主动防御触动杀软的敏感神经

抓住蓝屏真凶

主动防御实际上是个在安全厂商中间说了很久的概念，早在2005年就由刘旭（原瑞星总经理兼总工程师）提了出来。随后，由他成立的东方微点也一直在做这方面的研发。现在，尽管东方微点由于种种原因还没有上市，主动防御却已风靡安全软件业内，卡巴、瑞星、江民等都在新版本中添加了主动防御的功能。那这主动防御是不是就是老F和小L说的那个“肇事者”呢？记者采访了瑞星反病毒工程师史r。

他介绍说，出现蓝屏一般是因为与其他一些基于驱动级的软件相冲突。“像网上银行和其他一些账号保护类的客户端程序，它们本身有一些驱动，就会与同样基于驱动级的主动防御起冲突，但杀软厂商会在先期进行大量测试，尽量避免蓝屏的发生，可也有些不知名的小软件，驱动写得非常不规范，他们会和绝大多数杀软的驱动有冲突。”他接着说，QQ变慢应该是由于一些病毒频繁攻击而造成的。开启主动防御后，有频繁攻击就会有频繁阻挡。这种情况下，可以等待杀软升级，把病毒杀掉。

杀软厂商眼中的主动防御

这么说，还真是这主动防御搞的鬼。但虽说这主动防御很先进，可怎么总感觉那么危险啊，老F说，“我还算懂点儿的呢，愣没看出这主动防御提示的那个风险文件被隔离后反而会蓝屏。”是啊，对普通用户来说，杀毒软件说“危险”的东西，那谁还敢不杀呀？

东方微点副总经理田亚葵对记者说，老F和小L的遭遇其实并不能算在主动防御的头上，因为主动防御本身有一套完备的理论实现体系，本不该出现老F和小L遇到的情况。在他看来，这是因为杀软厂商只告诉了用户，检测到危险程序这类含糊不清的信息，把判断是不是病毒的责任推到了用户身上。“是病毒就要明确告知用户，不是病毒就不要乱报影响用户，这才是主动防御应该做的”，他说。

事实上，主动防御和杀毒软件都属于反病毒软件的范畴，区别在于杀毒软件只能处理已知病毒，而主动防御软件则可以有效处理未知病毒和新病毒。“至于人们在讨论主动防御时常提到的HIPS（主机入侵检测系统），其实即不能自动识别病毒，又不能准确报出病毒，更不能自动清除病毒，所以业界将其归为程序动作拦截器而不是反病毒软件，确切地说并不能称得上是主动防御。”

主动防御靠谱吗？

记者在采访了几家杀软厂商后发现，其实不少厂商都称自己的主动防御是将HIPS和行为分析整合在了一起。史r告诉记者，瑞星2008的主动防御分为高中低3个级别，默认是中级，这时底层的HIPS会默认将一些用户不可能会去修改的系统设置保护起来，如果有东西要去修改这些设置会直接被拒掉，不会提示用户。而上层的行为分析则做得比较严格，只有非常符合病毒行为的才会报警，“这比较符合用户的习惯，但不可否认，也同时会出现漏报的情况。不过我们也会根据用户的反映来改变策略。”

对用户来说，我们并不需要了解那些技术细节，我们只关心主动防御到底是不是能“药到病除”。东方微点副总经理田亚葵说，目前像蠕虫和木马这样的应用程序层的病毒，主动防御已经足够能应付了。