病毒防御殺毒軟件技術(shù)新主流

80年代末期，基于個(gè)人電腦病毒的誕生，隨即就有了清除病毒的工具──反病毒軟件。這一時(shí)期，病毒所使用的技術(shù)還比較簡(jiǎn)單，從而檢測(cè)相對(duì)容易，最廣泛使用的就是特征碼匹配的方法。然而為了躲避殺毒軟件的查殺，病毒開(kāi)始了進(jìn)化，逐漸演變?yōu)樽冃蔚男问剑扛腥疽淮?，就?duì)自身變一次形，通過(guò)對(duì)自身的變形來(lái)躲避查殺。
    這樣一來(lái)，同一種病毒的變種病毒大量增加，殺毒軟件單純依靠病毒庫(kù)和特征碼技術(shù)已經(jīng)不能適應(yīng)如今的網(wǎng)絡(luò)安全。于是，便出現(xiàn)了廣譜特征碼的概念，這個(gè)技術(shù)在一段時(shí)間內(nèi)，對(duì)于處理某些變形的病毒提供了一種方法，但是也使誤報(bào)率大大增加，所以采用廣譜特征碼的技術(shù)目前也不能有效的對(duì)新病毒和未知病毒進(jìn)行查殺，那么，現(xiàn)如今種類繁多的殺毒軟件都有哪些新技術(shù)和新特征來(lái)適應(yīng)當(dāng)前的病毒威脅，又是如何實(shí)現(xiàn)的呢？
    主動(dòng)防御技術(shù)
    由于傳統(tǒng)的基于病毒庫(kù)掃描的反病毒軟件都是很被動(dòng)的，只能在新病毒出現(xiàn)之后才能有應(yīng)付措施，一個(gè)病毒制造者所編寫的病毒很有可能在被殺毒軟件廠商截獲并添加到產(chǎn)品病毒庫(kù)之前進(jìn)入用戶電腦。此時(shí)，由于該病毒的特征碼還未添加到殺毒軟件病毒庫(kù)中，殺毒軟件會(huì)將病毒認(rèn)為是正常文件而放過(guò)，使得用戶電腦被病毒所感染。因此，業(yè)界將能夠主動(dòng)檢測(cè)和攔截未知威脅的防御方法稱為“主動(dòng)防御”。
    殺毒軟件具有滯后性，這是業(yè)界公認(rèn)的一個(gè)殺毒軟件弊端，而主動(dòng)防御卻很好的解決了這個(gè)問(wèn)題。主動(dòng)防御技術(shù)主要是針對(duì)未知病毒提出來(lái)的病毒防殺技術(shù)，在沒(méi)有病毒樣本的情況下，對(duì)病毒進(jìn)行全面而有效的全面防護(hù)，阻止病毒的運(yùn)作，從技術(shù)層面上有效應(yīng)對(duì)未知病毒的肆虐，一是在未知病毒和未知程序方面，通過(guò)“行為判斷”技術(shù)識(shí)別大部分未被截獲的未知病毒和變種。另一方面，通過(guò)對(duì)漏洞攻擊行為進(jìn)行監(jiān)測(cè)，這樣可防止病毒利用系統(tǒng)漏洞對(duì)其它計(jì)算機(jī)進(jìn)行攻擊，從而阻止病毒的爆發(fā)。
    然而由于主動(dòng)防御概念，各廠商技術(shù)水平不同，其效果懸殊也較大，最顯著的弊端就是常常出現(xiàn)大量的誤報(bào)或誤殺，或是將行為監(jiān)控和病毒特征碼監(jiān)測(cè)結(jié)合的方式等同于主動(dòng)防御，雖然病毒運(yùn)行時(shí)其行為監(jiān)控有警報(bào)提示，但就算用戶選擇“拒絕”操作也無(wú)法阻止病毒的運(yùn)行。在《c′t》雜志對(duì)全球17款主要?dú)⒍拒浖M(jìn)行了測(cè)試中表明，在新病毒查殺方面，殺毒軟件的平均檢測(cè)率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表現(xiàn)較好，查殺率分別為68%和41%。值得一提的是， ESET NOD32采用世界的高級(jí)啟發(fā)式ThreatSensereg;引擎，可同時(shí)支持基因碼，虛擬機(jī)，以及代碼分析這三種啟發(fā)式防毒技術(shù)，在查殺大部分未知病毒的同時(shí)只產(chǎn)生了極少的誤報(bào)，為業(yè)界最低，因此ESET NOD32的ThreatSense技術(shù)被公認(rèn)為主動(dòng)防御技術(shù)成熟和穩(wěn)定的集大成者。
    啟發(fā)式查毒技術(shù)
    說(shuō)到主動(dòng)防御，不得不提起啟發(fā)式查毒技術(shù)，啟發(fā)式查毒技術(shù)屬于主動(dòng)防御的一種，是當(dāng)前對(duì)付未知病毒的主要手段，從工作原理上可分為靜態(tài)啟發(fā)和動(dòng)態(tài)啟發(fā)兩種。
    啟發(fā)式指 “自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”， 是殺毒軟件能夠分析文件代碼的邏輯結(jié)構(gòu)是否含有惡意程序特征，或者通過(guò)在一個(gè)虛擬的安全環(huán)境中前攝性的執(zhí)行代碼來(lái)判斷其是否有惡意行為。在業(yè)界前者被稱為靜態(tài)代碼分析，后者被成為動(dòng)態(tài)虛擬機(jī)。
    靜態(tài)啟發(fā)技術(shù)指的是在靜止?fàn)顟B(tài)下通過(guò)病毒的典型指令特征識(shí)別病毒的方法，是對(duì)傳統(tǒng)特征碼掃描的一種補(bǔ)充。由于病毒程序與正常的應(yīng)用程序在啟動(dòng)時(shí)有很多區(qū)別，通常一個(gè)應(yīng)用程序在最初的指令，是檢查命令行輸入有無(wú)參數(shù)項(xiàng)、清屏和保存原來(lái)屏幕顯示等，而病毒程序則通常是最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執(zhí)行程序等相關(guān)操作指令序列。靜態(tài)啟發(fā)式就是通過(guò)簡(jiǎn)單的反編譯，在不運(yùn)行病毒程序的情況下，核對(duì)病毒頭靜態(tài)指令從而確定病毒的一種技術(shù)。
    而相比靜態(tài)啟發(fā)技術(shù)，動(dòng)態(tài)啟發(fā)技術(shù)要復(fù)雜和先進(jìn)很多。動(dòng)態(tài)啟發(fā)式通過(guò)殺軟內(nèi)置的虛擬機(jī)技術(shù)，給病毒構(gòu)建一個(gè)仿真的運(yùn)行環(huán)境，誘使病毒在殺軟的模擬緩沖區(qū)中運(yùn)行，如運(yùn)行過(guò)程中檢測(cè)到可疑的動(dòng)作，則判定為危險(xiǎn)程序并進(jìn)行攔截。這種方法更有助于識(shí)別未知病毒，對(duì)加殼病毒依然有效，但如果控制得不好，會(huì)出現(xiàn)較多誤報(bào)的情況。動(dòng)態(tài)啟發(fā)因?yàn)榭紤]資源占用的問(wèn)題，因此目前只能使用比較保守的虛擬機(jī)技術(shù)。盡管如此，由于動(dòng)態(tài)啟發(fā)式判斷技術(shù)具有許多不可替代的優(yōu)勢(shì)，因此仍然是目前檢測(cè)未知病毒、最可靠的方法之一，并在各大殺軟產(chǎn)品中得到了廣泛的應(yīng)用。
    由于諸多傳統(tǒng)技術(shù)無(wú)法企及的強(qiáng)大優(yōu)勢(shì)，必將得到普遍的應(yīng)用和迅速的發(fā)展。純粹的啟發(fā)式代碼分析技術(shù)的應(yīng)用(不借助任何事先的對(duì)于被測(cè)目標(biāo)病毒樣本的研究和了解)，已能達(dá)到80%以上的病毒檢出率，而其誤報(bào)率極易控制在0.1%之下，這對(duì)于僅僅使用傳統(tǒng)的基于對(duì)已知病毒的研究而抽取“特征字串”的特征掃描技術(shù)的查毒軟件來(lái)說(shuō)，是不可想象的，啟發(fā)式殺毒技術(shù)代表著未來(lái)反病毒技術(shù)發(fā)展的必然趨勢(shì)，具備某種人工智能特點(diǎn)的反毒技術(shù)，向我們展示了一種通用的、不依賴于升級(jí)的病毒檢測(cè)技術(shù)和產(chǎn)品的可能性。 作為啟發(fā)式殺毒軟件的代表產(chǎn)品ESET NOD32，以其完善的啟發(fā)式引擎ThreatSense，超過(guò)68%的未知病毒檢測(cè)率以及低于0.1%的誤報(bào)率聞名遐邇。成為業(yè)界的水準(zhǔn)，同時(shí)也被冠以“啟發(fā)”的美譽(yù)。