去年以来,由于一些新出的病毒搞的一些著名的杀毒软件非常被动(去年肆虐一时的熊猫烧香就是其中典型的代表),让不少用户抱怨的同时也让大家发现了当前很多主流杀毒软件技术上的不足,甚至有一些媒体说他们的杀毒技术的核心特征码技术是过期药,只能在一些用户遭殃后再出手治病救人。各个厂商之间的口水大战也让不少用户茫然。
为了弥补自己技术上的不足,挽回自己在用户中技术落后的形象。各大主流厂商纷纷推出主动防御技术来补充自己产品在对付未知威胁方面的不足,国产杀毒软件继东方微点首次在国内推出以行为杀毒混合特征码的主动防御技术之后,其他著名杀毒软件也纷纷宣布实现了主动防御技术,他们的主动防御技术大多是基于原先已经很成熟的启发式杀毒技术,其中江民还加入了一个基于HIPS技术设计的防御模块,虽然对用户要求偏高,但是对于高手来说确实安全系数提高了不少。国际厂商中动作最大的是卡巴斯基,继在6.0版本中加入基于行为杀毒技术的主动防御模块后,新的7.0版本又重新加入启发杀毒模块,加上他强大的特征码技术,同时拥有三大杀毒技术的卡巴斯基从表面上看似乎他的技术构成已经臻于完美。国际厂商中的诺顿也宣布在新版本中也加入行为杀毒技术,似乎一夜之间所有的杀毒厂商都有了很大的技术提升,纷纷从买过期药变成卖包治百病的灵丹妙药……
主动防御究竟是什么?
估计有不少用户被各大厂商炒作的各种技术术语搞的晕头转向,其实各大厂商主动防御技术不过基于二种技术:一种是基于虚拟机设计的启发杀毒技术,一种是基于程序行为判断的行为杀毒技术。下面分别来分别小小的介绍一下。
启发杀毒技术是目前比较成熟的对付未知病毒的技术,以NOD32,Dr.Web、迈克菲,Avira、VBA32等为代表,其中以NOD32把启发杀毒发挥的最淋漓尽致,NOD32在业界有启发之王的美誉,凭借这一项绝技,NOD32不但常年在VB100测试中笑傲江湖,还在很多测试未知病毒的测试中常常名列前茅。以NOD32的启发杀毒技术为例,他监控系统时候先用他内置的特征码库判断,如果判断不出的就把程序纳入NOD32内置的一个微型虚拟机内运行来根据他的行为进行危害判断,发现没有问题再放行(说一句题外话,虚拟机杀毒是一个比较成熟的老技术,不像某些厂商说的是他们创新)。这种技术理论上是可以对付所有的病毒,可惜目前由于系统开销问题,所有的启发杀毒引擎只能用简化的虚拟机,这样一些设计先进的病毒可以判断出这还是虚拟机从而不发作,如果用更复杂的虚拟机,虽然可以发现更多的病毒,但是系统开销又很大(不过好在新的INTER和AMD的CPU都内置了虚拟化技术,虚拟机的运行速度加快了不少)。启发引擎只能在速度和效率上找平衡,这也是当前所有启发杀毒技术的无奈。还有一个问题是由于启发杀毒技术为了加速判断,经常需要运用一些规则来判断,但是由于判断的规则有些严厉有些宽松,严厉的经常有误杀问题,宽松的也容易放过一些真正的病毒,所以启发杀毒引擎在规则的严厉程度的选择上是一个很大的问题,就是以启发成熟著名的Nod32也有误杀的问题,譬如他就把常用的五笔输入法安装文件判断为危险程序,要清除他!其他的启发杀毒软件譬如Dr.Web和Avira相对的误报就更多些,由于启发技术已经被运用多年,技术已经很成熟,所以目前几乎所有的主流杀毒厂商都在拥有特征码杀毒的基础上集成了启发杀毒引擎。他是目前主动防御技术的主力军,也是被研究的最多的,意味着能够突破他的病毒也会有不少。
行为杀毒技术是这两年热炒的杀毒技术,其中在国内以东方微点为先行者进行了很好的探索,在国际上也有很多厂商也在这方面进行突破,其中名气最大的是卡巴斯基,他在6.0版本中集成了比较完备的行为杀毒技术,其他譬如印度的Sanrasoft公司的Rudra,美国的Cyberhawk和英国的Prevx1都以行为杀毒技术为核心来构建自己的产品,其他一些大牌主流厂商也开始跟进。行为杀毒技术很好解释,就是程序在系统中实时监控所有的程序行为,发现他有危险的行为就立即制止并报警。如果再通俗些解释,其实就是把启发杀毒中在虚拟机中验证的程序行为拿到真实系统中来监控。
从理论上说,行为杀毒技术是最完美的杀毒技术,但是由于各个厂商技术水平的不同,他们的行为杀毒技术实现的程度也不同,最基础的就是江民和诺顿,只是集成了HIPS技术,监控系统中的所有行为他都要汇报让用户来干预,对于了解系统的软件高手来说是利器,可以体验完全掌控系统的快感,对于普通用户来说那没完没了的提示就是恶梦。再进一步就是卡巴斯基这种,因为已经内置了一些行为数据库,可以进行智能行为判断,一些正常的程序行为自动被过滤了,并且可以根据分析出的危险行为进行分级,虽然有一些误报,但是还是给用户一种对付未知病毒的手段。第三种就是微点、Cyberhawk和Prevx1这种基本完全靠行为杀毒吃饭的杀毒软件,他们都内建了比较完善的行为分析数据库,大大的减少了需要用户进行干预的次数,智能化程度已经比较高了。但是由于目前Win系统过于庞大,各种应用软件的编写和运行方式千差万别,对于杀毒软件公司来说完全判断出所有的安全行为和危险行为基本是不可能完成的任务,所以微点也有一些特征码技术来补充完全靠行为杀毒的不足,Cyberhawk宣传自己是主流杀毒软件的良好补充……,加上和启发杀毒一样需要对误报进行控制,现在可以这样说,纯粹靠行为杀毒来对付未知的病毒在当前是不可能完成的任务!
(自动进行了系统进程分类的微点)
拥有主动防御技术的杀毒软件还有二个特殊成员,一个是迈克菲的企业版,他拥有HIPS技术,但是不是传统的那种,他可以自己定义各种安全规则,如果设定严格的话,可以打造出非常安全的系统,不过这也是软件高手的游戏,普通用户只能用他内置的规则和一些高手定义好的规则。另外一个神秘的软件是印度的Sanrasoft公司的Rudra,国内目前他的资料很少,只是传说他不但拥有优秀的行为分析能力,还有一种特殊扫描的技术,三分钟扫描一次,发现不正常的危险行为就可以将系统实时恢复到3分钟前的状态。
(迈克菲强大的自定义规则)
主动防御—不可能完成的任务?
了解了当前二种最主要主动防御技术后,我们就可以了解到其实各大厂商宣传的神乎其神的主动防御技术起码在当前并不能包治百病,他们不是对用户有很高的要求就是受制于各种客观原因造成目前技术无法做到尽善尽美,所以起码从当前来说,靠主动防御来对付所有的未知威胁还是一个不可能完成的任务!
当前在技术上最激进的就是卡巴斯基了,他的7.0版本同时集成了行为杀毒和启发杀毒技术,但是并没有让他在对付未知病毒方面笑傲江湖,在目前著名的未知病毒测试Av-comparatives测试中领先的还是Avira,Nod32等以启发著名的软件,卡巴斯基只能排在最后几名(奥地利的Av-comparatives未知病毒测试方式是这样的:把所有的杀毒软件病毒库都调整到三个月前,用这三个月新出的病毒来考验他们,根据杀除比例来排名,这种测试很简单也很公平!)按照这些测试的结果来对当前的主动防御技术来进行分析,还是已经成熟稳定的启发杀毒技术更有威力,靠行为杀毒为主对付未知病毒的卡巴斯基可以说是惨败。这方面不但说明了卡巴斯基的行为杀毒技术有待完善,也说明虽然一些炒作的很厉害,但是目前还不成熟的行为杀毒技术还难堪大任,无法独当一面。
未来的几种主动防御的技术发展应该是逐渐融合,因为启发杀毒的发展是靠行为判断和虚拟机设计的不断完善,行为杀毒的发展也是靠行为数据库的完善和分析能力不断加强,二种技术的未来发展趋势肯定是会互相借鉴互相渗透,不断融合。
附Av-comparatives最近的一次五月测试中的结果,(国内著名的卡巴斯基成绩很难看):
