矛与盾的较量 2007年安全技术展望
2018-06-11 来源:
1、逐渐完善的启发杀毒
启发杀毒技术是现在对付未知威胁的主要手段,启发分析技术可以分析程序编码,来判定程序是否具有恶意。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。不同于以特征码为基础的方法,启发杀毒技术可以检测出已知和未知的病毒,但是如果启发杀毒技术控制的不好,会产生不少误报(这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因)。目前世界主流杀毒软件厂商大多集成了这种技术,目前在启发技术上最成熟的是Eset公司的NOD32,他独特的虚拟机启发技术对于各种未知威胁的识别有很高的效率,同时更难得的是误报情况控制的非常好。凭着这项绝技,他世界各地的测试中获奖无数,其中在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中常常位居第一!
今年国产杀毒市场老大-瑞星公司在07版中也加入启发杀毒技术,加强了对于未知威胁的能力。相信在2007年会有更多厂商加入启发杀毒技术来对付误报问题,已经拥有启发技术的会不断调试自己的启发技术以解决误报问题。
2、虚拟机杀毒逐渐完善流行
虚拟机技术在杀毒软件中现在也有非常多的运用,特别是在启发杀毒技术中,一些启发技术比较成熟的杀毒软件(譬如NOD32、DR.Web、McAfee等)都在他们动态启发杀毒技术中运用了虚拟机技术。
启发虚拟机杀毒技术的原理是这样:他们在读取文件的时候,自动创建一个简化的虚拟机环境让文件在环境中运行,如果在虚拟机环境中发现文件有危险的行为就直接删除或者报警!不过现在由于效率问题,这种简化的虚拟机完整程度还远远不能和我们一般理解的VMWare的那种虚拟机相比,同时也是效率问题,行为判断不能做的非常复杂。所以现在一些设计先进的病毒,能够识别出这种简化虚拟机环境和真实环境的差别,在这种环境下不发作!所以随着当前硬件的发展(目前特别是在CPU上加入虚拟化技术已经越来越多),为了对付一些智能病毒,只能在兼顾效率的情况下越来越完善虚拟机和行为判断技术。今年各大厂商在虚拟机杀毒方面的较量主要还是在这两个方面。
3、HIPS技术逐渐春风化雨
HIPS(主机入侵防御体系),也被称为系统防火墙,虽然这种技术出现已经有几年了。当时是这二年才逐渐完善,这二年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用他们来做分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被HIPS检测到,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!现在开始风行的行为杀毒其实就是HIPS功能的智能化,不过由于智能判断算法和行为数据库还需要完善。目前的行为杀毒还很难100%的拦截危险行为。
HIPS的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系, File Defend(简称FD)文件防御体系三种。 AD是利用MD5或者SHA效验技术来验证程序文件的变化,RD是控制了注册表的关键值的读写,FD是用来控制关键的文件和文件夹的读写。
FD功能先被大家充分认识是著名的迈克菲公司的VirusScan Enterprise 8.0推出,他集成了比较完善的文件防御功能。很快就在世界上一些著名企业中开始流行开来,成为他们对付各种未知威胁的利器。新的8.5版又集成了RD功能。
后来随着System Safety Monitor、Process Guard Port Explorer、Ghost Security Suite等一批功能各异的HIPS软件的逐渐出现,大家对于HIPS软件也越来越了解。一些杀毒软件和防火墙也开始逐渐集成HIPS功能。譬如中国的江民2007就集成了部分AD和RD功能,著名的防火墙BlackICE 今年发布的3.6版也增加了AD功能。
随着大家对HIPS的了解深入,不少人就发现他所有的进程或程序行为都拦截并汇报比较麻烦并且对用户的要求也比较高。于是就有厂商来建立行为数据库和白名单来使的HIPS智能化,不再是什么都报。这样就开始形成了下面的行为杀毒技术(目前介于HIPS和行为杀毒之间的有俄罗斯的Safe'n'Sec Personal)。在虚拟机启发杀毒技术中也是需要简化的行为数据库来判断未知威胁!
4、开始大行其道的行为杀毒
今年以来行为杀毒技术逐渐开始风行,行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。和启发杀毒技术特别是利用了虚拟机的启发技术不同,行为杀毒乃是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。
如今的行为杀毒技术可监控系统中各式各样的事件。可以控制各种危险的活动,并将所有对系统设置和程序的变化资料储存下来,并设立完善的行为白名单。如果应用程序有危险的动作,行为杀毒模块会提醒用户,指出这种行为的危险性并同时拦截等用户处理。拦截工具还可拦截任意Dll注入其他处理程序的行为。拦截工具还可检测到Rootkit行为。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态(目前行为杀毒的先行者印度Sanrasoft公司的Rudra就以这项技术出名)!相信今年行为杀毒技术还会给我们新的惊喜!
著名的卡巴斯基自从今年在6.0版本中集成了行为杀毒模块以后,对付未知威胁的能力大增,特别是在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中表现卓越!
2007年展望
上面介绍的当前四种对付未知威胁的先进技术其实都各有千秋,启发技术成熟且安全,但是受制于现在的软件硬件能力,不能做的非常完善,有些情况下未必能够准确判断。虚拟机技术也是如此。HIPS技术可以接近完美的控制系统,但是操作烦琐对用户要求也高。行为杀毒技术还在完善中,行为数据库和黑白名单的收集还在完善中。现在确实没有完美的对付未知威胁的办法,单一的技术恐怕也难对付各种未知威胁,技术的融合和并用应该是未来的趋势。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。