什么是木马,为什么难以清除
什么是木马?
木马是一种破坏性程序,通常不进行复制,但会危及电脑安全。它经常伪装成有用或有趣的程序进行传播。木马在电脑上运行后将执行恶意操作,为黑客提供远程控制能力,盗取用户的网银、网游帐号或个人隐私等信息。木马程序为了尽可能好的隐藏,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、更改名称或自我销毁等。
传统反病毒技术为何难以彻底清除木马?
许多用户都抱怨木马或流氓软件杀不干净。究其原因,主要是杀毒软件的反木马技术远未成熟,而在现阶段采用反病毒技术来对付木马存在着诸多问题。
反病毒技术的第一种手段就是特征码识别,可以干掉病毒的大部分变种,但对木马作用有限,因为木马制作者是为追求经济利益,而并非象病毒那样追求大范围传播。木马是针对特定地区、特定用户(比如某款网络游戏)造成危害,是采用手工投放的方式,而且制作者为了逃避打击和欺骗用户会频繁地修改程序,特征码作为一种静态识别技术对付木马效果较差。
第二种手段是启发式搜索,它更多是基于人工智能分类,基于过去对病毒数据的累积和学习来进行推理,这就要求查杀对象技术具有相似形。但是木马采用各种欺骗、伪装措施,没有固定的技术特点,难以界定,所以启发式搜索对木马识别率较低。
第三种手段是虚拟机,虚拟机技术更多进行的是模拟代码执行的作用。同一段代码只有一个结果,采用虚拟机可以取得变形病毒展开以后的情况。但是木马程序比病毒的体积大得多,现有的虚拟机技术会严重影响查杀的效率。
现阶段“主动防御”存在哪些缺陷?
现阶段的主动防御即是恶意行为识别,其技术对用户干预的要求都很高。造成这一问题的主要原因是木马的技术不可判定性,判定一个程序是不是木马,不单要依靠技术手段,还要判别该程序主观是否有害。通过设定程序规则审核恶意行为,一是受限于当前的AI(人工智能)的水平,面对千差万别的实际应用,会将大量的判断工作交给用户去做,无疑给普通用户带来很大困扰,二是如果将本地的代码写的很庞大,必将严重影响查杀的效率,这是当前提高主动防御技术实用性的最大瓶颈!
三维互联网防御体系
“三维互联网防御体系”颠覆传统反病毒思路
金山毒霸2008在病毒库扫瞄和主动防御(恶意行为拦截技术)的基础上增加了“互联网可信认证”技术,为用户构建起立体的防护体系。
“互联网可信认证技术”即在互联网服务器上部署文件收集系统,这个系统与金山毒霸病毒/木马处理系统整合,通过自动/手工分析的方式,快速将收集到的文件分类成“白名单”与“黑名单”。
金山毒霸2008直接连接这一系统,会将用户计算机上触发可疑行为的文件与“黑/白名单”进行匹配,瞬间反馈该文件是否安全。
如果用户参与“金山毒霸系统安全增强计划”,用户计算机上的可疑文件会直接上报给该系统,这些文件会被毒霸优先处理,给用户反馈结果,并加入病毒特征库,进一步提高用户计算机系统的安全性。
相比传统的反病毒软件技术,“互联网可信认证”技术具有如下优势:
1、服务端的海量数据库,比本地病毒库精细度更高。
2、极大提升了安全响应速度。对已经判定为“黑名单”的文件瞬间响应,对以前收集不到的木马样本也能迅速收集,快速响应。
3、能够确定用户计算机上哪些文件是安全的,极大减少恶意行为识别的误判率,减少对用户的困扰。
4、加入“系统安全增强计划”的用户能够得到更好的系统安全保障,并且能为其他用户的安全做出贡献。
网友评论