墨者免疫革离术突破主动防御误杀缺陷
十月 10, 2008
随着“网游大盗”“熊猫烧香”“德芙”“QQ木马”“灰鸽子”等以盗取用户密码账号、个人隐私、商业秘密、网络财产为目的的木马病毒日益猖獗,一个以获利为核心的黑客培训、病毒制作、病毒加工、病毒贩卖、窃取信息等构成的灰色产业链,正严重危害着计算机用户的安全,病毒木马制造者通过改变特征码、加壳等方式绕过杀毒软件查杀,传统杀毒软件固有的滞后被动防范病毒的缺陷再次暴露无遗,让反病毒产业不得不寻求防御思路的变革。而目前真正超越特征码扫描的反病毒技术,我看也就是主动防御以及免疫革离术了。
主动防御目前无法突破的难题–误杀和频繁询问
编写病毒的人,可以通过很多种手段,不同的代码可以达到同样的编写目的,每一种不同的编写方法,就是一种新病毒!但是他的编写目的无非那么几种:键盘记录,远程控制,修改文件数据,注入进程至系统进程,映像劫持等等,只要了解病毒作者的编写目的,针对病毒的“行为”归类总结,并研究出应对方法,就能够以不变应万变。而这种行为识别的技术安全厂商给行为它起了一个响亮的名字“主动防御”。主动防御的优点有:无需扫描,无需升级特征码,对新病毒的查杀率高。即使病毒利用加壳、改特征段等常规手段来免杀,也无法轻易绕过主动防御技术。
但是主动防御的行为识别难度是很大的,由于根据行为分析制定一个黑名单库,当一个普通程序启动后,主动防御会根据黑名单库来分析判断该程序行为是否为恶意。如果行为符合黑名单规则,则判断为木马,如果行为不符合则判断为未知可疑,留给用户去判断。就好比当一个人在街上拿着一把菜刀行走时,我们不能确定他是想行凶还是想回家,而这时候规则做了更详尽的一步,如果持刀人拿菜刀砍向你,则危险拦截,并报告未知病毒,如果拿菜刀的人没有做很危险的动作比如拿起菜刀,走路,这些动作,都在规则之外,主动防御会给用户询问。
一些常用程序尤其是安全软件也有类似于病毒的行为,如写驱动、写注册表启动项目、自我保护等、如果其中的一些动作符合了主动防御内的黑名单规则,就会被误杀,如果没有在黑名单规则内,主动防御则会询问用户。为了避免这些问题,多数的主动防御技术都加上了白名单,但是搜集庞大的白名单是长期且艰巨的任务,因此主动防御的误杀问题仍然没有得到有效解决。
而且主动防御还有着使用难度大的困扰,主动防御会对未识别、或者不能判断的软件动作进行预警,但是这就造成频繁报警,让用户无法适从,因为主动防御只告诉用户程序做了什么,未知程序行为会不会造成危害仍需要用户自己去判断。在这里主动防御技术的规则起到了一定作用,但是规则的定义又很麻烦。定义严了容易造成错误判断,定义松了无法保证系统的安全性,所以说,主动防御在不同的人手中的效果,是天差地别的,甚至有人说主动防御是高手的玩具。
墨者革离术——用权限解决技术难题
微软似乎看到了安全厂商无法解决未知病毒的尴尬问题,于是在Vista中加了一个UAC,但是UAC更是频繁的弹窗骚扰,导致用户非常讨厌UAC,这与微软的初衷背道而驰。但是微软的UAC给安全厂商一个很好的思路,主动免疫革离术也因此应运而生。
首先应用智能权限控制技术的墨者安全专家要表现的比Vista中的UAC要出色的多,墨者安全专家的免疫革离术还应用了智能白名单技术来解决频繁弹窗的问题。免疫革命离术融合了反rootkit技术、用户权限管理技术并有机集成的免疫“革离“技术。普通应用程序在免疫革离术下被剥夺了对系统关键资源如启动时自运行、安装驱动、服务、钩子等的访问权限,仅在确认无害而且是必须访问关键资源的应用程序才赋予相应的权限。就像前面拿刀人的例子,给你切菜、削水果的权限。这样未知新病毒和木马就无法在用户电脑系统中自动被安装、潜伏和实施攻击、窃取账号密码等敏感资料。就像是未知的恶意软件被关进了牢房,无法对用户电脑造成伤害。而这一“牢房“又由墨者强大的反rootkit技术来保证不被突破。
免疫革离术比起主动防御来,用户使用门栏要低很多。从打开墨者主界面到开启革离术仅需要点击两次鼠标。开启免疫革离术后,已经在白名单里的未知程序,在USER权限下完全可以完成图片处理、文档编辑等操作。而未在墨者白名单需要管理员权限才能运行,所以只有当用户非常确定为正常程序的情况下,通过右击鼠标选择以管理员权限运行后,这个未知程序才能运行,也就从策略上拒绝了误杀现象。
虽然墨者在技术上突破了主动防御很多缺陷,但是墨者离尽善尽美还有很长的一段路要走。安装墨者安全专家之前已经出现在用户电脑里的病毒,墨者是无法杀除的,因此墨者也为用户提供了世界排名前五的杀毒软件并可终身免费升级使用。墨者也存在有少量弹窗的问题,如QQ被加载了不明键盘记录钩子,墨者会在钩子加载前给用户于提示是否安全。
无论是免疫革离术还是主动防御,我们都欣喜的看到了我国反病毒技术变革思想已经走在了世界反病毒领域的前面。当然,任何新生事物的诞生和发展都不可能简单地一帆风顺的,是一定会遭到传统既得利益势力的打压的,但是新事物的生命力是不可遏制的。只要新事物的诞生符合社会发展的需要,那么新事物终将战胜旧事物而取得最后的胜利。
Comments
One Response to “墨者免疫革离术突破主动防御误杀缺陷”
Got something to say?
Text Area #1
This is an area on your website where you can add text. This will serve as an informative location on your website, where you can talk about your site.
Continue reading »
Text Area #2
To edit these text areas, go to Presentation / Theme Editor, then click on Right Sidebar file.
Continue reading »
Text Area #3
This is an area on your website where you can add text, like contact numbers, office hours, customer testimonials and quotes, special discounts and more.
Continue reading »
墨者的前景肯定比微点好很多,希望墨者多多努力,墨者的权限控制技术绝对是未来的技术趋势!主动防御已经黔驴技穷,开始补充特征码了!