微点交流论坛 - 反病毒 - 矛与盾的较量 07年安全技术展望

微点交流论坛 » 反病毒 » 矛与盾的较量 07年安全技术展望

nullspace
注册用户

积分 57
发帖 57
注册 2007-2-27

#1 矛与盾的较量 07年安全技术展望

发信站: 水木社区 (Thu Feb  1 01:51:25 2007), 站内

很多安全厂商在努力，不断研究完善新的技术和检测方法，以应对各种未知威胁。下面我们
来介绍一些他们的努力成果，看看在2007年到底是

哪方面的技术会逐渐得到大多厂商的追捧。
1、逐渐完善的启发杀毒
启发杀毒技术是现在对付未知威胁的主要手段，启发分析技术可以分析程序编码，来判
定程序是否具有恶意。启发杀毒技术中最先进的动态

启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中，并使用特别的“技巧”
模拟其执行。若在“模拟执行”中检测到可疑的动

作，该程序将被归类为危险程序，并立即拦截。不同于以特征码为基础的方法，启发杀毒技
术可以检测出已知和未知的病毒，但是如果启发杀

毒技术控制的不好，会产生不少误报（这也是当前一些以启发著名的杀毒软件一直无法得到
大型企业认可的原因）。目前世界主流杀毒软件厂

商大多集成了这种技术，目前在启发技术上最成熟的是Eset公司的NOD32，他独特的虚拟机
启发技术对于各种未知威胁的识别有很高的效率，同

时更难得的是误报情况控制的非常好。凭着这项绝技，他世界各地的测试中获奖无数，其中在
专门测试杀毒软件对付未知病毒能力的奥地利AV

-Comparatives测试中常常位居第一！
今年国产杀毒市场老大－瑞星公司在07版中也加入启发杀毒技术，加强了对于未知威胁
的能力。相信在2007年会有更多厂商加入启发杀毒

技术来对付误报问题，已经拥有启发技术的会不断调试自己的启发技术以解决误报问题。

2、虚拟机杀毒逐渐完善流行
虚拟机技术在杀毒软件中现在也有非常多的运用，特别是在启发杀毒技术中，一些启发
技术比较成熟的杀毒软件（譬如NOD32、DR.Web、

McAfee等）都在他们动态启发杀毒技术中运用了虚拟机技术。
   启发虚拟机杀毒技术的原理是这样：他们在读取文件的时候，自动创建一个简化的虚
拟机环境让文件在环境中运行，如果在虚拟机环境中

发现文件有危险的行为就直接删除或者报警！不过现在由于效率问题，这种简化的虚拟机完
整程度还远远不能和我们一般理解的VMWare的那种

虚拟机相比，同时也是效率问题，行为判断不能做的非常复杂。所以现在一些设计先进的病
毒，能够识别出这种简化虚拟机环境和真实环境的

差别，在这种环境下不发作！所以随着当前硬件的发展（目前特别是在CPU上加入虚拟化技
术已经越来越多），为了对付一些智能病毒，只能在

兼顾效率的情况下越来越完善虚拟机和行为判断技术。今年各大厂商在虚拟机杀毒方面的较
量主要还是在这两个方面。

3、HIPS技术逐渐春风化雨
HIPS（主机入侵防御体系），也被称为系统防火墙，虽然这种技术出现已经有几年了。
当时是这二年才逐渐完善，这二年开始在比较专业的

用户中开始流行，甚至一些杀毒软件厂商研究新病毒的时候都用他们来做分析。HIPS可以控
制限制进程调用,或者禁止更改或者添加注册表文件

。当某进程或者程序试图偷偷运行时，这个行为就会被HIPS检测到，然后弹出警告，询问用
户是否允许运行。如果用户拥有足够的软件和系统

进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运
用的好甚至可以摆脱对杀毒软件的依靠！现在开始风

行的行为杀毒其实就是HIPS功能的智能化，不过由于智能判断算法和行为数据库还需要完善
。目前的行为杀毒还很难100%的拦截危险行为。
HIPS的功能分类有Application Defend（简称AD）应用程序防御体系，
RegistryDefend（简称RD）注册表防御体系， File Defend（简称

FD）文件防御体系三种。AD是利用MD5或者SHA效验技术来验证程序文件的变化，RD是控制了
注册表的关键值的读写，FD是用来控制关键的文件

和文件夹的读写。
FD功能先被大家充分认识是著名的迈克菲公司的VirusScan Enterprise 8.0推出，他集
成了比较完善的文件防御功能。很快就在世界上一

些著名企业中开始流行开来，成为他们对付各种未知威胁的利器。新的8.5版又集成了RD功
能。
后来随着System Safety Monitor、Process Guard Port Explorer、
GhostSecuritySuite等一批功能各异的HIPS软件的逐渐出现，大家对

于HIPS软件也越来越了解。一些杀毒软件和防火墙也开始逐渐集成 HIPS功能。譬如中国的
江民2007就集成了部分AD和RD功能，著名的防火墙

BlackICE 今年发布的3.6版也增加了AD功能。
随着大家对HIPS的了解深入，不少人就发现他所有的进程或程序行为都拦截并汇报比较
麻烦并且对用户的要求也比较高。于是就有厂商来建

立行为数据库和白名单来使的HIPS智能化，不再是什么都报。这样就开始形成了下面的行为
杀毒技术（目前介于HIPS和行为杀毒之间的有俄罗

斯的Safe'n'SecPersonal）。在虚拟机启发杀毒技术中也是需要简化的行为数据库来判断未
知威胁！

4、开始大行其道的行为杀毒
今年以来行为杀毒技术逐渐开始风行，行为杀毒工具是在应用程序执行时分析其行为，
并拦截任何可能危险活动的行为。和启发杀毒技术

特别是利用了虚拟机的启发技术不同，行为杀毒乃是在实际系统的环境中运作，所以被病毒
欺骗的可能性几乎没有。

   如今的行为杀毒技术可监控系统中各式各样的事件。可以控制各种危险的活动，并将
所有对系统设置和程序的变化资料储存下来，并设立

完善的行为白名单。如果应用程序有危险的动作，行为杀毒模块会提醒用户，指出这种行为
的危险性并同时拦截等用户处理。拦截工具还可拦

截任意Dll注入其他处理程序的行为。拦截工具还可检测到Rootkit行为。先进的行为杀毒技
术还甚至可以在未知的程序执行恶意活动后，恢复

变更，借以还原系统至感染前的状态（目前行为杀毒的先行者印度Sanrasoft公司的Rudra就
以这项技术出名）！相信今年行为杀毒技术还会给

我们新的惊喜！
著名的卡巴斯基自从今年在6.0版本中集成了行为杀毒模块以后，对付未知威胁的能力
大增，特别是在专门测试杀毒软件对付未知病毒

能力的奥地利AV-Comparatives测试中表现卓越！

  07年展望
上面介绍的当前四种对付未知威胁的先进技术其实都各有千秋，启发技术成熟且安全，
但是受制于现在的软件硬件能力，不能做的非常完

善，有些情况下未必能够准确判断。虚拟机技术也是如此。HIPS技术可以接近完美的控制系
统，但是操作烦琐对用  户要求也高。行为杀毒技

术还在完善中，行为数据库和黑白名单的收集还在完善中。现在确实没有完美的对付未知威
胁的办法，单一的技术恐怕也难对付各种未知威胁

，技术的融合和并用应该是未来的趋势。
转来自：IT168

※ ※ ※ 本文纯属【nullspace】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-27 09:40

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#2

“行为杀毒其实就是HIPS功能的智能化，不过由于智能判断算法和行为数据库还需要完善。目前的行为杀毒还很难100%的拦截危险行为。”

hips软件　100个人里面有9个人会用已经很不错了　而且hips不管是正常软件还是非正常　甚至是微软的windows更新　都要由自己做出判断放行行为还是

ps：hips不是万能　拦截不到的危险行为也有。

[ Last edited by 反黑先锋 on 2007-2-28 at 17:29 ]

附件 1: sshot-44.png (2007-2-28 17:27, 6.84 K,下载次数： 6)

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-2-28 17:23

中草药
新手上路

积分 27
发帖 27
注册 2007-3-5

#3

好

※ ※ ※ 本文纯属【中草药】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-3-5 17:15

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号