谈主动防御和病毒和杀毒软件的关系
目前杀毒软件的优劣在于什么。?我想先问下这个问题。。名气。。受欢迎度。还是越来越多的病毒库。?
目前我看靠病毒库来锁定病毒的时期已经过去了。病毒的特征码随便用一些软件就能更改。各种免杀也成
了相应的体系。病毒永远是走在前面的。当我看到某杀毒软件的体积都达到500MB的时候我就纳闷。为什
么我3MB的杀毒软件都要比他强。为什么病毒都把电脑弄得乱七八糟的时候他还依然一点反应都没有。
所以说。以后杀软会注定的依靠主动防御。。目前都已经应用的很广泛了。主动防御的好处在于什么呢。
就是可以预防已知或者未知的病毒。就一个简单的例子。。NOD32使用06年的病毒库就可以杀到08出现的
机器狗。虽然显示的是未知病毒。。但我们不能否认NOD32的超强能力。
主动防御可以分为2大部分。。
1。启发式分析。启发式分析的作用原理是构造一个虚拟环境使程序运行起来。。启发分析器会寻找恶意
程序的一些程序特征和一些可疑动作。然后对这一动作进行评分。等程序运行完毕在把所有评分综合起来
判断程序是否是恶意的。。好处自然不用说了。缺点是就误杀会很多。启发式分析也可以分为2种。。一
种是静态启发。一种是动态启发。由于动态启发需要的时间和资源都比较多。杀毒过程往往会很慢。但是
效果也是很显著。所以一般都是静动态一起使用。。这里就不一一说明。
2.行为拦截
行为拦截不同于(动态)启发式分析的地方在于。行为拦截不构成虚拟环境。是在实际环境种运作的。
行为拦截经历了很多过程。。刚起步是并不是很理想。当拦截器检测到恶意行为的时候会提示是否锁定该
程序、但是不可避免的就是一些正常的程序有时候也会执行一些(可疑)动作。不熟悉系统过程的人经常
容易不明白该怎么做。。
新一代的拦截器就很巧妙的解决了这个过程。。通过分析一连串的动作。而不是仅仅分析一个动作来判定
程序的行为状况。拦截器目前的主要功能是控制危险的程序活动。
当然。目前应用要比启发式分析要少的多。只是卡巴的主动防御模块中存在这样的拦截器。
目前启发式分析做的最好的就是NOD32。其二是卡巴。对于整体的主动防御。最好的是卡巴 NOD32第二。
这里就不说明计算机的防御体系了。以前的帖子也说过这个问题。。
这里也让我很郁闷。瑞星不是也有所谓的主动防御吗。?不是也说自己的卡卡助手世界第一吗。?
可是呢。磁碟机的出现狠狠的扇了瑞星一个耳光。那所谓的主动防御在病毒面前形同虚设。甚至对于一般
的小病毒都不能达到主动防御所能拥有的效果。。这难道。呵呵。不多说了。不是有人这样说吗。磁碟机
是真正检验真假主动防御的工具。假的永远也不能成为真的。事实毕竟放在眼前了。广告打的再多。也只
能说明你有钱。效果。就貌似很不明显了。这里我没有对技术层面上的知识持怀疑态度。只是有点无奈。
有点失望罢了。
起初杀毒软件的出现是因为病毒的出现而出现的。可是现在我就有点分不清。是病毒促进了杀软的发展还
是杀软促进了病毒的进步。提起病毒我们就能想到杀软。他们亲如兄弟。又形同水火。我们这些用户夹在
这样的环境下。成为杀软和病毒的战场。我们不管他是谁胜利。是谁失败。可是这是一场战争。受害的永
远是用户。可笑的是他们拥有的力量竟然还是我们给予他们的。他们都在从我们身上榨取着利益。
病毒被人民唾弃。但是怎奈他威力强悍。而且还隐藏在暗处。
杀软被人民雇佣。暂且说是正派的吧。但是怎奈一直处于被动。而且还处在明处。
就这样。。病毒和杀软的战争在拥有无数群众基础的windows提供的环境下展开了殊死搏斗。。
战争不会结束。也没谁会退缩。唯一慌乱的是我们这些用户。当我看到一个个为中毒而心烦的朋友的时候
。我就不忍心这样。唯有尽我绵薄之力帮助之。虽然对整个战局不影响。也只图个心安吧。
唯力。唯坚。唯强。唯自省。
页:
[1]