杀毒软件的从产生开始就给人带来了太多可以争论的话题,误杀、检测率、性能、不同的杀毒认证,甚至是用户使用界面,这些都成了用户争议的焦点。笔者以为杀毒软件本身就是一个矛盾体,准确杀毒与确保用户系统安全,两者在不断碰撞中进步。
杀毒软件的从产生开始就给人带来了太多可以争论的话题,误杀、检测率、性能、不同的杀毒认证,甚至是用户使用界面,这些都成了用户争议的焦点。笔者以为杀毒软件本身就是一个矛盾体,准确杀毒与确保用户系统安全,两者在不断碰撞中进步。
杀毒软件本意是为用户清除病毒,保护用户系统安全的,但由于反病毒的技术不共享,反病毒领域内的竞争激烈,导致了杀毒软件的核心——杀毒引擎,成为大众议论的焦点。笔者以为对杀毒软件孰优孰劣的争辩是毫无意义可言的。尽管杀毒引擎是一款杀毒软件的核心,但是由于种种原因,杀毒引擎的标准和行为规范是无法在现阶段有明确的标准的。笔者将就这一系列的争论使用户正确认识杀毒软件。
杀毒引擎
杀毒引擎是杀毒软件的核心部分,主要用来对文件等进行扫描,并对发现的病毒进行清理。杀毒引擎的主要职能包括,特征码扫描,脱壳,解压缩以及启发式扫描,行为检测等等。同时,杀毒引擎还必须负责对感染病毒文件杀毒后的处理(恢复系统环境)。由于各个厂家在脱壳以及扫描方式的不同,这也成为很多用户争论的焦点。首先我们应该认识到,病毒是如何感染文件的,说得直白一点病毒对文件的感染是在文件中添加了非法的程序或代码。其次我们应该了解现行的杀毒软件查毒杀毒的标准,没有哪个厂商可以保证绝对不可能发生误杀,因此杀毒机制成为大众议论的话题。通过笔者的调查,国内的厂商大多更看重保证系统的稳定,而国外的一些厂商在病毒的检测能力上做得更加强势。这就有了大众热论的某某杀软可以查杀几乎所有的病毒,而国内杀软却比不了。这种认识是很片面的,用户应该明白杀毒和确保系统稳定,应该同等重要。
脱壳技术
我想稍微有点网络安全知识的人都知道,加壳最初是为了保护软件的安全,但随着加壳算法的发展和普及,很多别有用心的人就把壳引入多了病毒技术中。这就是为什么如今病毒的变种越来越多,但病毒的技术越来越低的主要原因。但笔者不能否认一点,只要壳的技术在发展,杀毒软件就不能放松对壳的警惕。变形加密壳已经引起了反病毒厂商的注意,但是谁又敢说,我可以脱所有的壳呢?
虚拟机技术
杀毒虚拟机我们可以理解成是一个软件模拟的CPU,它可以像真正的CPU一样进行取指令、译码、执行等操作,可以模拟一段代码在真正CPU上运行得到的结果。设计虚拟机查毒的主要目的是为了对抗加密变形病毒。虚拟机首先从文中确定并读取病毒入口代码,然后解释执行病毒头部的解密段,最后在执行完的结果中查找病毒的特征码。
曾经有厂商大力宣传虚拟机技术,但是虚拟机技术并不是哪一个厂商的专利,也不是什么新的技术,技术所有的杀毒软件都会运用虚拟机技术。用户还需要清楚一点,即使反病毒虚拟机得到广泛应用,但是虚拟机在杀毒软件中的作用还是有限的。我们不可能指望在任何环节上都使用虚拟机技术,至少系统资源不允许这样做。因此虚拟机的只是对付多态病毒的一个有效的手段。
行为检测
行为检测近日有被国外厂商热吵的迹象,但是您可知道行为检测其实也是一门早已被很多厂商所运用。行为检测主要利用病毒特有行为特性检测病毒,也被称为人工智能陷阱。研究人员通过多年的观察,发现病毒的一些行为是病毒的共同行为,而且比较特殊,一般正常程序不会调用这些行为。如今用于检测病毒的行为特征包括:盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入动作、写引导扇区或执行格式化磁盘、病毒程序与宿主程序切换、搜索API函数地址。这种种的特殊行为是行为检测的依据。但是谁也不能否认行为检测的误杀可能会比特征码检测来得更加猛烈,网络的普及造就了许多软件为了保护自身进行了一些保护机制,而这些机制正好是造成误杀的最直接原因。所以行为检测是趋势,行为检测可以很好的防止病毒入侵,但是这一切都需要智能算法做保障,如今国内来看,这些技术都不够完善,行为检测需要走的路还很长。
启发式杀毒
曾经笔者采访过几家大型杀毒软件,当问起行为检测时,总会被带入到启发式杀毒的怪圈。那既然杀毒软件厂商这么重视它,笔者就带大家认识下启发式杀毒。
不得不承认启发式杀毒和行为检测有几份相似,首先都需要有人工智能技术做后盾,但是很多杀毒厂商都在回避人工智能在杀毒软件中的具体运用情况。启发式杀毒在具体现实上是相当复杂的,通常需要杀毒软件能够识别并探测许多可以的程序代码、指令序列,并对各种操作进行等级排序,再根据病毒可能使用或具备的特点而加上不同的权值,在权值达到一定的阀值则判定该行为是否是病毒。
笔者以为行为检测和启发式杀毒都需要智能算法做支持,但启发式杀毒在实现上,目前看更准确。但是启发式杀度病毒努力做好以下几点:
1.准确把握病毒行为,精确定义可疑功能调用集合,除非满足两个或以上的病毒重要特征,否则不予报警.
2.增强对常规正常程序的识别能力。应该在检测程序中加入认知和识别模块,以免造成误杀。
3.增强对特定程序的识别能力。
4.制定保护机制,增加学习功能,能够记忆非病毒的文件并在以后的检测中避免警报。
笔者以后任何杀毒软件都没有完美的,对于像windows操作系统来说,最底层的核心驱动的不公开很难做到检测的绝对准确,不管是哪一种检测方式被杀毒软件采用都可能产生误杀。如果真的需要对杀毒软件有什么期待,那就是保护机制的完善,更加贴近用户,更加智能化。因为笔者相信,只要病毒存在,反病毒技术就会不断发展。