由于一般反病毒厂商常用的靠增加病毒特征代码的反病毒技术在查杀变种病毒与未知病毒方面局限性,这使得病毒变种与未知病毒已成为反病毒工具的盲区。如果再对以实施迅急的“闪电杀毒”技术,可想而知,这无疑更将使许多“拦路虎式”的变种病毒、未知病毒成为漏网之鱼。如何在不增加病毒特征代码的前提下,将各种变种病毒与90%以上的未知病毒一律清除,这将是领先防病毒产品体现其的技术领先及产品优越性的重要特质。
变种与未知病毒 被动防御的漏网之鱼
随着信息网络技术的发展,病毒汹涌而来。智能化、隐蔽性、多样性、强破坏性已成为当前计算机病毒的综合特征所在。通过反病毒公司的跟踪调查发现,现在的病毒制造者经常利用各种专用或自制的程序压缩工具、以及“程序捆绑器”,制造出大量变种病毒。这些变种病毒不仅使已经针对原病毒升级后的反病毒软件无能为力,甚至在原病毒的基础上加载了更多的破坏程序。一个普通的电脑用户就可以利用网上下载的上述工具,将已经被解决的电脑病毒“改装”成变种病毒。这类变种病毒的产生更为简单迅速,而且在每次感染计算机时都会采取不同的编码方式,可以躲避防病毒软件的侦测,从而也使得通过病毒定义码识别病毒的一般反病毒工具为此疲惫不堪。尤其对于象“求职信”这样的恶性病毒而言,到目前为止前后共衍生出十几个变种,几乎每个变种都造成了一定范围的破坏。而目前一般的反病毒软件在对付诸如“求职信”等变种病毒时,都是一旦发现一个,用户就必须升级反病毒软件,才能对其实施查杀。正是由于这些反病毒软件没有仅通过一次升级即可对新病毒及其所有变种病毒一一剿灭的特性,使得用户在实际应用中,即使用户不停地升级,也总因升级反病毒软件没病毒变种繁衍得快而蒙受损失。
这种通过升级病毒定义特征码的被动防御技术不仅对变种病毒无法实施成功防范,在对付未知病毒时,也更是望“毒”兴叹!究其原因,是与对付变种病毒有几分相似:现行的大部分反病毒软件多采用病毒定义特征码技术检测已知流行的病毒,但在对付未知病毒威胁时,由于反病毒厂商拿到病毒定义码的时间总在新病毒产生之后,这使得新病毒产生后,一般反病毒软件没有可以与之对应的病毒识别代码,这使得反病毒软件在对付未知病毒时就从下手。可以说,正是由于对付未知病毒存在一个先天的时间差,所以使得依靠病毒定义特征码被动杀毒的反病毒技术对其无能为力。
鉴于变种病毒与新型病毒的危害不断加剧,显然目前大部分反病毒公司都普遍使用的事后分析、将变种病毒的新特征码加入病毒代码库的方法,已经难以满足用户完全查杀此类病毒的需求。值得一提的是,即便被动防御有如此缺陷,但仍有厂商在此防毒技术基础上为了市场宣传的需要,还进一步提出了40G硬盘4分钟搞定的“闪电杀毒”炒作点,这不能不让人担心。我们想,对此理智的消费者一定会问:“这一技术经过什么机构评测过?”“被检测硬盘是装满40G文件吗?”“40G文件中带有多少带病毒的文件?”“结果会有多少漏报?”这些问题都是十分让人关注的。从技术的角度看,如果一定要实现4分钟检查完40G硬盘,依靠现有的通过病毒定义特征码对应扫描的病毒被动防御技术,唯一的做法就是缩减病毒库的病毒定义特征码,并且采取最最简单的粗略扫描功能,这种扫描的漏洞也因此一目了然:有病毒会被漏查、扫描时不可能带有启发式侦测来发现新病毒、时间上也不允许修复病毒文件、不可能采取在修复前先备份文件再修复的安全举措等。
正是由于变种病毒借变异脱壳、未知病毒无章可循,所以被动防御的先天不足也因此显现,当然“闪电杀毒”技术也更加难以立足。那么,有没有在不增加病毒特征代码的前提下的主动防御方法可以完全、快速的查杀之呢?答案是肯定的!
诱惑变种病毒现形 自动免疫未知威胁 御毒将无盲区
由于变种病毒采取的威胁机理都是在感染计算机时改变了其编码方式,所以如果防病毒软件具有一种搜索识别技术能够掀去变种病毒伪装的棉纱、随后将其及时扫除的能力,这将能够很好的抵御变种病毒的侵扰。而对于防御未知病毒,从机理上看则需要一种可对危险及可疑的代码采取事先隔离的“自动免疫”机制、,随后再迅速采取相应的响应办法。只有这两种解决办法并举,我们才能够在变种与未知病毒的危害真正形成之前对其实施主动围剿。而这两点,在国际领先的赛门铁克诺顿防病毒软件中我们都可以找到应证。
Striker(打击)技术+独一无二的扩展引擎NAVEX技术 让变种病毒无一漏网
在防范变种病毒威胁方面,赛门铁克诺顿防病毒软件中早已具备的Striker(打击)技术采取是这样的原理,首先其通过建立“虚拟计算机”环境,以便诱惑变种病毒感染该“虚拟计算机”环境,其次在其感染后变种病毒将现形,随后诺顿防病毒软件将可在其未真正危害用户计算机之前将其清除。
为了抵御越来越多的32位元Windows病毒(Win 32蠕虫病毒)的各式变种,赛门铁克还将Striker技术升级到二代striker32。针对32位元Windows病毒的各种多态变异病毒,Striker32采用同样的诱发方式,可以很好的用于对付新一代善于自我隐藏的32位元Windows病毒。Striker32技术不仅可以搜索出具有多种变形的病毒,还能搜索出复杂、难以检测的其它计算机病毒,如加密病毒等。
在产品中加有领先的变形搜索技术Striker只是做好了对变种病毒的精确识别,为了及时清除变种病毒,在赛门铁克的“诺顿防病毒”产品中,还采用了一种业内独一无二的名为NAVEX的全新扫描引擎扩展技术,这样“诺顿防病毒”就可以对这些花样翻新的变种“新”病毒实施快速查杀。
从反病毒技术角度来看,如要完全清除“每日一新”的各类病毒,必须借助于快速的升级反病毒软件的扫描引擎,因为扫描引擎才是用于清除病毒的重要组成部分。为了对变种实施查杀务必及时、查杀务必无遗,“诺顿防病毒”具有的扩展引擎 NAVEX技术面对来自同一原病毒的不同变异而不需要注入新模块或作重大更新,便可扩充“诺顿防病毒”扫描引擎的功能以探测到同一原病毒的多型态病毒,同时完全清除之。NAVEX包含了“诺顿防病毒”扫描引擎的用于执行病毒检测和清除功能的主要组成部分,换言之,由于扫描引擎是与诺顿防毒产品分开的,为此赛门铁克可以对新型病毒的威胁做出非常迅速的反馈,而无需更新整个产品。借助这一技术,当发现原自同宗的新型病毒时,赛门铁克可随时便捷地更新扫描引擎,并通过产品自带的自动升级功能——LiveUpdate将它传送到具有新型病毒定义更新的用户电脑中。当用户安装病毒定义更新时,新的扫描引擎会自动安装到系统中,此后无论变种病毒如何变,但NAVEX可使“诺顿防病毒”以不变应万变,对来自同一原病毒的变种均可及时清除。
