一、主动防御技术:
目前,很多安全厂商在推出新产品时,总是强调该产品具有“主动防御”技术,可以防御未知病毒、未知威胁、ZeroDay攻击等。根据安全专家的分析,所谓“主动防御”其实是针对传统的“特征码技术”而言的。
一 般意义上的“主动防御”,就是全程监视进程的行为,一旦发现“违规”行为,就通知用户,或者直接终止进程。它类似于警察判断谁是潜在罪犯的技术,在成为一 个罪犯之前,大多数的人都有一些异常行为,比如“性格孤僻,有暴力倾向,自私自利,对现实不满”等先兆,但是并不是说有这些先兆的人就都会发展为罪犯,或 者罪犯都有这些先兆。主动防御技术实现主要由以下两部分组成:
1.二进制码特征:通过搜集恶意程序的特征码进行自我学习,通过学习的规则进行分析,判定出哪些程序中含有恶意的二进制代码,进行拦截,实现自我主动防御。其缺陷也是显而易见的,通过搜集二进制码特征进行自我学习,是非常被动的。如果出现了新的特征码,容易造成漏失或者误报,因此存在一定的安全和正常软件使用问题。
2. 程序行为分析:通过人工智能的方式,学习程序运行的过程,实现恶意程序的判定和识别。而这种方式同样存在的一定的问题。同特征码一样,是非常被动的一种防御技术,其存在问题也是相同的,如:有些恶意程序会伪装成正常干净的程序,进行逃避监控。还有的软件会用到类似恶意程序的方式,进行安装和调用。为了获得更高一级的加载权和启动权。因此二者行为的混淆,容易造成主动防御比较高的误报率,同时也增加了识别和判定的难度。毕竟人工智能,只是模仿人类的智能,和真正的人类智能还是有非常大的差距的,至少在目前的科学技术上而言是这样的。因此对一些写的比较“巧妙”的恶意程序,也会存在比较高的遗漏问题,造成恶意 软件入住系统和危及计算机的安全与稳定。
点评:因 此“主动防御”并不能100%发现病毒或者攻击,据一些行业数据统计表明它的成功率大概在60%左右。而且很多对于放行与拒绝的判定还需要通过用户自己来进行判断,这对于普通电脑用户来说,要做出正确的判断是非常困难的。特别是在为了运行某些第三方软件的时候,用户往往选择直接放行,这样便会给很多捆绑在第三方软件上的恶意软件一个很好的机会,使得危害安全的程序得以顺利的进入用户的电脑中,因此对于一般电脑用户而言,现在的主动防御技术,在缺乏智能判定的状态下,保护作用有些“微不足道”当然只是对一般的电脑使用者而言。[非计算机专业技术人员]
二、病毒隔离:
病毒隔离系统是文件回退的一项技术,该隔离区存储了曾经感染了病毒并被杀毒软件查杀过的文件。它能够非常方便快捷地将该区中的文件恢复到隔离前的文件状态。也许有人怀疑被杀毒软件隔离了的带毒文件还在自己的计算机中,这样安全吗?其实我们大可放心,因为隔离起来的病毒是不会发作的。杀毒软件隔离的作用就是怕误杀,这些隔离的文件是当前病毒库认为这些是病毒,但有可能升级病毒库之后会还原,对于病毒隔离系统这项功能,其实很容易理解。首先让我们联想一下计 算机系统中的回收站吧!“回收站”的功能就是回收系统运行中不再需要的文件、程序和快捷方式等,其显著特点是:扔进去的东西还可以“捡回来”。我们平时删除文件时,被删除后的文件其实仍然还在硬盘上,它们只不过被转移到系统的回收站中。当我们发现误删了某个文件的时候,可以到回收站中恢复被误删的文件。同样的道理,病毒隔离系统就是用来存放感染了病毒并被杀毒软件查杀过的文件,也可以恢复病毒隔离系统中的文件。
点评:对 于这种隔离功能,貌似让我想起了当年的“非典”SRAS病毒。比较极端的做法,就是把感染者放到隔离区,进行外界的隔离。但不一样的是目前安全软件的隔离 只是把感染病毒的“病人”放到了,禁止被探访,外出以及行动的“绝对领域”但并不进行“治疗”。这样被感染者让然是病毒的载体,虽然无法“行动”和“传播 ”但是仍然是一个十分危险的“毒源”。而且也限制了对使用载体本身的使用权利,如果放弃这种限制,那么“毒源”会被放行,并加以传播。所以隔离就好像是一 种被限制的“生化武器”同样存在着一些安全的隐患。
三、革离术:
现在流行的病毒、木马、流氓插件等这些危害用户电脑安全的程序,通过分析他们的特性,基本可以知道他们的原理以及攻击方式。其特性可以大致分为:
1.感染本身宿主,并寻找其他宿主进行再次传播。
2.潜伏并隐蔽自身,寻找适当的时机,进行发作。并通过加壳,加密,自我变异等等智能方式,来进行躲避安全软件的检查,和清除。
3.自我变异和升级,通过针对杀毒软件的特性,进行自我变异,增强其免杀功能,并通过恶意软件或者病毒程序制作者指定的网站,进行自我升级。同时完善恶意程序自我的功能,使之破坏能力更强大,自身的免杀潜伏能力也更强悍。[保护恶意软件自身]
4.自我进行权限的提升,抢占系统的正常启动资源,达到自我优先运行,和加载的权限。能够实现这些的基础是必须获得足够高的权限。无论是WINDOWS还 是LINUX这些操作系统中,权限都是非常重要的。更高的权限意味着获得更多的控制权,而如果恶意程序获得了足够多的控制权,系统的安全就可想而知了。相 当于你把你自己的电脑,交到了恶意程序制作者的手中,其后果和危险性的只能看恶意程序制作的意愿了……。不过,俗话说魔高一尺,道高一杖。而现如今最新的 一种全新的安全防护技术“革离术”。从字面上来理解:一种全新的,具有革命性和颠覆历史观念意义的分离技术;同时也取古代墨者“革离”之精神。其功能除了 具备“主动防御”的特征码分析、“病毒隔离技术”的带毒资源隔离外,还创新了对关键资源进行控制的权限管理功能。如:注册表、文件、目录、NTFS和 FAT32磁盘权限的权限智能分析和控制,系统底层驱动、系统钩子安装的监控,启动项的加载以及其他系统资源的监控和防护等。当电脑运用了“革离术”后, 可以有效的让恶意程序失去了最基本的运行环境和成长条件。因此,再强悍的恶意程序,无论是自身免疫系统的强悍,还是功能上如何的完善,在“革离术”对关键 资源的控制和防护下,也是一堆无法运行的废品,黯然失色……。
点评:作为此项技术的发明者和推动者的墨者安全在线[www.mozhe.com官方网站],可以下载到最新版本的墨者安全专家3.03BETA版。软件安装非常简单,设置也非常傻瓜化,通过墨者的安全检测和智能分析,迅速为用户给出优化安全修复建议。用户完成系统漏洞修复后,启用者的革离技术防护措施。首先创建本地的安全用户,在墨者提醒下将原来的桌面和文档全部自动同步到新的安全用户中,墨者通过常用权限和策略的加载,对高危权限和策略做了严格的监控。在反病毒方面,墨者与现在的主流安全软件都能很好的兼容,并且提供高权限给这些反病毒软件,使病毒和木马无法通过篡改系统时间来及恶意杀掉安全软件进程使杀毒软件失效,从而保证了杀毒软件的正常运行。对于常用软件运行上,通过墨者的智能分析,也给予了放行的许可。只有当运行高危险的程序,或者改动系统资源或者加载时,墨者才会出现相应的提示,在经过用户的安全确认后,必须通过鼠标右健里的 “以管理员权限运行”才能运行。所以在应用软件的正常使用和安装中,墨者不会对其他资源造成任何影响和危害。在网络防御上,墨者做到了使用者和监控程序双 重谨慎防护。最后,对流氓软件和病毒运行上,墨者在二者未执行前已经有效“革离”了。
墨者:孤独浪子