暗战一:如何对付穿“马甲”的病毒?
穿了马甲就不认识你啦?如今老赵的这句名言已经被病毒广为传唱,并奉为“谋生宝典”。病毒们为了逃避杀软的追杀,开始变着花样的给自己穿“马甲”,你还别说,这一穿,好多杀毒软件还就真的认不出来了,这下用户可就遭殃了,整个机器被病毒搞的天翻地覆不说,还惹了一肚子气,为啥?杀毒软件杀不了病毒,你说气不气?
那么病毒们穿的这个“马甲”到底是个什么东东呢?其实从技术上“马甲”称之为“壳”。在自然界中,植物用壳来保护种子,动物用壳来保护身体,同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。
病毒这一加壳可不得了,广大用户骂声一片,杀毒软件为何不能杀毒?骂声很快传到杀毒厂商耳朵里,这无疑给目前依靠特征码查杀病毒的杀毒厂商出了一道难题,于是各大杀毒厂商就此发奋图强,终于找到了对付加壳病毒的办法。如最近被爆炒的虚拟机脱壳技术就是其中之一。病毒不是穿“马甲”吗,那就想办法让你自己脱下来。于是一些杀毒厂商就在用户的机器内给病毒构造一个仿真的环境,诱骗病毒自己脱掉“马甲”,而且“虚拟环境”和用户的计算机是隔离的,病毒在虚拟机的操作不会对用户计算机有任何影响。这招诱敌深入的方法真是高明,大量的加壳病毒糊里糊涂地就这么死于非命。但这种技术的缺点也非常明显,由于始终使用虚拟机,这样系统资源被大量消耗,用户能感受到的就是机器变得很慢,咳,鱼和熊掌不能兼得啊!
不管怎么说,虚拟机脱壳技术还真把病毒给震住了,病毒果然不象之前那么放肆了,但受苦受难的广大网民仍然没有摆脱噩梦,安装了应用虚拟机技术的电脑运行起来那叫一个慢,着急上火不说,影响工作不是!不过事情总归得有个解决的办法吧,这时候金山又弄出了名为“数据流杀毒”的技术。
简单的说,数据流杀毒就是和病毒抢时间,敌不动,我不动,敌一动,立刻歼灭,决不留情。其实有一些病毒进入用户电脑后,并不运行,没有危害,用户也可以不去管它。在一些“加壳”病毒混入电脑后,病毒运行前必须先脱壳,当病毒脱下最后一层外衣,真正的病毒代码还未运行的那一刹那,金山毒霸的杀毒引擎将立刻检测到解壳后数据流中的病毒特征,从而完成对病毒代码的清除。
此外,数据流杀毒还有一个特点比较适用于对付这些加壳的病毒,那就是可逆向检测原始加壳带毒文件。就象古代的连坐,一家违反了刑法,那么跟其有连带关系或相同特征的人也难逃法网。再比如,病毒A是一个加壳病毒,脱壳后生成病毒B,那么只要能够清除病毒B,就可以清除与A具有相同特征的加壳病毒C,而无论C脱壳后生成的是病毒D还是F。
下图简单表述了数据流杀毒的流程:
其实,数据流技术的“勇猛”之处还不仅仅在于此,后来经过小编的仔细研究和悉心请教,又有重大发现,数据流杀毒技术的运用还大大加强了杀软对木马及其变种的查杀能力。如灰鸽子木马,目前大概有50000多变种,如果一个一个收集病毒特征,那病毒库将变得异常庞大,而采用了数据流杀毒技术后,只要提取一个基本特征,就可以全部查杀。
数据流杀毒的优点显而易见,而且与虚拟机脱壳引擎技术相比,对系统资源的开销很小,速度性能都优于虚拟机脱壳。正是如此,金山毒霸才会被公认为节省系统资源的杀毒软件。
这下广大受加壳病毒困扰的兄弟姐妹们,就可以大声说,“穿了马甲照样认识你!”
暗战二:如何围剿网络世界中的“流氓”
流氓软件,相信不用多讲,很多用户就已经恨的咬牙切齿了。这个鸟东西真是把06年的互联网折腾的天翻地覆,恶名也由此响尽大江南北。追溯流氓软件的历史,从恶意软件代码时代到插件时代到软件捆绑时代再到目前的流氓软件病毒化时代,一路走来,流氓软件的危害可谓有目共睹,强行安装、无法卸载、弹出大量广告窗口等恶行,再加上隐藏在其背后的不可告人的商业勾当,更让人深恶痛绝。而长期的无政府、无法律状态,也让流氓软件有恃无恐,疯狂作案。
伴随着金山、瑞星等安全厂商纷纷加入到剿杀流氓软件的大军中来,以及互联网协会也出台了相应的行业标准,流氓软件的行为开始有所有敛,一些大的流氓软件企业纷纷“金盆洗手”,而就当人们在与流氓软件的斗争中看到一点点希望的时候,一些顽固的流氓软件运用了先进的Rootkits 技术开始反击。而且不但与病毒、黑客等相互勾结,还勾结一些流氓软件搭帮结伙,如最近疯狂作案的“飘雪”流氓团伙,这样一来给流氓软件的绞杀工作带来了很大的困难!
不过,从另一个角度看,流氓软件生存至今,还能不断的偷袭我们的用户,不得不承认人家有一些小聪明,特别是那些采用底层驱动技术的流氓软件,通过劫持系统底层调用,可以成功阻止对其核心文件的删除操作。而面对这一现状,包括目前受到用户广泛推崇的Unlocker,IceSword等删除工具,都开始显示出力不从心的现象。
就在流氓团伙为自己的小把戏暗自窃喜的时候,金山毒霸的工程师们再次粉碎了流氓们的春秋大梦。金山毒霸的工程师们经过苦心研究,终于对无法彻底删除流氓软件这个问题提出了一个十分有效的解决方案——文件粉碎技术。即绕过可能被劫持的Windows 系统调用,直接删除磁盘上的流氓软件,避实击虚,直捣要害,流氓软件不是习惯拦路吗?既然不能跟流氓硬碰硬,杀毒软件修了一条新路,直接捣毁流氓的巢穴,要说杀毒厂商就是比流氓聪明!
这就是金山毒霸文件粉碎技术的示意图:
在这里,告诉大家,上面提到的这个文件粉碎技术已经集成到了金山毒霸2007杀毒套装中,用户只要开启金山毒霸2007反间谍模块,使用隐蔽软件扫描功能,就可以启动文件粉碎技术,彻底清除流氓软件了。但我们必须看到,每个流氓软件的背后都隐藏着一个公司,所以流氓软件的力量不可小觑,明天指不定又弄出点什么把戏来进行反击呢!所以革命尚未成功,杀毒厂商仍需努力!
暗战三:如何让钓鱼网站自投罗网
圣诞节快到了,如果你正准备买一个小礼物送给自己的另一半,而繁忙的工作又让你根本没有时间去shopping,是不是很着急?伴随着网络商务的不断发展,相信更多的人会选择一边喝咖啡,一边上网,几天后,快递就将一份精美的礼物送到你手中。
的确,网络商务繁荣改变了人们的生活习惯,通过网络采购一些书本、音像制品已经不是一种时尚,人们足不出户就能购买到大多数的生活用品,完成金融交易。不过就在人们享受网络带来的便利的同时,一些不法之徒开始假冒一些购物网站等,施展网络钓鱼之术,窃取别人的帐号、密码,达到对他人的钱财非法占用的目的。
钓鱼网站、黑客攻击等给广大网民、个人用户带来了巨大损失。据介绍,在美国每年因黑客非法入侵或钓鱼网站攻击带来的损失额就高达20亿美元。
那么什么是网络钓鱼呢?网络钓鱼一词源于英文单词“Phishing”,它是单词Phone(黑客们最初的作案手段多半是电话)和Fishing结合体。而“网络钓鱼”事实上就是一种网络欺诈,它是攻击者利用欺骗性的电子邮件和伪造的网站页面来盗取上网用户重要个人信息(如财务数据、银行信用卡号、网游帐号等)的一种网络攻击手段。
攻击者通常会将自己伪装成知名银行、在线零售商和信用卡公司等机构,当上网用户从攻击者发送过来的电子邮件内容中直接打开相应链接时,比如攻击者以某某商业银行的合法身份给用户发送过来了一封账户余额的确认邮件,而用户从该邮件内容中打开指定的网络链接后,用户在这个网页页面输入的所有银行卡号/密码信息就将被自动记录并会自动发送到攻击者指定的邮箱中……
目前,在国内各大杀毒厂商中,笔者觉得反钓鱼功能做的最出色的还得数金山毒霸2007。它可以自动监控用户浏览的网页,如果用户无意中打开网络钓鱼网页,金山毒霸2007会智能的识别并弹出提示窗口。一般杀软的反钓鱼功能都是通过黑名单的方式来实现的,即发现一个钓鱼网站就列出一个,然而人民的想象力是无穷尽的,比如工商银行的网址是www.icbc.com,我们今天发现一个名为www.ecbc.com的钓鱼网站,明天又会出来一个叫www.lcbc.com钓鱼网站,所以在这一点上,金山毒霸2007的反钓鱼功能就显得很聪明,除了采用黑名单的方式,列举出已发现的钓鱼网站外,还采用了智能匹配的方法,对于需要保护的重要网站进行特殊保护,任何与重要网站有高度相似度的网站都会及时提醒用户警惕,就算无意访问了象www.1cbc.com.cn这样混淆l和1、i,0和o之类的网站,金山毒霸都会事先提醒,用户可以根据需要选择访问或拒绝。这样就在很大程序上加强了对未知钓鱼网站的拦截能力。
伴随着圣诞节、元旦、情人节、春节等节日的先后到来,人们又将迎来新一波的网络购物的高峰期,许多计划出游的朋友开始着手在各大电子商务网站上淘自己需要的出行物品。这时就更加要警惕钓鱼网站啦!
正所谓,你有张良计,我有过墙梯,无论是“加壳“病毒、流氓软件还是钓鱼网站,都逃不过杀毒软件的法眼。记得金山曾有一位仁兄说的好,“对病毒的处理速度一定要快于病毒的传播速度”,如果病毒一旦跑在了杀毒软件的前面,那苦的还是我们这些劳苦大众!在文章最后,笔者觉得有必要再提一下金山毒霸2007最近更新的维金免疫功能。大家都知道,维金凭借其变种多、难清除等特点,给2006年的企业用户带来了很多麻烦。而金山毒霸2007在11月份刚刚更新的功能中,增加了维金免疫功能,也就是说只要安装了金山毒霸,就可以彻底摆脱已知维金病毒的困扰了,这真是一个让人振奋的好消息!此外金山毒霸的主动实时升级、主动漏洞修复等功能对于用户来说也都是非常实用的功能,而且据内部消息,金山毒霸已经能够支持VISTA系统了,在这里就不多提了。不管怎么样,黑猫、白猫,抓住耗子就是好猫,杀毒软件也是一样,能杀毒就是好软件!
网友评论