“AV杀手”考验杀毒软件自我保护技术

互联网 | 编辑: 杨剑锋 2008-07-01 13:49:00转载-投稿

近日,一个强行关闭数百种安全软件的“AV杀手”病毒引起了众多电脑用户的关注。据报道,“AV杀手”变种病毒运行后,能够利用恶意驱动程序强行关闭大量流行安全软件,大大降低了被感染计算机上的安全性。病毒会强行篡改注册表内容进行映像劫持,禁止近百种安全软件、安全辅助工具以及调试程序的运行,导致用户计算机系统毫无安全保障,严重威胁用户计算机的安全!

病毒的嚣张让普通电脑用户不寒而悚。更加可怕的是,这些病毒将上百种安全软件关闭后,向染毒电脑中下载大量的木马、后门等恶意程序,黑客可以为所欲为,盗号、窃密更是易如反掌。人们不禁要问,难道我们一直依赖的杀毒软件在病毒面前真的如此不堪一击吗?是病毒太狡猾,还是杀毒软件太无能?

遍搜网络,除了老牌杀毒厂商江民科技明确表示,江民杀毒软件KV2008不会被此类病毒关闭,而且目前尚没有发现能够关闭江民KV2008的病毒外,其它所有杀毒软件均无明确表态。

据了解,计算机病毒目前已经进入了驱动内核级,而许多安全软件技术还停留在应用级,难怪会被病毒轻易结果了。江民反病毒专家介绍,病毒关闭杀毒软件经历了以下几个阶段。

早先病毒关闭杀毒软件,主要通过监测窗口标题的形式,一旦监测发现标题中包括有“杀毒软件”“安全软件”或其它病毒特定的杀毒软件品牌字样时,就会发送关闭消息,关闭杀毒软件进程。这种方法很轻易被杀毒厂商破解了,反病毒专家将窗口标题采用动态标题和进程保护技术,每次软件启动后,窗口标题出现都是无规律的,如“江民杀毒软件”,字与字之间会有随机空格,让病毒无法获取到特定的字样,这样也就无法触发病毒发送关闭消息,而进程保护技术通过提高进程和系统权限,防止被病毒关闭。

随着窗口监测技术被破解,病毒作者又利用了映象劫持技术,通过Windows映像劫持技术(IFEO)修改注册表,致使许多与安全相关的软件无法启动运行。针对这种技术,杀毒厂商拿出了反映象劫持技术。以江民杀毒软件为例,首先,江民杀毒软件KV2008对系统注册表进行了特殊保护,特殊系统关键键值被保护为只读,无法进行修改的。对于一些其它的非关键键值,如果病毒修改了注册表,江民杀毒软件会及时报警,并对这种行为进行阻止。而且,江民KV2008系统诊断功能中,能够对注册表键值进行扫描,并可以列出非正常的键值进行标记,便于用户进行删除和修改。

而进入2008年以后,病毒关闭杀毒软件的技术进入了内核驱动级。病毒通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改SSDT表等技术实现WINDOWS API HOOK,从而使得杀毒软件监控功能失效。至此,杀毒软件与病毒的较量已经进入了内核级,比拼的是谁对WINDOWS操作系统的底层技术把握的更精确,更独到,谁获得的系统权限更大、速度更快,比拼的是谁的经验更丰富,谁的技术积累更深厚。

病毒并不可怕,可怕的是多数杀毒厂商的集体失语。面对AV杀手这样的病毒,我们不希望只看到江民一家杀毒厂商站出来喊我们技术可以,不会被病毒关闭,而要所有杀毒厂商都站出来喊我们可以。只有杀毒厂商全面的技术进步,才能够保障整个互联网的安全,才能够让所有的电脑用户放心使用杀毒软件。 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑