杀毒软件之惑
第二章 杀毒软件之惑
现在互联网上最强的黑势力是难以尽数的盗号工作室,比较出名的有赤兔马、老A、乐意马、铁血等等,这些都是木马可执行文件上带有品牌的,还有更多神秘低调的木马团伙,它们变种之快让人们难以想像,杀毒软件终于日益力不从心:
① 样本采集问题
为了尽快抓到木马样本,不少杀软开始尝试云安全的思路,一方面是让用户自动举报行为可疑的软件,另一方面是在用户访问到挂马网页时从网马中捕获。前者的问题在于木马作者在编写时通常早有对策,至于后者,就需要杀毒软件对挂马网页足够灵敏,而且用户量足够大。
②样本分析问题
木马的疲劳战术是杀毒厂商最为头疼的问题,杀毒引擎要工作,就要把新木马的特征码人工分析截取出来,还得严格测试保证不出现严重误杀。对一家大型杀软厂商来说,每天分析成百上千个新样本是没问题的,但如果每天有数十万个甚至上百万个新样本,没有哪家厂商能够有这样的人力。
③特征库升级问题
即便木马的特征码都能被提取入库,升级特征库也不容易。一方面是时效性,比如很多杀毒软件租用CDN服务器来发布特征库的更新,最快也得3个小时用户才能开始升级,更何况之前还需要分析编码,按照现在木马的变种速度,等到升级完特征库,比较有组织有实力的木马早就自动重新免杀了,这也是人们一直抱怨杀毒软件滞后查杀的重要原因。
④系统资源占用问题
特征库无限制增大对用户的影响也非常明显,首先杀毒软件只要开着,特征库就需要写入内存,定期升级特征库也要耗费不小的流量;杀毒引擎的特征码匹配式查杀、而且是全库匹配造成扫描速度很慢,很多用户因此只在电脑发生问题时才进行扫描,留下不小的安全隐患。
网友评论