【文章內(nèi)容簡介】 有一部分人就認(rèn)為主動防御就是注冊表監(jiān)控這東西，那么這太片面了。 現(xiàn)在病毒有哪些行為呢？擅自創(chuàng)建程序，創(chuàng)建自己的啟動項(xiàng)，將自己插入到別的進(jìn)程中，利用Rootkit編程隱藏自己…… 說到主動防御，我不得不說到的是System Safety Monitor（簡稱SSM）這款軟件，這個軟件屬于Hostbased Intrusion Prevention System（HIPS），它不是反病毒軟件，也不是防火墻軟件，卻能夠從小到每個進(jìn)程大到整個磁盤底層保護(hù)系統(tǒng)免受不良程序的危險，軟件的功能自然包括最常見的注冊表保護(hù)、文件保護(hù)、磁盤系統(tǒng)保護(hù)、防止進(jìn)程注入等，SSM的功能太強(qiáng)大，不多說。Kaspersky從V6開始引入了Proactive Defense，它的主動防御默認(rèn)并不開啟注冊表監(jiān)控，因?yàn)檫@種交互很麻煩，對普通用戶來說會帶來相當(dāng)多的麻煩，用戶看不懂這些注冊表監(jiān)控到底在提示些什么，因此Kaspersky Lab出于對用戶的考慮默認(rèn)并沒啟動這個功能，至于它的行為監(jiān)控模塊就值得稱道，通過內(nèi)置規(guī)則， 當(dāng)某程序試圖執(zhí)行時，行為監(jiān)控就會比對規(guī)則判斷是否為惡意程序，這種準(zhǔn)確度是相當(dāng)驚人的，最新的版本基本上能100%發(fā)現(xiàn)Rootkit，對于木馬、后門、蠕蟲等基本都能攔截，雖然報的名字很統(tǒng)一Trojan Generic，那些進(jìn)程注入、隱藏?cái)?shù)據(jù)發(fā)送、帶參數(shù)啟動IE等自然都不能逃出它的監(jiān)控（他的Proacive Defense彌補(bǔ)了了在啟發(fā)式方面的相對薄弱），有機(jī)會大家去用一用吧。國內(nèi)方面，瑞星目前僅有一個注冊表監(jiān)控，那么可以將其排除在主動防御之外，因?yàn)檫@個太膚淺，不過最近加入了一個防止直接通過瀏覽器執(zhí)行程序的功能，這個功能相當(dāng)值得稱道，通過IE中讀的人實(shí)在太多；毒霸沒有這個功能；江民的KV系列，從前幾個版本就有了注冊表監(jiān)控，后來發(fā)展到“木馬一掃光”，木馬 一掃光在最初包含了注冊表監(jiān)控、進(jìn)程注入、鍵盤記錄幾個功能，初步實(shí)現(xiàn)了一些簡單的主動防御模塊，可能因?yàn)榻换]做好，在給用戶帶來安全的同時也帶了了麻煩，用戶不知道KV到底在提示些什么，現(xiàn)在到了KV2007，木馬一掃光被降級到了純粹的注冊表監(jiān)控范圍，其他的功能交給了“系統(tǒng)監(jiān)控”，網(wǎng)絡(luò)訪問控制（主要是HTTP、EMAIL）、進(jìn)程注入保護(hù)、擅自運(yùn)行程序、直接內(nèi)存訪問、文件訪問控制、文件完整性保護(hù)等樣樣俱到，雖說不是特別全面，不過已經(jīng)涵蓋了絕大部分，這些對于有經(jīng)驗(yàn)的用戶來說是個福，對于初級用戶來說就有些麻煩，得看以后怎樣改進(jìn)了，最好直接判斷程序可能是什么或是什么。 當(dāng)然，主動防御有個缺點(diǎn)，就是必須當(dāng)程序似乎執(zhí)行時才有效，靜態(tài)查毒不生效。 啟發(fā)式與主動防御，國內(nèi)軟件KV在這方面的發(fā)展和應(yīng)用略占優(yōu)勢，我們只能期待會更好，沒有國人不支持自家的東西。第3章 款常用的殺毒軟件技術(shù)初探3．1江民殺毒軟件反病毒核心技術(shù)3．1．1廣譜查殺技術(shù)　　傳統(tǒng)的查殺方法只是簡單對比病毒特征代碼，如果某文檔中含有與程序設(shè)計(jì)中設(shè)置的病毒代碼一致的話，那么就認(rèn)為該被檢查文檔含有該病毒，因此一個新的病毒只有獲取了病毒樣本之后，對它進(jìn)行分析處理后才能讓新版本的檢查程序識別并清除。而江民殺毒軟件KV系列利用最新的廣譜查殺病毒方法，采用智能分析技術(shù)，提取出一類病毒的共同特征，不論該病毒出現(xiàn)多少變種，用戶的電腦都可以得到有效的安全防范。因此無論是從檢測計(jì)算機(jī)病毒的數(shù)量、清除病毒率還是檢測病毒的速度等都有很大的提高，可以安全、快速、有效地清除引導(dǎo)區(qū)病毒、郵件病毒、惡意網(wǎng)頁、木馬程序、黑客程序、VBS病毒生產(chǎn)機(jī)、宏病毒、蠕蟲以及其他類型病毒?！氨忍貏討B(tài)濾毒”技術(shù)　　江民殺毒軟件KV系列產(chǎn)品采用先進(jìn)的比特動態(tài)毒濾技術(shù)來建立新的電腦網(wǎng)絡(luò)病毒實(shí)時過濾，從最底層抵御網(wǎng)絡(luò)中變化多端的病毒。比特動態(tài)毒濾是江民科技投入一年多時間，廣聚殺毒界最具權(quán)威的專家與程序員，潛心研發(fā)所推出的新一代針對網(wǎng)絡(luò)安全的查殺病毒技術(shù) ?！　≡摷夹g(shù)是基于網(wǎng)絡(luò)通訊的最底層來防范病毒，在系統(tǒng)啟動的同時就開始加載基于比特動態(tài)濾毒技術(shù)的實(shí)時監(jiān)控系統(tǒng)，使通過網(wǎng)絡(luò)傳輸?shù)娜魏挝募家ㄟ^這道檢測網(wǎng)，在內(nèi)存階段即開始對病毒進(jìn)行實(shí)時查殺。，從最底層抵御網(wǎng)絡(luò)中變化多端的病毒。比特動態(tài)毒濾是江民科技投入一年多時間，廣聚殺毒界最具權(quán)威的專家與程序員，潛心研發(fā)所推出的新一代針對網(wǎng)絡(luò)安全的查殺病毒技術(shù) ?！　≡摷夹g(shù)是基于網(wǎng)絡(luò)通訊的最底層來防范病毒，在系統(tǒng)啟動的同時就開始加載基于比特動態(tài)濾毒技術(shù)的實(shí)時監(jiān)控系統(tǒng)，使通過網(wǎng)絡(luò)傳輸?shù)娜魏挝募家ㄟ^這道檢測網(wǎng)，在內(nèi)存階段即開始對病毒進(jìn)行實(shí)時查殺?！　〔捎昧吮忍貏討B(tài)毒濾技術(shù)的KV2005，基于網(wǎng)絡(luò)通訊的最底層來防范病毒，在系統(tǒng)啟動的同時就開始加載基于比特動態(tài)濾毒技術(shù)的實(shí)時監(jiān)控系統(tǒng)，使通過網(wǎng)絡(luò)傳輸?shù)娜魏挝募家ㄟ^這道檢測網(wǎng)，在內(nèi)存階段即開始對病毒進(jìn)行實(shí)時查殺。對于一些疑難病毒，無須重啟電腦進(jìn)入DOS狀態(tài)，在WINDOWS正常狀態(tài)下即可徹底清除?！　V2005無需解壓，即可自動查殺如ZIP、ARJ、CAB、LZH、RAR等壓縮格式文件病毒；也可以識別多種可執(zhí)行程序的壓縮格式，如PKLITE、LZEXE、WWPACK、ASPACK、UPX等，讓那些隱藏極深的病毒也不得不原形畢露。內(nèi)置高速掃描引擎可以掃描多種格式的壓縮文件所生成的文件，包括PKZIP、PKLITE、ARJ、Microsoft Compress、Diet、LZEXE和 LZH等多種流行的壓縮軟件生成的文件。對于多重壓縮的文檔也提供搜索病毒功能，即一個文檔由兩種以上的壓縮軟件后生成的壓縮文檔，也可以進(jìn)行搜索病毒，使得隱藏再深的病毒也難以逃脫?！　V2005的文件監(jiān)控部分采用了驅(qū)動級編程技術(shù)，將查病毒模塊直接移植到CPU（中央處理器）的核心層RING0層（也即系統(tǒng)核心層）進(jìn)行工作，在核心層直接監(jiān)控病毒，讓工作于系統(tǒng)核心態(tài)的驅(qū)動程序去攔截所有的文件訪問。采用了驅(qū)動級編程技術(shù)的KV2005，與操作系統(tǒng)底層技術(shù)結(jié)合更緊密，兼容性更強(qiáng)，占用系統(tǒng)資源更小。 系統(tǒng)級深度防護(hù)技術(shù)　　KV2005率先支持WIN XP SP2安全中心功能，與操作系統(tǒng)緊密結(jié)合，徹底改變以往殺毒軟件獨(dú)立于操作系統(tǒng)單一應(yīng)用模式。KV2005還對WIN XP SP2安全中心的功能進(jìn)行了延伸，研發(fā)了KV安全中心，使得所有非WIN XP操作系統(tǒng)的用戶也能使用上安全中心功能。同時，KV2005查病毒模塊在CPU核心層RING0層（也即系統(tǒng)核心層）進(jìn)行工作，以上與操作系統(tǒng)內(nèi)核進(jìn)行緊密配合保護(hù)系統(tǒng)安全的技術(shù)被稱為“系統(tǒng)級深度防護(hù)技術(shù)”。 立體聯(lián)動防殺技術(shù)　　KV2005殺毒軟件與防火墻聯(lián)動防毒、同步升級，防殺病毒更有效。在KV2005的控制中心，以及安全中心，都有江民黑客防火墻的聯(lián)動模塊，可以對防火墻進(jìn)行開啟、關(guān)閉、設(shè)置等操作。遇到具有病毒、黑客等綜合特征的混合型病毒時，KV2005殺毒軟件病毒庫和江民黑客防火墻的規(guī)則庫會同步升級，對防范類似于“沖擊波”“震蕩波”等混合型病毒更有效。　　“虛擬機(jī)技術(shù)”即是在電腦中創(chuàng)造一個虛擬CPU環(huán)境，將病毒在虛擬環(huán)境中激活，根據(jù)其行為特征，從而判斷是否是病毒。　　木馬行為阻斷技術(shù)是針對計(jì)算機(jī)病毒發(fā)展新形勢，由江民反病毒研究中心悉心開發(fā)的計(jì)算機(jī)防病毒新技術(shù)。提取木馬病毒添加到操作系統(tǒng)注冊表的鍵值，建立獨(dú)立的病毒鍵值特征庫，動態(tài)監(jiān)視所有修改注冊表的行為，對該行為與病毒鍵值特征庫進(jìn)行比照，對與病毒特征對應(yīng)的病毒行為進(jìn)行阻斷，不在病毒鍵值特征庫的行為，則發(fā)出警報，提示用戶系統(tǒng)注冊表被修改，由用戶決定是否放行。未知病毒主動防御技術(shù)融合了多種病毒行為特征，主動防御未知病毒。同時采用了先進(jìn)的黑白名單技術(shù)，將用戶常用的操作系統(tǒng)和應(yīng)用程序列入白名單，有效解決了誤報的問題。未知病毒主動防御技術(shù)是對病毒行為阻斷技術(shù)的創(chuàng)新應(yīng)用。3．2瑞星殺毒軟件2007 全新技術(shù)亮點(diǎn)第八代虛擬機(jī)脫殼引擎（VUE），有效查殺加殼、變形病毒。目前有許多病毒、木馬、間諜軟件、后門程序等，都會使用多種加殼工具對自身進(jìn)行加密、變形，以躲避殺毒軟件的查殺。瑞星截獲的病毒樣本統(tǒng)計(jì)，約有90％以上的病毒文件進(jìn)行過“加殼”處理。而國內(nèi)較為流行的“灰鴿子”木馬，加殼率幾乎達(dá)到100％。有些病毒為了躲避殺毒軟件的查殺，甚至加了近十層殼。 “加殼”就像給病毒文件穿了“馬甲”，對于識別能力不強(qiáng)的殺毒軟件就會被這件“馬甲”蒙蔽，而放過病毒。 眾所周知，目前殺毒軟件主要依靠特征碼技術(shù)查殺病毒。由于加殼軟件會對源文件進(jìn)行壓縮、變形，使加密前后的特征碼完全不同。對于脫殼能力不強(qiáng)的殺毒軟件，對付此種病毒就需要添加多條不同的特征記錄。而如果黑客再采用一種新的殼進(jìn)行加密變形，則對于此類殺毒軟件來說又是一個新的病毒，從而無法查殺。 瑞星歷時4年，研發(fā)出第八代虛擬機(jī)脫殼引擎（VUE）。該引擎基于瑞星完全自主知識產(chǎn)權(quán)的虛擬機(jī)技術(shù)，大幅提高了查殺加殼變種病毒能力。使用該引擎之后，瑞星殺毒軟件殺毒更快更徹底，資源占用更少，病毒庫比傳統(tǒng)軟件減小了1/3。