六大新反病毒技術亟待成熟
安全廠商賽門鐵克發布警示稱,在今年過去的6個月裡,他們發現了211201個新的惡意軟體樣本,這比去年下半年增加了足足185%,這意味著每天世界上都有超過1100個唯一的病毒被產生.
隨著編寫病毒的門檻越來越低,世界上的病毒數量開始呈爆炸式增Zhang,但是用戶方面的防護卻遠遠滯後於日新月異的病毒技術,因此如何研究新的反病毒和防護技術成了安全廠商們搶占下一代市場的最大關鍵.
1、 虛擬機技術
這個技術最早被VMWARE和微軟掌握,並經過大量的開發研究,達到了一個世界高峰.隨後因為病毒的泛濫,導致防毒軟體在行為判斷和病毒庫的支持下無能為力.隨後國外的防毒廠商開始進行了第一次防毒軟體變革,那就是虛擬機技術.
運用此技術的特點就是在當前系統中虛擬出一個簡單,但是可以運行程式的一個虛擬系統,這樣一些加了殼的病毒就會脫掉那層殼,然後交給防毒軟體的病毒庫和行為判斷等技術予以清除.但是弊端也逐漸出現,那就是高資源占用,甚至有時會導致防毒軟體和系統的假死現象.所以後來防毒廠商開始削弱的虛擬機的地位,逐漸研究新得虛擬技術.這種新型虛擬技術,在2005年得到了有效的運用例如NOD32、MCAFEE等等.
這項技術也成為21世紀黑客首要攻破的對象之一.不過隨著黑客技術的不斷增強,這項技術也被逐漸攻破,因為前面已經說到,這項技術需要耗費大量的系統資源,導致系統不能正常運行.所以新型虛擬技術運用了部分的虛擬機技術.這就導致了,虛擬機不能完全發揮其原有的功效.只能運用病毒庫來彌補不足.這就是防毒軟體的滯後性!
此項技術運用比較出色的有:NOD32、MCAFEE等等
2、 沙盤仿真(虛擬機的繼承人)
這項技術,最早是系統還原類軟體的專利,例如Shadow系統或者NORTON goback的safe mode率先啟用的.這項技術是說在原有的系統上預先留出一些空間,然後讓用戶進行操作,重新啟動後,原先的數據全部被清除,還原到原始狀態的一種技術.而防毒軟體也同樣看見了這一點.於是就將此項技術和虛擬機技術進行了整合.推出了沙盤仿真技術.技術原理和虛擬機大致相同,同樣是虛擬出一個系統,然後讓病毒運行.從而進行清除.但是此項技術卻解決了虛擬機的弊端,高資源占用!但是此項技術與虛擬機技術現在是平分秋色.因為隨著虛擬機的不斷改善.已經將資源的占用下降到一定水平!所以有網友認為:虛擬機=沙盤仿真
確實從功能上說是完全一樣的,但是原理卻不同!至於最後誰能占得先機還需要時間的考驗.
此項技術運用出色的有:kaspersky 7.0 or 8.0
3、 主動防禦
防毒軟體具有滯後性,這是業界公認的一個防毒軟體弊端,而主動防禦卻很好的解決了這個問題,尤其是卡巴斯基6.0和東方微點將這一技術推廣到了極致.其優秀的防禦系統主動防禦能夠解決90%以上的未知病毒.這不僅能夠解決病毒庫更新的滯後性,同時也對技術人員的減負.但是此項技術的弊端就是容易出現誤報現象,這也就是為什麼說卡巴斯基老出現誤報的原因之一.
我想這種弊端永遠不會解決.例如誤報過的QQ,QQ是國內IM市場的領頭羊,有著75%以上的份額.所以用戶非常之多,所以在QQ中,騰訊也加入了一些帶有廣告性質的程式.例如SOUSOU等,這些字元在主動防禦體系里,有著極其危險的行為,所以出現了誤報.當然這種錯誤,不是不能解決,現在主要修復途徑為添加白名單和更新病毒庫兩種!
HIPS具體詮釋
HIPS是一種能監控你電腦中檔案的運行和檔案運用了其他的檔案以及檔案對註冊表的修改,並向你報告請求允許的的軟體.如果你阻止了,那么它將無法運行或者更改.比如你雙擊了一個病毒程式,HIPS軟體跳出來報告而你阻止了,那么病毒還是沒有運行的.引用一句話:”病毒天天變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題.”. HIPS是以後系統安全發展的一種趨勢,只要你有足夠的專業水平,你可以只用HIPS而不需防毒軟體.但是HIPS並不能稱為防火牆,最多只能叫做系統防火牆,它不能阻止網路上其他計算機對你計算機的攻擊行為.
因為病毒天天變種天天出新,使得殺軟可能跟不上病毒的腳步,而HIPS能解決這些問題.
我們個人用的HIPS可以分為3D: AD(Application Defend)--應用程式防禦體系、RD(Registry Defend)註冊表防禦體系、FD(File Defend)檔案防禦體系.它通過可定製的規則對本地的運行程式、註冊表的讀寫操作、以及檔案讀寫操作進行判斷並允許或禁止.
所謂hips(主機入侵防禦體系),也就是現在大家所說的系統防火牆,它有別於傳統意義上的網路防火牆NIPS.
二者雖然都是防火牆,但是在功能上其實還是有很大差別的:傳統的nips網路防火牆說白了就是只有在你使用網路的時候能夠用上,通過特定的tcp/ip協定來限定用戶訪問某一ip地址,或者也可以限制網際網路用戶訪問個人用戶和伺服器終端,在不聯網的情況下是沒有什麼用處的;而hips系統防火牆就是限制諸如a進程調用b進程,或者禁止更改或者添加註冊表檔案.
打個比方說,也就是當某進程或者程式試圖偷偷運行的時候總是會調用系統的一些其他的資源,這個行為就會被hips檢測到然後bomb出警告詢問用戶是否允許運行,用戶根據自己的經驗來判斷該行為是否正確安全,是則放行允許運行,否就不使之運行,一般來說,在用戶擁有足夠進程相關方面知識的情況下,裝上一個 hips軟體能非常有效的防止木馬或者病毒的偷偷運行,這樣對於個人用戶來說,中毒插馬的可能性就基本上很低很低了.但是,只是裝上個hips也不是最安全的,畢竟--用戶穿上的只是個全透明防bomb衣也還是會被某些別有用心的人偷窺去用戶的個人隱私的,所以,選用一款功能強大而小巧的防火牆也是很重要的-- 起碼有防止DDOS攻擊和防arp欺騙攻擊功能(對區域網路用戶尤為重要)!
此項技術運用出色的殺軟:SCS、卡巴斯基6.0 7.0、東方微點、終結者(不完全HIPS)
SSM、 CA HIPS
4、 NTFS流防毒技術
此項技術是在系統運行時,察覺NTFS區域內微弱的數據流變化,從而檢查是否擁有病毒或惡意程式的出現.此項技術大部分防毒廠商都已經運用,所以不再熬述.
5、 防禦零日攻擊的利器
NORTON率先運用了這一技術,此項技術目的在於防護IE等瀏覽器的上網遭遇的攻擊.這種攻擊可以控制用戶的電腦,盜取數據等行為,並且被防毒廠商譽為最嚴重的攻擊行為之一,因為這種攻擊運用了系統打補丁得時差,攻擊電腦,所以危害性非常之高,所以norton為此風險研發出了norton antibot,用於預防此類攻擊.當然運用此項技術的還有人多安全廠商.
6、 釣魚攻擊
這是一種釣魚攻擊常用於一些網路銀行等場所.黑客先製作一個和正常網站一樣的鏡像網頁然後通過細微變化的網站地址,獲取用戶的點擊.但是此網站並不具備正常網站的功能,只具備記錄帳號等一些非正常合法的功能,此類威脅,一些知名的防毒軟體都已經可以正常防範了,例如諾頓、卡巴斯基、微軟等等!
