现在那多的恶意软件，让我们头痛不已，如何清除企业环境中这些不断演化的“臭虫”是我们最关心的事情。由于恶意软件的编写者其目的是为了掠夺金钱，与以往相比，管理者更需要将其从系统中赶走。

　　签名的局限性

　　在定位恶意软件时，传统的模式中存在着一个问题。从历史上看，这种模式依赖于基于签名的方法来查找受害人计算机上恶意软件的特征。但在恶意软件与反恶意软件的较量中，恶意软件的架构已经发生了巨大的变化，因而，基于签名的检测方法的有效性就大打折扣。

　　特别是由于代码的随机化改变了恶意软件的行为方式，使得恶意软件看起来不再像签名模式所描述的那样，因而签名模式就更加无法识别恶意代码了。

　　这是基于签名的检测方法的一个致使弱点。为了使签名可用，开发人员需要找到新恶意软件的某个版本，然后，对其实施逆向工程，找到可以唯一识别它的特征。确认了唯一性的元素，开发人员需要将此结果编码到签名中，然后发布给众多的服务器和客户端用于检测。

　　基于行为的检测

　　不管其感染载体或签名是什么，所有形式的恶意软件的最终目标都是为了实现有限的几个目标。赢利是当今恶意软件的首要目标，其它的目标包括如下这些方面：

　　1、数据删除：批量删除系统上的数据。

　　2、数据泄露：这包括泄露个人或金融信息，用户名及口令，或为了窃取数据而对用户数据进行配置。

　　3、重定向：改变一个系统或应用程序的行为，执行其它功能，如将用户转到一个经精心设计的网站。

　　4、监视：为实现上述目标，监视用户的活动。

　　由于恶意软件的安装和处理机制复杂多变，而其目标却很有限，所以业界就需要一种不同的恶意软件确认机制。基于行为的检测就是另外一种架构。

　　不妨思考一下企业环境中的反恶意软件产品。其配置可以不断地扫描系统和正在运行的进程，查找疑似的恶意软件。其签名每天或每小时都要更新。如果对这种软件进行配置，使其可以查找系统上的任何动作行为，其效果又将如何

　　在这种情况下，为反恶意软件客户端进行编码，查找某些类型的行为就更简单了。不管恶意软件的变化如何试图逃避检测，在它试图完成其任务时，其恶意活动都会被客户端发现并阻止。同样地，客户端也可以跟踪非法活动的源头，并进行移除等修复活动。由于犯罪过程容易识别，所以客户可以很快地将其阻止和清除。如果受害系统上没有启动适当的行为中止和清除过程，尽管客户端会抑制恶意行为，但计算机仅会受到局部保护。

　　多管齐下

　　虽然基于行为的方法对于确认和防止恶意行为非常出色，但基于签名的方法对于真正确认和清除特定的恶意软件类型和实例也许更好。综合多种方法的反恶意软件产品可以更深入地探查服务器和桌面。因而，系统架构师、软件设计师和安全管理者还应当考虑下面这些可以更深入地确认和移除恶意软件的技术。

　　内核级保护

　　从软件的层次来看，反恶意软件产品越接近内核，就越有能力确认恶意软件活动。在恶意软件(如rootkit是一个很好的例子)成功地将自已在反恶意软件引擎和内核之间隐藏起来时，反恶意软件产品就很难扫描并定位恶意代码。相反，在反恶意软件产品直接在内核上层工作时，就有能力监视所有的输入和输出。例如，最新版本的Windows就具备此特征。

　　预启动扫描

　　rootkit(根瘤)将自身入侵到文件系统中的方式非常隐密，所以对其清除也很困难。在所有其它的方法都失效时，找到系统中已安装的rootkit的一种解决方案，是从两个不同的角度查看系统。第一个角度是从文件系统自身。第二个角度是从该文件系统的一个卸载实例来看。首先，分别查看这两种角度的不同扫描结果，如果发现了任何的不同点，都可以认为这涉及到恶意软件试图掩藏其自身的代码。这种扫描可以更有效地查找和清除恶意软件。

　　可执行层防火墙

　　以Windows为例，默认情况下，它并没有什么逻辑来决定哪些进程是否该执行。因此，任何试图赢得处理器计算能力的进程都可以被运行。许多环境中所需要的是一种基于可执行层的防火墙。这种防火墙可以使管理员确认系统上应当被运行的进程，不属于环境的进程都被阻止运行。这种系统“防火墙”有助于防止某些类型的恶意软件的执行，还可以防止虽合法但不适当的以及有潜在风险的应用程序的运行，如一些文件交换程序、游戏及其它可能导致感染的应用程序。

　　小结

　　当今的反恶意软件工具必须站得更高，并且要更加精密，因为恶意软件自身正变得日益复杂。对于使用了传统的诊断工具和肉眼，“成功”检测和清除恶意软件的系统来说，在新形势下必须引入新工具来防止恶意软件的发生。非常重要的一点是，要使用多种选择、多种机制来查找恶意软件，以便于从整体上保护IT环境，这需要软件开发、软件管理、系统维护和管理、安全管理等多个方面的共同