主動防禦,是未來發展的趨勢。主要有兩個方法,一是靜态防禦,就是我們常說的啟發式,傑出代表殺軟有:NOD32(48次通過VB100),德國小紅傘(單引擎掃描07年第一);第二方式是動态防禦(行為分析技術),就是我們常說的“主動防禦”,HIPS軟體(主機入侵防禦系統),就是通過人為地設定規則來達到動态防禦,傑出殺軟代表:微點,卡巴斯基的主動防禦子產品,邁克菲的規則。後者不适合新手。
當年,NOD32和紅傘,能夠單靠啟發式來對付熊貓燒香,當許多國内殺軟倒下的時候,仍然能堅持清除到底。而動态防禦方面,HIPS主要靠人為的判斷,不例如表現(規則好的對付熊貓燒香是輕而易舉的),微點,也是由頭殺到尾,是少數堅挺的殺軟之一,卡巴斯基,主防能攔截大部分,但它的主防通常被新手無視,是以卡巴使用者也不少遭殃了;邁克菲,沒用過,不好評論。
【啟發式病毒掃描的介紹】
啟發式殺毒
病毒和正常程式的差別可以展現在許多方面,比較常見的如:通常一個應用程式在最初的指令,是檢查指令行輸入有無參數項、清屏和儲存原來螢幕顯示等,而病毒程式則沒有會這樣做的,通常它最初的指令是直接寫盤操作、解碼指令,或搜尋某路徑下的可執行程式等相關操作指令序列。這些顯著的不同之處,一個熟練的程式員在調試狀态下隻需一瞥便可一目了然。啟發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查病毒軟體中的具體程式展現。
啟發式指的“自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能。”一個運用啟發式掃描技術的病毒檢測軟體,實際上就是以特定方式實作的動态高度器或反編譯器,通過對有關指令序列的反編譯逐漸了解和确定其蘊藏的真正動機。例如,如果一段程式以如下序列開始:MOV AH ,5/INT,13h,即調用格式化盤操作的BIOS指令功能,那麼這段程式就高度可疑值得引起警覺,尤其是假如這段指令之前不存在取得指令行關于執行的參數選項,又沒有要求使用者互動性輸入繼續進行的操作指令時,就可以有把握地認為這是一個病毒或惡意破壞的程式。
啟發式殺毒代表着未來反病毒技術發展的必然趨勢,具備某種人工智能特點的反毒技術,向我們展示了一種通用的、不需更新(較省需要更新或不依賴于更新)的病毒檢測技術和産品的可能性。由于諸多傳統技術無法企及的強大優勢,必将得到普遍的應用和迅速的發展。純粹的啟發式代碼分析技術的應用(不借助任何事先的對于被測目标病毒樣本的研究和了解),已能達到80%以上的病毒檢出率, 而其誤報率極易控制在0.1%之下,這對于僅僅使用傳統的基于對已知病毒的研究而抽取“特征字串”的特征掃描技術的查毒軟體來說,是不可想象的,一次質的飛躍。在新病毒,新變種層出不窮,病毒數量不斷激增的今天,這種新技術的産生和應用更具有特殊的重要意義。
【行為分析技術的介紹,以下是引用百度百科主動防禦的概念,實際上隻是狹義的行為分析技術】
在“主動防禦”技術的的實作上,主要是通過函數來進行控制。因為一個程式如果要實作自己的功能,就必須要通過接口調用作業系統提供的功能函數。以前在DOS裡幾乎所有的系統功能或第三方插件都是通過中斷提供的,在Windows裡一般是通過DLL裡的API提供,也有少數通過INT 2E或SYSENTER提供。一個程序有怎麼樣的行為,通過看它調用了什麼樣的API就大概清楚了,比如它要讀寫檔案就必然要調用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數,要通路網絡就必然要使用Socket函數。是以隻要挂接系統API(盡量挂接RING0層的API,如果挂接RING3層的API将有可能被繞過),就可以知道一個程序将有什麼動作,如果有危害系統的動作該怎麼樣處理等等。例如瑞星反病毒系統,使用者可以在它的安裝目錄裡找到幾個驅動檔案,其實這些驅動就是挂接了ntoskrnl.exe,ndis.sys等系統關鍵子產品裡的API,進而對程序的普通行為,網絡行為,系統資料庫行為進行監視的。
在此基礎上,使用者可以自己設想一下一個“主動防禦”型安全系統的一般操作流程:通過挂接系統建立程序的API,系統就在一個程序建立前對程序的代碼進行掃描,如果發現SGDT,SIDT,自定位指令(一般正常軟體不會有這些指令),就進行提示,如果使用者放行,就讓程序繼續運作;接下來監視程序調用API的情況,如果發現以讀寫方式打開一個EXE檔案,可能程序的線程想感染PE檔案,就發出警告;如果收發資料違反了規則,發出提示;如果程序調用了CreateRemoteThread(),則發出警告(因為CreateRemoteThread()是一個非常危險的API,正常程序很少用到,倒是被病毒、木馬用得最多)。
◆◆
評論讀取中....
請登入後再發表評論!
◆◆
修改失敗,請稍後嘗試