杀毒不如防毒,第2代主动防御初体验 上世纪80年代末,出现了第一个计算机病毒。紧接着,以清除病毒为目的,出现了杀毒软件,病毒与杀毒软件之间的抗衡便自此开始。时至今日,随着病毒的演变发展,杀毒软件也被迫经历了多次变革。 从技术角度来讲,历史上,杀毒软件主要采用的是特征码技术对病毒进行查杀。做为杀毒软件的常规技术,特征码匹配法具有准确度高、误杀率低的特点;但也有其致命的弱点:在时间上置后于病毒,必须先取得病毒样本,提取特征码,加入病毒库,然后才能查毒杀毒。对于未知病毒,无法进行检测和清除。在这种情况下,各大安全厂商开始研发新的杀毒技术,以求可以检测未知病毒。 主动防御,做为最成功的研究成果之一,近几年已逐渐被广泛使用并被用户认可。不同安全商对主动防御在具体的定义和技术实现中有所不同,通常主动防御设置在对文件、注册表、进程、网络访问等操作的控制上。病毒入侵系统的流程大至为:传播(网络途径、U盘、软件捆绑等)→病毒文件进入系统→病毒运行→为害系统(删除文件、感染系统文件、盗取密码、读写注册表、接受远程控制等)。主动防御可以在病毒运行前直接删除或做出警告、在病毒进行注册表读写、文件读写操作时提示用户。 其中真正有实用意义的是病毒在运行前的阻止或提示信息,因为:如果能在此处发现病毒,则可直接阻止病毒对系统的入侵。而如果已经运行了病毒,则病毒可能已对系统某些方面造成了破坏,此时再检测注册表、文件读写等行为进行防御,已没有多大实在意义。 当前国内外主流的杀毒软件都已引入并应用了主动防御功能,比如卡巴斯基、诺盾等。但各自在应用的深度和广度上有所不同,效果自然也不尽相同。本文将要介绍给大家的主动防御软件,可能目前不为很多人熟知,但其强大的功能与优势在国内甚至国际也堪称一流,甚至可以说,已经成为了第二代主动防御产品的先驱。如此褒奖的原因是:它在传统主动防御的基础功能上,更进一步的同时使用了病毒库、黑名单、白名单、用户层无挂钩拦截。该主动防御就是:“反木马病毒专家”的进程防火墙,如下图所示: 反木马病毒专家是国人开发的一款杀毒软件,曾在过去的两年中连续获得中国优秀共享软件称号,软件性能由此可见一斑。如上文所讲,该软件的进程防火墙使用了强大的主动防御技术,在防御拦截时,优先级为:病毒库>黑名单>白名单。当一个程序要启动时,先使用病毒库检测,如果发现是病毒,则会自动杀掉病毒,并弹出窗口提示用户,如下图所示: 如果在病毒库中没有发现该程序的匹配数据,则接下来进入黑名单库中检查,如果检测到,同样会自动进行查杀。如果在黑名单中也没有检测到数据,表明要运行的程序暂时没有被本软件记录,但不能完全保证就是安全的程序,还有可能是未知的恶意程序。因此这时程序依然不会被运行,而是进入白名单库中进行检查,如果是白名单中的文件,才会放行(放行后也会有提示窗口),否则会提示用户做出选择,如下图所示: 在此处理方式询问窗口中,用户可以自由选择运行程序,或是将其终止。而且在提示信息栏中,还有程序的相关提示信息,供操作参考,对用户而言可谓体贴入微。
如此这般,任何程序的启动都会经过众多项检测:若是病毒,直接清除,为系统提供了严密保护、若是正常程序,直接放行,又方便了用户操作,可以说真的是即安全又简单。 不管是直接清除了病毒,或是放行了正常程序,都会在软件中产生相应的记录,一切对用户完全透明,可供随时查看。 传统主动防御在技术上使用的是API HOOK技术,即通过挂钩用户层API或SSDT HOOK。如果恶意程序将API挂钩恢复到系统原始状态,则其主动防御功能可被直 接跳过,成了摆设。在现实中这种情况也是频有发生,这也就是为什么有些用户使用了主动防御软件却还是会莫名其妙中毒的原因。前文曾提到,反木马病毒专家的进程防火墙使用的是用户层无挂钩拦截技术,此种方式不依赖于API HOOK,因此从根本上杜绝了被病毒绕过的可能,只要软件在运行,主动防御就在时刻保卫系统的安全。 最后提醒广大用户,使用安全软件,一定要到安全的下载站或软件官方网站下载,这样才可保证下载到的软件安装包是安全无毒的。本文所提到的反木马病毒专家,官方网站是:http://www.81915.com/ 
