新的混合体的防范
主持人:
现在新的发展趋势情况下,无论是防病毒还是防木马都应该出现一些新的举措,那么对付这种新的混合体我们采取了怎样的措施呢?
戴光剑:
对于目前的阶段,木马可能传播范围小,可以利用免杀技术,多种反病毒技术对付多变的情况。脱壳的方式可能需要一些时间,它利用简短的免杀期制作出不同的变种,我们在这方面利用到了一个技术叫数据流查杀技术。我们和现有的特征技术有一些区别,当这种病毒只要运行起来,我们就可以通过运行的数据流进行查杀。
主持人:
这个是属于对现有特征码技术的一个改进吗?
戴光剑:
对。比如说不管是木马还是病毒,现在最终的媒介体应该是一个文件,我们还是在查杀文件,对于文件单个体来讲最重要的是采集过程。所以我们发布了一些工具,比如说可疑文件扫描工具,通过一些行为监控木马安装过程中的位置,尽快收集到,我们通过一套完整的分析、提取特征、升级(每周升级三次),快速的升级速度避免变种更新的方法。刚刚说到可疑文件静态的行为,比如说8749,如果发现主页被改成8749,我们就可以判断这台机器可能中了这个病毒,可能会感染QQ,我们就去QQ目录扫,是否存在这个文件,如果出现这个文件可能就是病毒的新变种。这种技术能够在最小损失和最快速度相结合的情况下避免病毒更大的危害。
张晓兵:
目前最有效的还是特征码技术,可以解决掉80%的可疑问题。它是最精准的病毒定位的方式。一些静态特征码对病毒的采集会有要求,没发现的时候会没办法知道的。我们为了弥补这个缺陷还要有未知扫描。行为查杀是文件刚刚被激活的时候对它进行分析。这跟金山数据流差不多,因为激活过程中发现的话是更有效的。如果想更好的遏制,就是要有一个好的收集、采集技术,这套体制对用户要求还是蛮苛刻的。因为这套体制除了有一些遍布在各个网点的自动的病毒采集,另外更主要依赖于病毒的上报和信息的交换。病毒本身就是传播面比较广,但是对于有目的的木马来讲用户是没感觉的,只能依赖于高级用户。
网友:
网易和21CN用的网页防篡改有什么区别吗?
张晓兵:
不知道是服务器端的防篡改还是客户端的防篡改,如果是客户端的防篡改还是流氓软件和木马更容易把首页给修改掉。如果是服务器呢,更主要是黑客行为,他们会有一些相应的防范措施,不是装一个杀毒软件就可以的,他们需要有一套流程去做。
网友评论