您当前的位置: 首页 > 教育

安全革命杀毒软件新技术路在何方

2018-11-05 09:25:48

安全革命 杀毒软件新技术路在何方

2007年新杀毒技术逐渐成熟的一年。杀毒软件逐渐运用了诸多新技术。例如国际知名厂商卡巴斯基6.0的主动防御,卡巴斯基7.0的沙盘,动态仿真,HIPS。诺顿的ANTIBOT,SONAR、MCAFEE出色的防御规则。瑞星的虚拟机,微点的动态防御。还有各个杀毒软件都具备的NTFS数据流查杀技术,行为判断,未知病毒检测等等。

这些技术不仅是对新病毒的挑战更是对用户安全的一次革命。杀毒厂商正好也看中了这一点。抓住了这个契机,并开展了广告宣传架势。但是对于初级电脑用户来说,HIPS,沙盘,动态脱壳,动态仿真,虚拟机到底是什么,有什么用,是否会拖慢系统,对病毒的抵抗是否能够上升到一个新的高度,同时也是一些初级用户选择杀毒软件犹豫的地方。所以本文将介绍一些技术概念,带领用户理性的选择适合自己的杀毒软件。

1、 虚拟机技术   这个技术早被VMWARE和微软掌握,并经过大量的开发研究,达到了一个世界高峰。随后因为病毒的泛滥,导致杀毒软件在行为判断和病毒库的支持下无能为力。随后国外的杀毒厂商开始进行了次杀毒软件变革,那就是虚拟机技术。

运用此技术的特点就是在当前系统中虚拟出一个简单,但是可以运行程序的一个虚拟系统,这样一些加了壳的病毒就会脱掉那层壳,然后交给杀毒软件的病毒库和行为判断等技术予以清除。但是弊端也逐渐出现,那就是高资源占用,甚至有时会导致杀毒软件和系统的假死现象。所以后来杀毒厂商开始削弱的虚拟机的地位,逐渐研究新得虚拟技术。这种新型虚拟技术,在2005年得到了有效的运用例如NOD32、MCAFEE等等。

这项技术也成为21世纪黑客首要攻破的对象之一。不过随着黑客技术的不断增强,这项技术也被逐渐攻破,因为前面已经说到,这项技术需要耗费大量的系统资源,导致系统不能正常运行。所以新型虚拟技术运用了部分的虚拟机技术。这就导致了,虚拟机不能完全发挥其原有的功效。只能运用病毒库来弥补不足。这就是杀毒软件的滞后性!

此项技术运用比较出色的有:NOD32、MCAFEE等等

2、 沙盘仿真(虚拟机的继承人)   这项技术,早是系统还原类软件的专利,例如影子系统或者NORTON GOBACK的safe mode率先启用的。这项技术是说在原有的系统上预先留出一些空间,然后让用户进行操作,重新启动后,原先的数据全部被清除,还原到原始状态的一种技术。而杀毒软件也同样看见了这一点。于是就将此项技术和虚拟机技术进行了整合。推出了沙盘仿真技术。技术原理和虚拟机大致相同,同样是虚拟出一个系统,然后让病毒运行。从而进行清除。但是此项技术却解决了虚拟机的弊端,高资源占用!但是此项技术与虚拟机技术现在是平分秋色。因为随着虚拟机的不断改善。已经将资源的占用下降到一定水平!所以有友认为:虚拟机=沙盘仿真

确实从功能上说是完全一样的,但是原理却不同!至于谁能占得先机还需要时间的考验。

此项技术运用出色的有:kaspersky 7.0 or 8.0(8.0,12月左右出正式版)

3、 主动防御   杀毒软件具有滞后性,这是业界公认的一个杀毒软件弊端,而主动防御却很好的解决了这个问题,尤其是卡巴斯基6.0和东方微点将这一技术推广到了。其的防御系统主动防御能够解决90%以上的未知病毒。这不仅能够解决病毒库更新的滞后性,同时也对技术人员的减负。但是此项技术的弊端就是容易出现误报现象,这也就是为什么说卡巴斯基老出现误报的原因之一。

我想这种弊端永远不会解决。例如误报过的,是国内IM市场的领头羊,有着75%以上的份额。所以用户非常之多,所以在中,腾讯也加入了一些带有广告性质的程序。例如SOUSOU等,这些字符在主动防御体系里,有着极其危险的行为,所以出现了误报。当然这种错误,不是不能解决,现在主要修复途径为添加白名单和更新病毒库两种!

HIPS具体诠释

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,多只能叫做系统防火墙,它不能阻止络上其他计算机对你计算机的攻击行为。

因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。

我们个人用的HIPS可以分为3D: AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的络防火墙nips.

二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips络防火墙说白了就是只有在你使用络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联用户访问个人用户和服务器终端,在不联的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件。

打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.但是,只是装上个hips也不是安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内用户尤为重要)!

此项技术运用出色的杀软:SCS、卡巴斯基6.0 7.0、东方微点、终结者(不完全HIPS)

SSM、 CA HIPS

4、 NTFS流杀毒技术   此项技术是在系统运行时,察觉NTFS区域内微弱的数据流变化,从而检查是否拥有病毒或恶意程序的出现。此项技术大部分杀毒厂商都已经运用,所以不再熬述。

5、 防御O-day攻击的利器   NORTON率先运用了这一技术,此项技术目的在于防护IE等浏览器的上遭遇的攻击。这种攻击可以控制用户的电脑,盗取数据等行为,并且被杀毒厂商誉为严重的攻击行为之一,因为这种攻击运用了系统打补丁得时差,攻击电脑,所以危害性非常之高,所以norton为此风险研发出了norton antibot,用于预防此类攻击。当然运用此项技术的还有人多安全厂商。

6、 pushing攻击   这是一种钓鱼攻击常用于一些络银行等场所。黑客先制作一个和正常站一样的镜像页然后通过细微变化的站地址,获取用户的点击。但是此站并不具备正常站的功能,只具备记录帐号等一些非正常合法的功能,此类威胁,一些知名的杀毒软件都已经可以正常防范了,例如诺顿、卡巴斯基、微软等等!

以上基本是2007年比较新型的技术了,我们发表的目的是为了帮助初级用户扫扫盲,理性的选择杀软。

我们认为一个电脑是否安全取决于一个电脑是否具备基本的防御措施。一个安全的电脑应具备以下条件:杀毒软件+防火墙+防毒墙+HIPS+系统补丁+良好的使用习惯=100%安全。

制砂机设备
船用生活污水处理装置
洁净室
推荐阅读
图文聚焦