防御能否走在病毒木马前面?
Aug 9th, 2008 作者 admin
七月份Flash0day漏洞爆发了,据相关安全公司统计,仅仅从6月23日至6月30日,有1890453例用户受到Hack.Exploit.Swf.A病毒的攻击,由于Adobe漏洞难升级普通用户很难发觉这种“亡羊补牢”式的安全方案,已经重复了20年,针对反病毒行业出现的疲于招架的现象,一些业内人士形象地将传统的病毒防御软件比喻成“盾“,这个“盾“始终处于被动挨打的境地,显然,再坚强的“盾“也有被攻破的那一天。与其拿着伤痕累累的“盾“,不如造一把锋的“剑“。 被动杀毒并不是唯一方法,开发出“免疫防御”概念的产品才是对抗病毒第一波攻击、防范未知新病毒的有效方式,目前安全厂商已经意思到这一点并已经研发出一些免疫产品。我们来看一下应用到软件中四项比较流行的免疫技术:
一.HIPS
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的软件。如果你阻止了,那么它将无法运行或者更改。比如某不被查杀的木马利用漏洞下载执行程序时,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”但是HIPS的致命缺陷就是基础用户很难分辨当前运行的程序是病毒或者正常程序,无休止的弹窗提示,让用户无比反感,HIPS因此也被称为高手的玩具。
 |
图1.HIPS代表作System Safety Monitor弹窗提示
二.主动防御
主动防御是由HIPS演变而来的,可以说是智能HIPS指不需要或者较少需要使用者手工制定的防御规则,即可对系统实施保护的一类HIPS。通常主动防御内置了一定的判断方法和处理规则定制成黑名单,因此能够根据程序行为的危险程度进行自动判断和处理,对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性,也正是主动防御的智能性,让黑客有了可乘之机,黑客可以利用黑名单,改变规则,绕过报警,对用户系统安全造成威胁,但是无论如何主动防御确实比传统HIPS方便了许多。
 |
图2.瑞星主动防御白名单库
三.权限控制
比起前面两项技术权限控制要更安全,首先推出此项技术的为微软操作系统Vista系统自带的UAC,但是Windows Vista的UAC可谓是Vista争议最大的功能之一。微软官方宣扬的是有了UAC,用户可以不用安装杀毒软件,UAC就能确保系统的安全。原本UAC是一件防护病毒、木马的神兵利器,减少用户每天对于安全问题的困扰。但是,用户却不这么认为,几乎所有的进程与运行的程序都可以被拦截,尤其对那些试图使用管理员权限自动安装或自动运行的程序效果更是如此,结果用户被UAC折磨的抓狂,在网上到处找关闭UAC的技巧和方法,微软的初衷也被彻底的改变。UAC的失败让安全厂商吸取了教训,同样利用权限控制技术的墨者安全专家推出的革离术,更注重用户体验,能否成功还需要观察。技术上与微软竞争,总感觉有些不自量力。
 |
图3. 墨者安全专家操作界面
四.沙箱技术
沙箱英文名sandbox顾名思义可以看作是一种容器,里面所做的一切都可以推倒重来,军事上常用沙箱来进行一些战争区域的地形模拟,这个你见过吧?不用了可以把沙子推平重来。
我们所说的沙箱是一种安全软件,可以将一个程序放入沙箱运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。但是当用户想真正的改变系统设置,以及保存文件时,虚拟系统是无法实现真正的操作,所以沙盘技术至今可以应用的层面仍然很少。
图4.影子系统主界面
无论是权限控制,还是HIPS,我们都看到安全厂商由杀到防的转型,依靠传统的特征码扫描的杀软,对于现今的病毒木马仍处在一种疲于应付的状态。无论是个人用户还是网吧等娱乐场合,机器狗横行、盗号等更是屡见不鲜。随着病毒、木马的急速蔓延,保障安全的难度便进一步扩大。用户对安全公司的需求,从简单的需求演变成为逐渐的依赖,特别是网吧内电脑的安全问题也变成了广大网吧主最大的一块心病,安全厂商是安全厂商是否能咬住这块香饽饽,我们拭目以待。
