微点交流论坛 - 主动防御 - 【转贴】关于主动防御的评论！！！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 【转贴】关于主动防御的评论！！！

jiangok
新手上路

初级会员

积分 29
发帖 29
注册 2005-11-29

#1 【转贴】关于主动防御的评论！！！

节选

自然的，大家都希望有一个反病毒软件是可以永久解决病毒问题的，不幸的是，目前还没有一套"永久"有效的方法来对况这些不知道何时会有新手法的病毒。计算机病毒并不是自然演化的，而是人所撰写出来的，所以是没有规则和逻辑可循的，只能猜这些病毒作者会想要做什么。
所以当一个是以病毒码比对为主的反病毒软件与以行为逻辑猜测防御为主的反病毒软件来比较。这在扫描病毒时就会有不同的结果。一个反病毒病毒码是一个很小的程序片断来进行档案的比对。一个行为逻辑猜测判断的则是去追踪这个档案激活以后的状况，并且将这个可疑的程序或者是已知的病毒进行拦截。两者都同样有各自的优缺点。
利用反病毒特征码进行扫描的好处就是扫描的结果是稳定肯定的，而坏处就是如果没有这样的特征码，则无法侦测病毒。而另外一个问题就是越大的病毒数据库就会需要越大的资源来比对。行为模式逻辑的判断提供的好处就是能够侦测未知的恶意程序。而坏处就是可能带来的误判；将目前所有的病毒与木马作为规则的分类并且最多也只能告诉你这"有可能"是病毒。这也表示行为逻辑的判断方式也无法侦测所有的恶意程序，并且可能造成正常的程序无法执行。
行为模式逻辑判断的方法也有缺点，就是无法侦测新创造的病毒。比如反病毒软件 AVXXXX 已经开发出一套行为模式逻辑判断可以 100% 侦测目前所有的恶意程序。所以你们觉得骇客会怎么作？他们当然会再创造一个全新的病毒。随即反病毒软件也必须更新其行为模式逻辑的规则，但骇客一定又再更新其手法，而反病毒软件也必须同样再更新一次其规则，就这样一直循环下去。因此这个反病毒软件也同样在更新其特征码，但其中更新的是行为逻辑的规则，而不是程序代码的片段。
这个结论将可以套用的自我启发式分析法。一旦骇客们知道这个反病毒的技术能够防御其开发的病毒，他们便会发明新的病毒技术来规避这种启发式分析法。也就是会变成"全新开发"一个预防机制只能带来很短时间的保障。一个没有经验的骇客可能需要数周到数个月的时间来发现怎么闪避这种预防侦测，而一个专业级的骇客则只需要一到两天，甚至更糟糕的只需要几个小时就能破解这种机制。这也将意味不论是行为模式逻辑判断还是启发式判断都还是需要进行更新的。而也代表以加入更新新病毒特征码仅需数分钟便可完成，而开发行为模式逻辑或者启发式侦测则需要较长的时间。这也是目前为什么更新病毒数据库的作法远比开发预防技术来的叫好的原因。这样的方式才是最保险的在很短的时间内将新病毒新蠕虫或者新的恶意程序代码所在成的疫情控制住。
当然这并不表示预防的技术是完全没有用的，这样的技术在某个范围内可以预防大多数的病毒 (那些没什么经验的骇客或者病毒撰写者)。所以说，这种预防的技术可以与病毒特征码搭配，但是并不应该完全依赖这样的方法来作为全盘的保护方式。

※ ※ ※ 本文纯属【jiangok】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-12-14 14:53

pAnic
新手上路

初级会员

积分 65
发帖 45
注册 2005-11-9

#2 回复: 【转贴】关于主动防御的评论！！！

理论上，病毒和木马的“特征码”几乎是无限的。而病毒和木马传播，自加载，窃取数据，发送数据给远程控制端的这些行为数量是极其有限的，理论上，所有已知病毒和木马的判定都可以依靠一个小的多的“行为特征码”库来识别，对未知恶意程序，传统特征码几乎无法判断，而“行为特征码”几乎可以全部判断，但是存在误报的问题。

※ ※ ※ 本文纯属【pAnic】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-12-14 21:29

sxh_sxh
版主

灌水区版主

积分 818
发帖 810
注册 2005-12-10

#3 回复: 【转贴】关于主动防御的评论！！！

说到底是魔高一尺道高一丈，还是道高一尺魔高一丈的问题。

※ ※ ※ 本文纯属【sxh_sxh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2005-12-14 22:56

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号