黑客基地  逐渐变黑

在网络安全平民化的今天，病毒的使用已经不再是一个什么新鲜的话题。 而随着病毒的不断增多和变种。杀毒软件的病毒搜索引擎。也不断的更新换代。从最开始的判断PE。文件大小。到现在的特征码查杀。主动防御。等等。可谓是层出不穷，但上有政策，下必然有新的对策。杀毒软件更新，病毒免杀技术也随之接受新的挑战。今天。我们就从杀毒软件的几种杀毒模式中，给大家讲解木马免杀技术。

特征码查杀+虚拟机脱壳技术

特征码查杀技术仍然是现在多数杀毒软件所采用的。主流的杀毒技术。这种技术的主要原理是。通过大量的病毒采集，不断的更新病毒库，在病毒文件中提取一句或者多句代码。这样无疑是最准确的。不会出现病毒的错误报告。导致系统出问题。但随着各种加密壳以及压缩壳的开发出来。很多木马加壳以后就无法被杀毒软件调试，所以就出现了。找不到正确的代码。来判断不出是否是病毒文件。虚拟机脱壳技术就诞生了。最开始。杀毒软件采用硬脱壳的技术来实现对文件进行脱壳调试，加入很多以知壳的类别，但由于收集类别有限，很多壳无法脱壳调试。所以就有了现在的虚拟机脱壳技术，因为病毒不论加载什么壳。最终还是需要在电脑里面去脱壳执行，虚拟机脱壳技术是让病毒在杀毒软件特殊构造的一个虚拟环境中运行后，对其进行查杀，这样大大提高了脱壳调试效率。提高了工作水平，但不能不说的是，特征码杀毒。必须建立在有病毒样本以后。杀毒软件更新了病毒库后。才能对新的病毒进行杀毒。这也就出现了。一个很大的隐患，一旦出现传播技术很广的未知病毒。用户还是不能及时杀毒。但很多情况下。这种不及时是毁灭性的。这种比病毒慢一拍的杀毒方式。逐渐已经显出不足的地方。提高病毒库收集样本。提高病毒文件采集，将是一个非常巨大的工程。在这种情况下。杀毒软件厂商纷纷开发出自己的新型辅助反病毒技术。主动防御体系。

主动防御技术

我们通过瑞星官方为瑞星做的广告。来了解下。他们所讲的主动防御是什么概念
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。
    瑞星杀毒软件2008中采用的主动防御技术包含三个层次，资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。



    第一层：资源访问控制层（即HIPS）
    它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的。
    第二层：资源访问扫描层（即传统的文件监控、邮件监控等）
    通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。
    第三层：进程活动行为判定层（危险行为判定、DNA识别）
    进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。无需用户参与，该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
    目前，市面上的一些主动防御软件只做了三层结构中的部分功能，瑞星认为，只有全面实现三个层级的主动防御，才是真正意义上的“主动防御功能”，如果用户使用不完全的主动防御，将给自己带来严重的安全风险。
我们通过上面的讲解。可以看出来。主动防御确实在弥补特征码杀毒方面。有了一定的进步，但我们不能只相信广告的片面之词。难道有了主动防御。就真的安全了么？答案是否定的。有关主动防御的研究。不在于本教程的探讨之内。大家有兴趣。可以去网上搜索相关的文章了解破解方法。我在这里仅仅给大家举几个简单的例子来证明。当前的主动防御。是不健全的主动防御。远远没有广告中的那么效果夸张。
我们都知道
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
是注册表启动项目里最敏感的部分，在这里建立新的字符串值是可以影响系统的启动进程的。我们现在尝试在这里面建立一个新的启动项目看看。。瑞星的主动防御报警了。但注册表的启动项目有很多。它真的都能监视的过来么？我们用xyzreg的工具来测试下瑞星在其他位置的检测是否和这里一样到位 。

我们可以得出。主动防御也有防御不到的地方。并不是所有的规则都已经设置的完美。而且主动防御有一个最关键的弱点。就是如果病毒强行结束了杀毒软件。那么主动防御将成为一纸空谈。没有任何防御可言。病毒依然可以肆虐传播。

也许你会认为。连icesword都结束不了瑞星的进程。难道其他工具可以做到吗？我现在这里的这个小工具。他采用了一些驱动级的技术。可以轻易的结束任何杀毒软件的进程。不论是否开启杀毒软件本身的自我保护。

通过上面分析。大家不难看出。不论是特征码扫描。还是主动防御。虽然已经显示出他们的优越性，但随之而来的是木马技术的新挑战。在这个矛与盾的世界中。寻求一种更好的杀毒方式将成为今后发展的必然趋势。


启发式扫描技术

关于启发式扫描技术。恐怕很多朋友还很陌生。启发扫描技术。说简单点。又可以叫做是人工智能技术。他的原理是。通过对病毒的行为来进行判断。比如。这个文件是否对启动项目进行修改。是否隐藏自己进程。是否有控制硬盘和其他控制功能。等等。当很多条件具备的时候。判断它为病毒。这不仅仅是杀毒技术的飞跃。更是开发技术的挑战。因为人工智能在一款工具里。将是一个很恐怖的过程。试想。电脑虽然已经发展到今天了。但真正实现人工智能还早的很。让杀毒软件根据人工智能去杀毒。虽然看上去遥不可及。但在国外的杀毒引擎中。已经逐渐的被开发出来。比较著名的就是 Nod32 以及小红帽。卡巴7.0以后的版本中。也有了新的启发式扫描的技术。（但还不成熟）

由于启发扫描的判断规则较多。对行为判断较复杂。不可能像特征码查杀那样准确无误。所以会出现一些误杀现象。加之杀毒软件的商业化。一个误杀，将会被其他媒体大肆炒作。往往是用户和专家都不了解内幕。只有公司才知道自己的赚钱目的。
这样仅仅依靠启发扫描的 Nod32 和其他杀毒软件所占有的市场并不是很高。但这种人工智能的杀毒技术。必然会通过时代的不断进步。被大家所采用。因为拥有了人工只能扫描以后。用户将不必每天都更新杀毒引擎。只要固定的更新一些新的智能判断规则。将可抵御大部分的病毒来袭。

最后编辑： selboo 编辑于2008/03/20 17:56