时间:2022-10-12 11:31:22
近几年,病毒发展和以往有了很大不同:感染型病毒减少,而木马数量暴增;病毒与杀毒软件公开对抗,免杀方法层出不穷;木马呈现牟利化趋势。其中牟利化是病毒发展核心原因,正因病毒研发目的由早期技术验证转向了谋取利益,促使黑客开发新木马并主动研发免杀技术以躲避杀毒软件的查杀,实现其经济利益最大化目的。
特征码技术作为上一代反病毒技术,曾发挥了重要作用,但面对当前黑客大规模制造各种以窃取商业秘密、虚拟财产、银行帐号等为目的的木马程序病毒发展新趋势时,其已明显力不从心。黑客为避免木马被杀毒软件发现,开发出多种简单易行的病毒免杀技术,无须重新编写病毒程序,只需经过简单加壳、加花指令、定位并修改病毒特征值等技术方式处理,很短时间内可大批量制造出可逃避传统杀毒软件查杀木马变种。更为严峻的是,已出现了自动加壳机和免杀机,甚至还实现了商业化,作者每天对其进行更新,升级速度超过了杀毒软件。利用这类工具自动生成的木马变种,往往能够躲过最新版杀毒软件的查杀。木马生产的“工业化、自动化”导致木马越来越难以被反病毒公司收集,更令用户担心的是,在反病毒公司收集到样本并能升级查杀木马之前,这些木马已造成的损失如何处理?传统杀毒技术落后于病毒技术的发展已是不争事实,它已不适应当前反病毒需求。
熊猫烧香来了,熊猫到底在为谁祈祷我们不得而知。但给了特征码技术致命一击的,也正是这只烧香的熊猫。李俊仅仅靠频繁变种这简单的体力劳动,就轻易击败了某些杀毒软件。只能跟在李俊屁股后面跑,李俊升级病毒,杀软升级病毒库,周而复始,反反复复,问题得不到解决。甚至有些反病毒公司公开挂出了白旗,“只要病毒作者不再升级,我相信任何一家安全软件厂商都能轻松‘搞掂’。”
病毒“蓬勃发展”,反病毒技术必然也要升级。2005年提出的主动防御,在2006年底被熊猫烧香催化开来,反病毒产业酝酿转型,特征码退居次席,主动防御走上了前台。2008,顺理成章成了主动防御普及年。
虽然杀毒软件防范已知病毒具有比较好的效果,但是对于未知病毒(杀毒厂商尚未捕获到的病毒和新出现的病毒),传统的杀毒软件就显露出致命的缺陷――几乎完全没有防范能力。近几年,不断肆虐的病毒就充分说明这一点,每当病毒大规模爆发时,我们不断看到的现象是反病毒公司纷纷要求广大用户必须紧急升级杀毒软件。因此,面对层出不穷的新病毒,如何有效防范未知病毒成了反病毒领域必须解决的首要问题。
其实主动防御并没有那么神秘,主动防御和杀毒软件同属于反病毒软件范畴,区别在于杀毒软件只能处理已知病毒,而主动防御软件则可以有效处理未知病毒,也就是说主动防御软件其实就是新一代的可以处理未知病毒的反病毒软件。反病毒软件之所以被称之为反病毒软件,是因为其具有自动识别病毒、准确报出病毒和自动清除病毒三大基础功能。主动防御软件的“新”体现在主动防御可以准确自动识别未知病毒、准确报出未知病毒和自动清除未知病毒。
例如,我们定义这样一条病毒判断规则:如果MSN接收的某个文件运行后,模拟键盘或鼠标动作,自动点击MSN的“发送文件”命令,把它或它的生成物自动发送给其他MSN联系人,则这个文件就是MSN蠕虫病毒。此规则可用于发现“性感烧鸡”MSN蠕虫病毒,以及所有采用这种传播方式的MSN蠕虫病毒,而不论该病毒是什么时候编的,也不论是已知的还是未知的。
当然,“主动防御”技术也不是万能的,它也不能发现100%病毒,主动防御技术首先需要有前瞻性,同时也需要不断发展、不断创新。从实用的角度上看,我们并不需要“主动防御”技术能够防范几年后的病毒,只要能防范不远将来出现的新病毒就可以了。即使“主动防御”产品不能防范某个具有重大创新的病毒,经升级后,可防范所有此类病毒,相比传统杀毒软件,“主动防御”极大提高了产品防范新病毒的能力。
从防病毒卡纯粹的防御,到特征码事后杀毒,再到如今主动防御实时监控、杀防一体化,反病毒技术一路走来。用户无需知道技术的变革,但是会深切体验到完备的安全技术带给他们的方便与快捷。