操作、解码或搜索某路径下的可执行程序等指令。这种查杀的方式在降低误报率的同时，可以尽可能多的发现未知病毒。国外杀毒软件中以NOD32、McAfee、Dr.web等为代表，其实卡巴斯基（Kaspersky）也有启发式杀毒引擎，偶然也能查出未知的病毒，它借助其业界首屈一指的病毒特征码提取和强大的脱壳技术，在国外众多的杀毒软件中脱颖而出，被国内用户普遍采用。而国内在此启发式引擎技术方面的形势就相距甚远了。

    三、主动防御技术：
    主动防御技术这是目前炒得比较热的一个概念。从概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前先阻止病毒的运作。主动防御技术主要是针对未知病毒提出来的病毒防杀技术。也就是所谓的：通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征（如自建进程、自建启动项、修改注册表、自我复制、不断连接网络等），综合这些病毒行为特征来判断其是否为病毒。

    业内专家解释称：主动防御更像是多种杀毒技术的结合体，核心技术是将“虚拟机技术”和“病毒行为阻断技术”等技术结合起来，虚拟机技术用软件虚拟CPU环境，激活病毒运行，从而判断它是不是病毒并予以杀除。之所以主动防御技术被炒得火热，当然离不开各安全厂商们不遗余力的宣传，但笔者认为这与他们之前的表现不无关系，病毒的猖獗也起到了推波助澜的作用，用户们太需要一款真正能够帮助他们解决问题的产品了。

    SSM（System Safety Monitor）：说到主动防御，不能不先说说SSM这款软件，这个软件是HIPS（Host-based Intrusion Prevention System）的成果，它既不是反病毒软件，也不属于防火墙，却将主动防御技术运用得炉火纯青。小到每个进程，大到整个磁盘底层，都在其保护范围之内，使其免受不良程序的危险，当然也包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等功能，SSM的功能相当强大，有兴趣的朋友可以下载使用(http://syssafety.com/download/ssm-2.0-free.exe)。

    卡巴斯基（Kaspersky）：卡巴从它的6.0版本开始引入了“Proactive Defense”，在默认设置下并不开启注册表监控，因为卡巴认为这种交互非常繁琐，会给普通用户带来比较多的麻烦，普通用户往往并不能弄清楚各个注册表项的作用，因此在默认情况下并没启动这个功能。而卡巴最值得品味的是它的行为监控模块，通过内置规则， 当某程序试图执行时，行为监控就会比对规则判断是否为恶意程序，它的准确度非常高，最新的版本几乎能100%发现Rootkit(采用线程注射的DLL木马)，对于木马、后门、蠕虫等基本都能拦截，并都以“Trojan Generic”提示用户。那些进程注入、隐藏数据发送、带参数启动IE等自然都不能逃出它的法眼。

    诺顿（Norton）：不久前诺顿表示，将继Norton 360中加入其首个主动式防御技术“SONAR”后，于2008年推出新版杀毒软件产品“Norton AntiVirus”时，加入开发代号为“Canary”的浏览器弱点防御技术。

    趋势（TrendMicro）：趋势科技虽然在其杀毒软件与邮件安全等产品，都采用了同属主动式防御的启发式技术，但对于来自网页的众多新型攻击，趋势科技则是打算打造大规模的网址数据库，每日对比3亿笔以上的网页，以实时更新的有害网页名单来对抗来自网页的攻击。

    瑞星：虽然瑞星开始时的注册表监控功能离主动防御的范畴还相距甚远，而它最近加入的一个防止直接通过浏览器执行程序的功能，却是相当值得推荐的，因为通过IE中毒的人实在太多。

    江民KV：它在很早的几个版本中就已经包含了注册表监控的功能，后来演变为“木马一扫光”。“木马一扫光”在刚开始的时候包含了注册表监控、进程注入、键盘记录几个功能，也可以说是实现了一些简单的主动防御模块，可能因为交互的原因，在给用户带来安全的同时也伴随着麻烦，因为很多用户根本无法弄懂KV到底在提示什么。现在，这个功能被改为了类似瑞星的单纯的注册表监控，其他的功能交给了“系统监控”，网络访问控制（主要是HTTP、EMAIL）、进程注入保护、擅自运行程序、直接内存访问、文件访问控制、文件完整性保护等样样俱到，虽说不是特别全面，不过已经涵盖了绝大部分。由于用户水平的不同，KV的这些功能给用户的“感觉”自然也不相同，而往往初级用户认为这很“麻烦”，但这并不能抹杀KV在这方面所做的努力，作为一款国内杀软，已经是难能可贵了。

    四、概念炒作？
    主动防御有个缺点，就是必须当程序似乎执行时才有效，静态查毒不生效。一直以来，病毒和反病毒技术不断在赛跑，即便研究出主动防毒技术，还存在被病毒突破的可能。所以，主动防御技术并不能百分之百将病毒完全阻止，人们所以为的“杀病毒于无形”可能性只是一种理想状态。由于目前病毒的技术以及杀毒引擎的核心技术都掌握在黑客和安全厂商手中，对于“主动防御”是否如同以往的杀毒技术一样为概念炒作，也许只能用时间来证明这一切了。

    结束语：病毒产生之后除了要依靠防病毒公司的产品进行杀毒之外，作为用户也应在使用时加强注意。反病毒专家不断的反复强调，用户在使用时计算机时，除对需要对一些未知文件进行谨慎的处理外，对互联网上的一些网页也应特别注意，不要一味只依赖杀毒软件，不点击非信任链接、不浏览莫名网站的用户也可以做到“主动防御”。