杀毒软件穷则思变
第三章 杀毒软件穷则思变
上述四个问题让杀毒软件在互联网时代极为尴尬,一些新的技术和想法开始出现:
①启发式扫描的利弊
启发式扫描指的“运用某种方式去判定事物的知识和技能”,是让杀毒软件具有学习能力的一项技术,通过行为判断、文件结构分析等手段,在较少依赖特征库的情况下能够查杀未知的木马病毒。
在各杀毒软件中,小红伞的启发是公认最牛的,在安全论坛上的查毒测试总是无比强悍,但在国内小红伞的用户却非常少,一方面小红伞的知名度在国内较低,另一方面启发式扫描也有着无法回避的问题,就是动辄高达30~40%的误报率。
在实验性样本测试和安全技术爱好者看来,启发式扫描比特征库优越得多,但可以肯定的是,杀毒软件在明处,木马作者在暗处,Windows操作系统都漏洞百出,更何况是杀毒软件,黑客写出的木马要想有买家,一定是能对主流杀软免杀的,而不是在安全论坛上用来测试的样本。
这也是绝大多数杀毒软件仍然坚持特征库杀毒引擎的重要原因。
②杀毒软件互相“学习”的潜规则
单个杀毒厂商采集样本和分析样本都有着处理能力的瓶颈,于是彼此之间互相学习(更准确的说是“抄袭”)就成了业内公开的潜规则,比如说使用其它杀毒引擎检测样本、逆向分析其它杀毒引擎的脱壳技术等等。
这个潜规则有效地促进了安全行业的“资源共享”,当一款杀毒软件能查杀某个新型木马,大约在两三天内其他杀毒软件都能纷纷跟进,但这也造成杀毒行业陷入同质化发展的局面,区别仅在于各自代码的编写质量,直观表现就是资源占用和扫描速度不同。
穷则思变,杀毒软件需要改变,活跃了20年的特征库杀毒引擎是否会退出历史舞台?用户的需要将决定一切。
网友评论