病毒攻击已确实成为IT安全的头号威胁广告行销应用。它们不仅导致经济损失,更带来其他种种的安全威胁,例如机密资讯盗窃与针对敏感性资料的未授权存取。因为这些威胁,反病毒业界推出许多新方法,用以保护IT基础建设--举少数为例,包括主动防御技术、疫情爆发时的紧急更新、更加频繁的反病毒资料库更新等。本文属于一系列文章中首先公布者,将就反病毒公司所采用的最新技术提供更进一步的资讯,并帮助使用者更客观地判断这些技术的有效程度。在本文章中,我们将专注于主动防御技术。
病毒攻击造成巨大的损失,与此具备相同严重性的,则是恶意程序码的种类与数量正加速增长广告行销应用。在200*年,恶意程序数量呈现爆炸性的成长:据卡巴斯基实验室统计,截至该年底为止,每月检测到的平均病毒数量已达****种。与上一年度的9*%比较起来,年度整体上涨率高达117%。
同样的,威胁本身的本质业已改变广告行销应用。恶意程序不但变得更多,也变得比以前更加危险。为回应此种挑战,反病毒业界采用一系列的新方法,包括主动防御技术,更快速的回应可能爆发疫情的新威胁,以及更加频繁的更新反病毒数据库。本文提供主动防御的详细分析,主动防御常被厂商称为对抗所有现存的、甚至是未来病毒的万灵丹。
主动防御技术概论
当代反病毒产品使用两种主要方法检测恶意程序码--以病毒码为基准的分析,与主动防御/探索式分析广告行销应用。第一种方法相当简单,将使用者电脑上的物件与已知病毒的范本(例如病毒码)作比较。此种技术牵涉到新型恶意程序的持续追踪,并根据其性质建档,包含于病毒码资料库中。因此,反病毒公司应拥有追踪及分析恶意程序码的有效服务(亦即反病毒实验室)。评估病毒码方法有效程度的主要标准,包括新威胁的回应时间、更新频率及检测率。
以病毒码为基准的方法有几项明显的缺点广告行销应用。主要的缺点就是在应对新威胁上会出现延迟。病毒的出现与病毒码释出之间,必定存在有延迟时间。而当代的病毒可以在非常短的时间内感染数百万台电脑。
因此,主动防御/探索式的病毒检测方法逐渐普及广告行销应用。主动防御方法不需要释出病毒码。相对的,反病毒程序会分析扫描到的物件程序码,及/或启动的应用程序行为,并根据预先设定的规则,判定软件是否为恶意软件。
理论上,此种技术可用于检测未知的恶意程序,因此许多反病毒软件开发者争先恐后的宣传主动防御方法是对付新型恶意软件的万灵丹广告行销应用。但事实不然。如果要评估主动防御方法的有效程度,以及其是否可独立于以病毒码为基准的方法之外单独使用,我们必须先了解主动防御技术所根据的原理。
主动防御可通过数种方法达成广告行销应用。在此我们将探讨其中两种最普遍的方式:启发式分析器与行为拦截工具。
启发式分析
启发式分析器是分析物件程式码的程序,使用间接方式判定物件是否具有恶意广告行销应用。不同于以病毒码为基准的方法,启发式分析器可以检测出已知和未知的病毒(亦即在启发式分析器写成之后才问世的病毒)。
分析器通常会先由扫描式码开始,寻找具备恶意程序特征的可疑属性(命令)广告行销应用。此方法称为静态分析。举例说明,许多恶意程序会搜寻执行档,然后开启找到的档案并加以修改,启发式分析器检视应用程序之程序码,并在找到可疑命令时增加该应用程序的可疑指数。若检查完全部程序码后的指数值超过预设的标准,该物件即归类为可疑物件。
此方法的优势包括便于实施,以及具备高效能广告行销应用。然而,此方法对新型恶意程序码的检测率较低,而误判率也较高。
因此,在目前的方病毒程序中,静态分析会与动态分析并用广告行销应用。此种综合型方法背后的概念,是让应用程序实际在使用者电脑上执行前,先在安全的虚拟环境(又称模拟缓冲区或“沙磐”中进行模拟。在厂商的行销资料中,亦称作“虚拟PC模拟”。
动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中,并使用特别的“技巧”模拟其执行广告行销应用。若在此“模拟执行”中检测到可疑的动作,该物件将归类为恶意物件,且该物件在电脑上执行时将遭封锁。
由于以动态方法为基准的分析须使用受到保护的虚拟环境,此方法因此比静态方法需要更多的系统资源,而应用程序在电脑上执行时,也将因为完成分析所需的时间量而造成若干延迟广告行销应用。然而,比起静态方法,动态方法提供较高的恶意软件检测率,误判率也比较低。
反病毒产品使用启发式分析器已有相当的历史,因此,目前所有反病毒解决方案所采用的启发式分析器,或多或少都是为进阶的版本广告行销应用。
行为拦截工具
行为拦截工具是在应用程序执行时分析其行为,并封锁任何危险活动的程序广告行销应用。不同于在模拟模式中追踪可疑动作的(动态)启发式分析器,行为拦截工具乃是在实际的环境中运作。
第一代行为拦截工具并不太成熟广告行销应用。每当检测到潜在危险的动作时,使用者便收到提示,询问是否封锁该动作。虽然此种方法在许多场合中有效,但正常的程序有时也会执行“可疑”的动作(包括作业系统本身),而未必熟悉此类过程的使用者,常无法理解系统的提示。
新一代的行为拦截工具分析的对象是一连串的作业,而非个别的动作,这代表在判定应用程序行为是否具危险性时,根据的是更加纯熟的分析广告行销应用。如此有助于大幅减少系统提示的出现次数,并增加检测恶意软件的可靠度。
如今的行为拦截工具可监控系统中各式各样的事件广告行销应用。其主要目的在于控制危险的活动--亦即分析所有执行于系统中的处理程序行为,并将所有对档案系统与登录档作出变更行为资讯储存。若应用程序执行危险的动作,使用者会收到警示,指出处理程序带有的危险性。封锁工具亦可拦截任何企图将程序码注入其他处理程序的行为。此外,封锁工具可检测到Rootkit--此种程序会隐藏恶意程序码对档案、资料夹与注册机码的存取,并导致使用者无法发现程序、系统、服务、驱动程序与网络连线。
行为拦截工具另一项特别值得一提的功能,便是其控制应用程序与MicrosoftWindows系统登录档完整性的能力广告行销应用。就后者而言,封锁工具会监控针对注册机码所进行的变更,并可定义不同应用程序对注册机码的存取权限规则。因此便可在检测到系统中危险的活动,或甚至当未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态。
不同于现代反病毒程序普遍使用的启发式分析器,行为拦截工具较为少见广告行销应用。包括于卡巴斯基实验室产品中的Proactive Defense Module(主动防御模块)便是有效的新时代行为拦截工具之其中一例。
该模组包含上述所有功能,以及同样重要的,一套便利的系统,可通知使用者任何与检测到的可疑动作有关的危险性广告行销应用。任何行为封锁器都需要使用者某种程度的输入,因此使用者也必须具备相当之能力。实际上,使用者通常不具所需之知识,因此资讯支援(实际说来,应是决策支援)是任何当代反病毒解决方案皆不可或缺的一部分。
总结上述的讨论,行为拦截工具可预防已知及未知(亦即封锁工具开发完毕以后才写成的)病毒扩散,这是此类防护方式毋庸置疑的优势广告行销应用。但另一方面,即使是新时代的行为拦截工具也有重要的缺点:部分正常程序的动作可能遭辨识为可疑动作。此外,决定应用程序是否具有恶意,尚需要使用者输入,这代表使用者必须具备足够的知识。
主动防御与软件的缺陷
部分反病毒厂商在其广告与行销资料中声明,表示主动/探索防护是对新威胁的万灵丹,不需要更新,因此随时可以封锁攻击,甚至可以对付尚未存在的病毒,更甚者,在手册与资料单中,不但常把这类的宣称套用到利用已知弱点的威胁上,更包括了所谓的“零时差”攻击广告行销应用。换句话说,根据这些厂商所言,他们的主动防御技术甚至可以封锁利用应用程序中未知缺陷(尚未有修补档)的恶意程序码。
不幸的是,这些宣传资料的作者若不是有意欺骗,便是根本还不了解此技术,具体而言,与恶意程序码对抗的战争可说是病毒写作者与自动化方法(主动防御/探索)间的战争广告行销应用。在实际生活中,则是人与人之间的战斗--病毒写作者对抗反病毒专家。
上述之主动防御方法(启发式分析器与行为拦截工具)乃植基于恶意程序典型可疑动作相关的“知识”广告行销应用。然而,这套“知识”(亦即一组与行为有关的规则)原是反病毒专家借由分析已知病毒行为所取的,并输入程序中。然而,针对那些在规则开发完毕以后才问世的、使用全新方法渗透并感染计算机系统的恶意程序码而言,主动防御技术可说是无用武之地--这就是零时差危险的真相。此外,病毒写作者不断努力找出新方法,借以避开现存反病毒系统使用的行为规则,如此始终将导致主动防御方法的有效性大打折扣。
反病毒开发者别无选择,只能更新他们的行为规则,并升级启发式分析器,以回应新威胁的崛起广告行销应用。比起病毒码(程序码范本)的更新频率,此类更新在频率上当然不会那样频繁,但仍需定期执行,随着新威胁的数量增加,这类更新的频率也将无可避免地随之上升。因而,主动防御将发展为病毒码方法的一系分支,只不过它所根据的并非程序码模式,而是“行为”。部分反病毒厂商向使用者隐瞒更新主动防御的需求,事实上就是在欺骗其企业与个人客户以及媒体。结果导致大众在主动防御技术的能力方面拥有不太正确的概念。
主动防御vs.病毒码方法
尽管有其缺陷,主动防御式方法的确能在相关病毒码发行前检测到部分威胁广告行销应用。以反病毒解决方案针对称为Email-Worm.Win*2.Nyxem.e (Nyxem)的蠕虫,所采取的回应之道为例。
Nyxem蠕虫 (亦称 Blackmal、BlackWorm、MyWife、Kama Sutra、Grew 及CME-2*)可在使用者开启内含色情图片、色情网站或者档案连接(存于公开网络资源上)的电子邮件附件时渗透电脑广告行销应用。病毒只需极短时间便能删除硬盘中的资讯。影响所及的档案格式多达11种(包括Microsoft Word、Excel、PowerPoint、Access、Adobe Acrobat)。病毒会以无意义的字元组复写一切有用的资讯。Nyxem另外一项特征是只在每个月三号发作。
Magdeburg大学的研究团队(AV-Test.org)所进行的一项独立研究,评估不同的开发者在Nyxem出现时的反应时间广告行销应用。结果有数种反病毒产品能在病毒码发行前,使用主动防御技术检测到蠕虫:
021yin.com/detail/*2/*1**7*.shtml