殺毒軟件防御工具沒有實(shí)質(zhì)性的創(chuàng)新

安全對(duì)于網(wǎng)絡(luò)來講至關(guān)重要，魔高一尺，道高一丈，現(xiàn)在的殺毒軟件防御工具也未必能真正保證網(wǎng)絡(luò)的安全，病毒這種繞過方式在2011年得到非常廣泛的應(yīng)用，而今再次落到必須和病毒拼響應(yīng)速度的地步。

病毒繞過主動(dòng)防御當(dāng)前，殺毒軟件防御工具依賴文件鑒定開發(fā)了傳統(tǒng)的文件鑒定引擎，當(dāng)文件被訪問、運(yùn)行時(shí)，調(diào)用反病毒引擎對(duì)文件進(jìn)行安全掃描，如果是黑文件(危險(xiǎn)程序)就殺掉，白文件(安全程序)就放行。當(dāng)類似主動(dòng)防御的應(yīng)用面臨大量的白文件時(shí)，包括白文件的后續(xù)動(dòng)作，比如加載dll文件等，也被不再檢查直接放行了。因?yàn)槿舨环判?，就面臨一個(gè)問題：連續(xù)的詢問嚴(yán)重打擾用戶，系統(tǒng)變得無法使用。

病毒和反病毒之間的斗爭(zhēng)處于持續(xù)的此消彼漲中。病毒為繞過殺毒軟件防御工具的主動(dòng)防御，很快找到新招：將病毒代碼植入dll文件中，利用被鑒定安全的第三方軟件加載dll文件不校驗(yàn)的漏洞，間接運(yùn)行。而可以被病毒利用的軟件數(shù)以千計(jì)，連Windows自己的組件都不可避免。

正常文件為什么也危險(xiǎn)還是拿實(shí)例來說明，如下圖，這是一個(gè)典型的網(wǎng)購木馬。

病毒程序是StormUpdate.dll，如果病毒作者直接編譯一個(gè).exe可執(zhí)行文件，他會(huì)發(fā)現(xiàn)殺毒軟件判斷這個(gè)未知程序有異常行為而被建議阻止運(yùn)行。于是病毒作者隨便找了一個(gè)正常的應(yīng)用軟件，如暴風(fēng)影音程序，這是一個(gè)合法的有數(shù)字簽名的商業(yè)軟件，所有殺毒軟件都判定這是一個(gè)正常程序。

當(dāng)這個(gè)程序執(zhí)行時(shí)，殺毒軟件主動(dòng)防御放行，于是含有病毒代碼的StormUpdate.dll(假冒的)被加載，接著含有主要病毒執(zhí)行代碼的Version.dat被加載執(zhí)行。最終，病毒繞過了殺毒軟件防御工具的攔截完全啟動(dòng)。

還有更經(jīng)典的例子：在下面一包8個(gè)文件中，只有1個(gè)是病毒，其它全是正常文件，病毒的運(yùn)行如同多米諾骨牌之間的接力。最終對(duì)用戶造成傷害的結(jié)果，由一系列看起來完全正常的軟件制造。

安全廠商的無奈殺毒軟件攔截不了病毒程序，正常的文件變得異常危險(xiǎn)。這到底是為什么？簡(jiǎn)單來說，就是病毒對(duì)殺毒軟件的工作機(jī)制了解得非常透徹，直接利用其體系漏洞。可悲的是，安全廠商明知道存在此問題，卻也無可奈何。因?yàn)榘孜募?shù)以萬計(jì)，而且被億萬網(wǎng)民頻繁使用，沒有一個(gè)安全廠商有這個(gè)計(jì)算能力對(duì)白文件的后續(xù)執(zhí)行動(dòng)作一一校驗(yàn)。即便資源和能力，網(wǎng)民不堪其擾也不會(huì)答應(yīng)。目前殺毒軟件應(yīng)對(duì)這種繞過方式能夠做的，就是發(fā)現(xiàn)一例記錄一例。但治標(biāo)不治本。病毒作者隨意更換下加載文件和路徑，殺毒軟件防御工具又會(huì)被輕松繞過。

殺毒體系多年未有實(shí)質(zhì)性變化事實(shí)上，殺毒軟件的基本理念已經(jīng)有許多年未曾改變，一直采用的基本思路就是基于文件的掃描、鑒定，這也是病毒摸透并攻破的根本原因。

最初，殺毒軟件只有一個(gè)文件掃描引擎，在對(duì)付文件不多的年代，夠用，速度也快，誤報(bào)率也低。隨著病毒的進(jìn)展，大量病毒開始加殼，使用稀有的EXE壓縮工具打包。隨之殺毒軟件防御工具推出脫殼引擎，將文件解包后再調(diào)用文件引擎檢查。

新病毒出現(xiàn)的速度越來越快，文件引擎開始顯得有點(diǎn)手忙腳亂。殺毒軟件開始設(shè)計(jì)啟發(fā)式分析引擎，用代碼統(tǒng)計(jì)的方法，去檢查病毒常用的非法操作，從中發(fā)現(xiàn)病毒的普遍規(guī)律。

虛擬機(jī)引擎和啟發(fā)式類似，在虛擬空間模擬程序執(zhí)行，分析有害行為。這種做法的結(jié)果是消耗大量系統(tǒng)資源，掃描速度降低。但它也能發(fā)現(xiàn)新病毒。這些都是文件掃描引擎。

此后，部分殺毒軟件開始嘗試行為查殺，主動(dòng)防御技術(shù)逐步普及。主動(dòng)防御捕捉程序的動(dòng)態(tài)執(zhí)行過程，而不是對(duì)文件進(jìn)行靜態(tài)的檢查。執(zhí)行中一旦發(fā)現(xiàn)異常行為，立刻阻止危險(xiǎn)程序的進(jìn)一步動(dòng)作，防止中毒事件發(fā)生。這個(gè)模型很理想，似乎不必再擔(dān)心新病毒問題了。

事實(shí)上，病毒程序和行為動(dòng)作和正常程序沒有本質(zhì)差異，很多動(dòng)作，正常軟件都有。于是頻繁的攔截提醒需要對(duì)正常軟件放行，不然就會(huì)嚴(yán)重打擾用戶操作。如今，如上面所述，病毒作者再次找到可以繞過的方法：利用正常軟件來啟動(dòng)危險(xiǎn)程序。貫穿殺毒軟件和病毒木馬之間的對(duì)抗史就可以發(fā)現(xiàn)，雖然殺毒軟件防御工具進(jìn)行了多次改變，但基于文件的鑒定體系一直以來從未改變。如果殺毒技術(shù)體系持續(xù)沒有實(shí)質(zhì)創(chuàng)新，未來的安全形勢(shì)堪憂。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)