云安全必须依赖技术
现在各个国内三大厂商都有了“云”计划,其实通俗的理解就是如果软件在客户机上发现了可疑的文件,在客户允许的情况下,通过网络自动上报、自动分析,并快速的反馈其分析结果。这样做好处在于:1.借助于该系统厂商可以快速的捕获新木马病毒;2.可以快速的对样本进行分析,缩短反应周期。
也正因为有了该系统,防毒软件厂商的日处理能力从根本上有了“量”的变化。各个厂商都宣布日处理病毒能力比以往提高了几百倍!但是,在盲目的追求“量”的同时,有谁在关注“质”的变化?又有谁想过病毒程序“质”的变化?不够强壮的防毒软件杀毒软件在病毒面前就可能会出现“有心无力”的尴尬,也就不足以担当保护系统安全的大任!
从whboy开始,病毒已不再胆怯,已经再和防毒软件做控制权的争夺。
阻止进程管理工具运行、阻止防毒软件:
1.(早期通过效验进程名,文件名来阻止特定程序运行)(向特定程序发送大量垃圾消息,造成程序无法处理,自行退出)
典型:worm.whboy. 危害等级:★
2.(释放N个恶意的DLL动态链接库组件插入系统各个进程)可以较好的躲避查杀..隐藏自身,并绕过防火墙监视。
典型:AV终结者。危害等级:★★
3.(使用Rootkit技术,并把自己注册成一个服务或多个服务,启用多个进程互相监视,并会恶意修改注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder] 里面的相关键值,来屏蔽显示隐藏文件功能,这样无论用户在系统设置中如何显示隐藏文件,都无法看见病毒体,这就给用户的样本提取和上报带来了难度。
技术较量
典型:灰鸽子Backdoor/Huigezi 危害等级:★★★
4.(IEFO重定向劫持技术病毒通过修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\],来禁止常见的杀毒软件、防火墙软件和安全工具的运行,从而达到躲避查杀,隐藏自身的目的。
典型:映像劫持者 。危害等级:★★★★
5.恶意驱动技术:病毒会释放特殊的恶意驱动程序接管冰点或者硬盘保护卡对硬盘的读写操作。并替换系统关键程序 explorer.exe等。阻止安全软件以及还原软件..
典型: 机器狗 危害等级:★★★★★
6.还原“SSDT HOOK”技术:病毒首先会释放恶意驱动程序,会利用内核级的还原“SSDT HOOK”技术去恢复被感染计算机系统中的SSDT表(System Service Descriptor Table,系统服务描述表),导致大部分旧版安全软件和杀毒软件的监控与主动防御功能失效,结束这些旧版安全软件和杀毒软件的主程序进程与监控程序进程,达到自我保护的目的。
典型:SSDT杀手 危害等级:★★★★★★
如果防毒软件在遇到新病毒时,发现了却无力清除,或者反被病毒关闭,如果这样即使再“云”你放心吗?即使运用了“云”计划一天升级几万个特征,但是软件是“纸糊”的,看到这样的“云”你怕吗? 其实防毒软件厂商应该关注的是“内核级自我保护”“智能主动防御”“虚拟机”等核心技术,并不一定要盲目的追求一味的看“云” ,“云” 计划只有建立在核心技术过硬的条件下才能发挥最好最大的效果。
编者按:“云计划”、“云安全”在今天已经不能算是新鲜的词汇,我们也欣喜的看到各个安全软件厂商致力于“云”的计划和实施,并且我们也看到了很多的变化,然而我们看到更多的是“量”的变化,诸如病毒库的强大等,却很少看见“质”的变化。从量变到质变是需要一个过程的,在这个过程中,技术、过硬的核心技术是关键。“云” 计划只有建立在核心技术过硬的条件下才能发挥最好最大的效果!”
网友评论