監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關閉

殺毒軟件防御工具沒有實質(zhì)性的創(chuàng)新

申請免費試用、咨詢電話:400-8352-114

安全對于網(wǎng)絡來講至關重要,魔高一尺,道高一丈,現(xiàn)在的殺毒軟件防御工具也未必能真正保證網(wǎng)絡的安全,病毒這種繞過方式在2011年得到非常廣泛的應用,而今再次落到必須和病毒拼響應速度的地步。


病毒繞過主動防御當前,殺毒軟件防御工具依賴文件鑒定開發(fā)了傳統(tǒng)的文件鑒定引擎,當文件被訪問、運行時,調(diào)用反病毒引擎對文件進行安全掃描,如果是黑文件(危險程序)就殺掉,白文件(安全程序)就放行。當類似主動防御的應用面臨大量的白文件時,包括白文件的后續(xù)動作,比如加載dll文件等,也被不再檢查直接放行了。因為若不放行,就面臨一個問題:連續(xù)的詢問嚴重打擾用戶,系統(tǒng)變得無法使用。


病毒和反病毒之間的斗爭處于持續(xù)的此消彼漲中。病毒為繞過殺毒軟件防御工具的主動防御,很快找到新招:將病毒代碼植入dll文件中,利用被鑒定安全的第三方軟件加載dll文件不校驗的漏洞,間接運行。而可以被病毒利用的軟件數(shù)以千計,連Windows自己的組件都不可避免。


正常文件為什么也危險還是拿實例來說明,如下圖,這是一個典型的網(wǎng)購木馬。


病毒程序是StormUpdate.dll,如果病毒作者直接編譯一個.exe可執(zhí)行文件,他會發(fā)現(xiàn)殺毒軟件判斷這個未知程序有異常行為而被建議阻止運行。于是病毒作者隨便找了一個正常的應用軟件,如暴風影音程序,這是一個合法的有數(shù)字簽名的商業(yè)軟件,所有殺毒軟件都判定這是一個正常程序。


當這個程序執(zhí)行時,殺毒軟件主動防御放行,于是含有病毒代碼的StormUpdate.dll(假冒的)被加載,接著含有主要病毒執(zhí)行代碼的Version.dat被加載執(zhí)行。最終,病毒繞過了殺毒軟件防御工具的攔截完全啟動。


還有更經(jīng)典的例子:在下面一包8個文件中,只有1個是病毒,其它全是正常文件,病毒的運行如同多米諾骨牌之間的接力。最終對用戶造成傷害的結果,由一系列看起來完全正常的軟件制造。


安全廠商的無奈殺毒軟件攔截不了病毒程序,正常的文件變得異常危險。這到底是為什么?簡單來說,就是病毒對殺毒軟件的工作機制了解得非常透徹,直接利用其體系漏洞。可悲的是,安全廠商明知道存在此問題,卻也無可奈何。因為白文件數(shù)以萬計,而且被億萬網(wǎng)民頻繁使用,沒有一個安全廠商有這個計算能力對白文件的后續(xù)執(zhí)行動作一一校驗。即便資源和能力,網(wǎng)民不堪其擾也不會答應。目前殺毒軟件應對這種繞過方式能夠做的,就是發(fā)現(xiàn)一例記錄一例。但治標不治本。病毒作者隨意更換下加載文件和路徑,殺毒軟件防御工具又會被輕松繞過。


殺毒體系多年未有實質(zhì)性變化事實上,殺毒軟件的基本理念已經(jīng)有許多年未曾改變,一直采用的基本思路就是基于文件的掃描、鑒定,這也是病毒摸透并攻破的根本原因。


最初,殺毒軟件只有一個文件掃描引擎,在對付文件不多的年代,夠用,速度也快,誤報率也低。隨著病毒的進展,大量病毒開始加殼,使用稀有的EXE壓縮工具打包。隨之殺毒軟件防御工具推出脫殼引擎,將文件解包后再調(diào)用文件引擎檢查。


新病毒出現(xiàn)的速度越來越快,文件引擎開始顯得有點手忙腳亂。殺毒軟件開始設計啟發(fā)式分析引擎,用代碼統(tǒng)計的方法,去檢查病毒常用的非法操作,從中發(fā)現(xiàn)病毒的普遍規(guī)律。


虛擬機引擎和啟發(fā)式類似,在虛擬空間模擬程序執(zhí)行,分析有害行為。這種做法的結果是消耗大量系統(tǒng)資源,掃描速度降低。但它也能發(fā)現(xiàn)新病毒。這些都是文件掃描引擎。


此后,部分殺毒軟件開始嘗試行為查殺,主動防御技術逐步普及。主動防御捕捉程序的動態(tài)執(zhí)行過程,而不是對文件進行靜態(tài)的檢查。執(zhí)行中一旦發(fā)現(xiàn)異常行為,立刻阻止危險程序的進一步動作,防止中毒事件發(fā)生。這個模型很理想,似乎不必再擔心新病毒問題了。


事實上,病毒程序和行為動作和正常程序沒有本質(zhì)差異,很多動作,正常軟件都有。于是頻繁的攔截提醒需要對正常軟件放行,不然就會嚴重打擾用戶操作。如今,如上面所述,病毒作者再次找到可以繞過的方法:利用正常軟件來啟動危險程序。貫穿殺毒軟件和病毒木馬之間的對抗史就可以發(fā)現(xiàn),雖然殺毒軟件防御工具進行了多次改變,但基于文件的鑒定體系一直以來從未改變。如果殺毒技術體系持續(xù)沒有實質(zhì)創(chuàng)新,未來的安全形勢堪憂。

編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡管理者最易犯的十大低級錯誤

◆網(wǎng)絡管理基礎知識:網(wǎng)路管理模式

◆學習高效網(wǎng)絡管理技巧三招五式

◆IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:41    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
相關文章:

泛普重慶OA快博其他應用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)