分享
 
 
 

主动防御型杀毒软件的技术探讨

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

近日,带有“未知病毒主动防御”功能的KV2005上市,对于全球的黑客来说那可是一个不好的消息。在本文开始之前,先看看媒体是怎么介绍的:

〈〈间谍程序、游戏木马、黑客程序等网络病毒的频频爆发,使国内外反病毒领域开始意识到,单纯依靠“特征码技术”已经不能适应反病毒需求。作为打响防范“未知病毒”第一枪的“未知病毒主动防御”系统,已经由国内反病毒厂商开发成功。

昨日,国内知名反病毒厂商江民科技发布“四大利器”集于一身的KV2005“未知病毒主动防御”系统。据介绍,这一系统包括“未知病毒克星”、“木马一扫光”、“KV病毒预警系统”、“隐私信息保护”四大部分,成功实现了主动防御技术与病毒特征码技术的结合。尤其是新增的“未知病毒克星”功能组件,采用病毒行为主动防御技术,可自动判别当前系统进程的安全状况。用户可以根据进程安全性的高低,判别电脑是否感染未知病毒,并视情况采取进一步措施。

该公司总裁王江民表示,江民科技在未知病毒防范方面已形成一套从病毒防御到病毒查杀的完整防、查、杀体系。“木马一扫光”、“未知病毒克星”都应用了“黑白名单”技术,将正常的系统组件和应用程序全部列入“白名单”,从根本上跨越了未知病毒主动防御的技术障碍。

“未知病毒检测工具”配合“木马一扫光”“隐私保护”功能组件,不仅能够100%防御木马入侵,而且还可以基于行为特征自动监控及诊断,主动防御98%的未知病毒,意味着中国反病毒技术在主动防毒领域已经开始全面领先国际同类产品。 〉〉

那么什么是“主动防御”,它的实现技术又是怎样的呢?本人在这里简单献丑一下,说得不对的地方欢迎扔鞋砸鸡蛋(但是请不要泼粪^_^)!

所谓“主动防御”,就是全程监视进程的行为,一但发现“违规”行为,就通知用户,

或者直接终止进程。它类似于警察判断潜在罪犯的技术,在成为一个罪犯之前,大多数的人

都有一些异常行为,比如“性格孤僻,有暴力倾向,自私自利,对现实不满”等先兆,但是

并不是说有这些先兆的人就都会发展为罪犯,或者罪犯都有这些先兆。因此“主动防御”并

不能100%发现病毒,它的成功率大概在60%-80%之间。如果再加上传统的“特征码技术”,

几乎可以发现100%的恶意程序了。在国外,诺顿,Kaspersky,McAfee等等杀毒巨头,都已经

向“主动防御”+“特征码技术”过渡了,这是杀毒软件的必然发展趋势。

防火墙是一个运用“主动防御”技术的典型例子,大家都用过防火墙了,对于防火墙经常询问用户是否放行一个进程访问网络,或者有不明连接进入本机而发出警告是否印象深刻呢?其实防火墙就是在全程监视进程的网络行为,一但发现违反规则的行为就发出警告,或者直接根据用户设定拒绝进程访问网络。当然,现在的防火墙一般都把系统网络进程(比如services.exe,svchost.exe,lsass.exe等)记在“受信名单”里,这些进程是默认允许访问网络的,如果禁止的话,操作系统就不正常了,这也是现在很多病毒和木马都喜欢远程注入这些系统进程以突破防火墙而访问网络的原因。

下面重点说一下“主动防御”的实现技术。大家都写过程序,知道在一个程序里如果要实现自己的功能就必须要通过接口调用操作系统提供的功能函数,在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的,在WINDOWS里一般是通过DLL里的API提供,也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为,通过看它调用了什么样的API就大概清楚了,比如它要读写文件就必然要调用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函数,要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API,如果挂接RING3层的API将有可能被绕过),就可以知道一个进程将有什么动作,如果有危害系统的动作该怎么样处理等等。例如瑞星杀毒,大家可以在它的安装目录里找到几个驱动

文件,其实这些驱动就是挂接了ntoskrnl.exe,ndis.sys等系统关键模块里的API,从而对进程的普通行为,网络行为,注册表行为进行监视的。

最后让我们设想一下一个“主动防御”型杀毒软件的一般流程:通过挂接系统建立进程的API,杀毒软件就在一个进程建立前对进程的代码进行扫描,如果发现SGDT,SIDT,自定位指令(一般正常软件不会有这些指令),就提示,如果用户放行,就让进程继续运行;接下来监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,就发出警告;如果收发数据违反了规则,发出提示;如果进程调用了CreateRemoteThread(),则发出警告(因为CreateRemoteThread()是一个非常危险的API,正常进程很少用到,倒是被病毒木马用得最多)。...。可以想象,未来我们运行程序可能要被提示多次,访问网络也被提示多次,各种各样的提示将大多数人搞的昏头转向。想安全就要管严,放松就不安全了

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有