盘点即将过去的2006年,计算机病毒多变种,恶意软件、流氓软件的泛滥,钓鱼欺诈网站的频繁出现,都给网民留下深刻印象。为在新的一年里对杀毒市场展开新一轮争夺,主流杀毒软件也纷纷发布了新一代产品。纵观各厂商提供的解决方案,技术定义虽各不相同,但实质是对变种病毒、流氓软件提供了新的解决方案。本文就金山毒霸2007的相关功能做一简单点评,揭密金山毒霸2007的技术亮点。
亮点一,脱壳查杀技术
2006年,被截获的计算机病毒数量激增,据金山反病毒中心提供的数据,今年一个季度截获的病毒数量,大致相当于去年一年截获的数量。其中大量病毒是被传播者利用加壳打包工具处理过的,其目的是逃避杀毒软件的追杀。
杀毒软件处理加壳病毒,通常采取两种方法:一是对加过壳的病毒按新病毒处理,在病毒库中新增一个变种的特征。二是杀毒引擎提供脱壳算法,分析病毒加壳的类型,杀毒引擎完成解壳杀毒过程,也称静态脱壳。两者各有利弊,加新特征就需要获取新样本,没有样本之前,杀毒软件就可能无法检测到加壳病毒。静态脱壳检测速度快,资源占用少,是业界通行的作法。但开发周期较长,一种脱壳算法,只支持一种或一类相关加壳软件处理的病毒。如果病毒使用新壳,静态脱壳就需要时间来分析新的算法。杀毒厂商通常二者兼用,相互取长补短。
有别于虚拟机脱壳技术,金山采用数据流脱壳。虚拟机脱壳,是在正常的系统内存中开辟一个虚拟环境,在虚拟环境运行病毒程序本身的脱壳代码。这种方法的好处是减少了静态脱壳的开发周期,但缺点也是显而易见的,就是需要消耗更多的系统资源,特别是在一个病毒经过多层加壳,或者多种加壳软件嵌套加壳之后,虚拟机消耗的系统资源急剧上升,系统性能也会明显变差。
金山采用的数据流则更大胆,直接分析病毒运行过程中生成的数据流特征。在病毒程序运行时,首先会自行脱壳,从而暴露出程序原始特征,在病毒原始代码现身后,杀毒引擎会及时做出响应,将病毒程序清除,这种方式避免了虚拟机需要的资源开销,内存耗损。此外,数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如,病毒A是一个加壳病毒,脱壳后生成病毒B,那么只要能够清除病毒B,就可以清除与A具有相同特征的加壳病毒C,而无论C脱壳后生成的是病毒D还是F。对于静态病毒文件,由于不产生数据流,对系统不具有破坏威胁,采用数据流杀毒技术将不会被检测到。
测试中使用了广为流行的灰鸽子样本,经过加壳处理,在打开样本程序时,金山毒霸数据流引擎立即检测到病毒,并完成病毒清除。
亮点二,查杀“流氓”软件
亮点二,查杀“流氓”软件
病毒通常是个人行为,开发者通常孤军奋战整个反病毒团队,显得势单力薄,制作和传播病毒又是法律明令禁止的犯罪行为,杀病毒技术相对成熟。而流氓软件则不同,流氓软件没有被法律明确禁止,其定义至今仍存在争论,流氓软件又潜在巨大的商业利益。可以说,每一个流氓软件背后都有商业公司在支撑。
杀流氓软件,不仅存在法律风险,也存在技术风险。从技术层面讲,流氓软件通常是多个进程相互守护,并且多采用了Rootkit技术。而杀毒软件按照传统的病毒处理流程,是对硬盘文件特征和病毒库特征进行比对,检测病毒是按顺序处理的,当遇到守护进程的流氓软件时,杀毒处理流程就失效了,Rootkit技术可以有效隐藏流氓软件自身,当系统接口(API)返回一个某文件不存在的虚假值时,杀毒软件也是无可奈何。
因此,处理流氓软件必须作长期打算,须采取有别于病毒的处理方法。金山毒霸的Anti-Rootkit技术和文件粉碎技术,综合分析流氓软件的特征,通过执行流氓软件的逆运算,令流氓软件的Rootkit失效来完成卸载。金山毒霸将流氓软件的清除集成到软件中,单独提供了金山反间谍模块,平时不驻留内存。
对于想彻底删除的文件,可以使用文件粉碎机彻底删除。文件粉碎器基于磁盘物理扇区的粉碎机制,能够彻底清除文件内容、文件名以及分配表等所有文件信息,保证了被粉碎文件无法恢复。符合美国国防部对机密文件的粉碎处理方式,其独有方式刚好突破流氓软件的自我保护功能。
测试过程:在测试机上同时安装了CNNIC,彩信通,SPOOLSV、百狗(Baigoo)、3721,百度等多个流氓软件,然后在不关闭任何进程以及使用任何工具的情况下,把所有流氓软件相关的目录、驱动文件、可执行文件,通过文件粉碎器,一次性全部删除!感觉简直是个奇迹。
亮点三,反网络钓鱼
亮点三,反网络钓鱼
人们对街头骗子玩儿的障眼法一定不陌生,网络钓鱼就是互联网上的街头骗子,钓鱼网站以假乱真的程度,令人叹为观止。上当中招轻则丢失QQ、网游帐号,重则多年积蓄血本无归,网络钓鱼已成为互联网的大毒瘤。在IE7和Firefox中,都提供了仿冒网站筛选功能,其原理是收集了大量仿冒网站的黑名单,对其仿冒的对象则设置了白名单。如果浏览器发现你登录了一个黑名单中的网站,就会立即对访问者进行提醒。
金山毒霸的反钓鱼也提供了这样的名单,其作法是在用户访问与白名单极度相似的网站时,根据模糊匹配算法,及时提醒访问者。比如,访问[url]www.icbc.com.cn[/url]可以访问中国工商银行官方网站。当你通过浏览器跳转时,可能会被引导至一个[url]www.1cbc.com.cn[/url]或者[url]www.lcbc.com.cn[/url]的网站。这时,你就会收到金山毒霸的警告信息。
如果无意中进入一个钓鱼网站,你可以把这个危险域名添加到金山毒霸的反钓鱼网站黑名单里,就能避免不小心中招的情况。
如果无意中进入一个钓鱼网站,你可以把这个危险域名添加到金山毒霸的反钓鱼网站黑名单里,就能避免不小心中招的情况。
亮点四,威金病毒免疫技术
在对付生物病毒时,医学家除了直接使用杀灭病毒的药物外,广泛采用疫苗来保护未受感染的个体。金山反病毒中心的研究人员分析了病毒的通用特性,开发出类似生物疫苗的病毒疫苗。其原理是:在安装金山毒霸的机器上修改某个系统特征,使其具备病毒***后的通用特征,这样,在新病毒企图感染这台计算机时,计算机病毒检测到该主机已经感染病毒的特征,于是不再传染这台目标计算机,从而使该主机免受***。
正如生物疫苗只适用于某一类病毒一样,计算机病毒免疫技术并不针对计算机病毒整体产生作用。而是针对感染强烈、传播广泛、后果严重的恶性网络病毒而设计。目前,金山毒霸2007已经成功实现针对威金(viking)病毒的免疫。
测试中,在一台没有安装任何补丁的目标靶机上安装金山毒霸,将文件实时监控关闭,在相邻的网络中激活威金病毒,观察发现该病毒未能***目标靶机。
亮点五,垃圾邮件过滤技术
相信众多用户受到过垃圾邮件的骚扰,垃圾邮件不仅占用了网络带宽,处理邮件时,还需要消耗时间分捡垃圾邮件。目前,也有不少垃圾邮件解决方案,但在灵敏度和准确度上都不太令人满意。垃圾邮件规则过于严密,会把不少正常邮件过滤到垃圾邮件中,反之,则会仍然收到大量垃圾邮件。比如,使用Outlook的用户或多或少都存在这种困惑。
金山毒霸是业界最早提供垃圾邮件过滤功能的反病毒软件,2007版内置的垃圾邮件特征达上万种。但光说不练总是难以让人信服,且看测试结果如何。
测试中,我们使用Outlook Express作为邮件客户端,将帐号设置为保存邮件副本在服务器端,在两台机器上展开测试,保证两台机器收到内容完全相同的邮件。其中一台机器安装金山毒霸,其反垃圾邮件模块设置如下图所示:
金山毒霸的反垃圾邮件设置支持黑白名单编辑,关键字过滤,以前邮件编码的字符集过滤(比如,你只收中文邮件,那么可以把除中文之外的其它字符集邮件全部当垃圾邮件过滤),同时,还提供了备份恢复邮件过滤规则的功能。
金山毒霸的反垃圾邮件设置支持黑白名单编辑,关键字过滤,以前邮件编码的字符集过滤(比如,你只收中文邮件,那么可以把除中文之外的其它字符集邮件全部当垃圾邮件过滤),同时,还提供了备份恢复邮件过滤规则的功能。
测试结果相当令人满意,在收到的近200封邮件中,所有垃圾邮件被自动移到“金山毒霸识别的垃圾邮件”文件夹,可能是我们测试的样本量不够大的缘故,没有发现一封误判或漏网的垃圾邮件。
亮点六,主动升级技术
亮点六,主动升级技术
计算机病毒数量激增,已经是个不争的现实,增加更新频率,只有反病毒软件的更新速度超越病毒传播的速度,才能更有效遏制猖獗的计算机病毒犯罪。在这方面,国内厂商已经领先于国外厂商,基本实现了每天三次更新。
目前单机版杀毒软件主要靠客户端程序的定时升级,比如每2小时连接一次升级服务器,发现有数据更新就完成下载,相信用户对杀毒软件自动更新不陌生。目前,金山毒霸除了每2小时连接一次服务器外,在升级细节上显得更贴近用户。据金山开发人员介绍,金山毒霸的升级频率,并不完全取决于客户端,而是由服务器端控制的。比如,目前监测到一个严重等级的病毒,而此时,病毒库尚未发布,此时某客户端请求升级。服务器可以将该客户机下次升级的时间间隔修改为15分钟。另外,在系统重启,网络断开后重连,都会激发毒霸客户端启动在线升级。客户端升级服务时间也可以自由调节,比如从7天调整为30天,客户机端不需要任何修改就可以实现。在恶性病毒***事件出现时,基于服务端控制的升级策略,还可以实行推广模式,让过期用户也获得最新的升级数据。
金山毒霸2007成功升级后,自动在后台检测漏洞补丁的安装情况及本机是否被安装流氓软件,指导用户完成补丁安装和流氓软件清除。
亮点七,金山数据修复
文档被病毒删除,或者误格式化,误删除的情况时有发生,特别是进入数码时代,我们可能经常会遇到珍贵的数码照片在热拔插存储卡时丢失。这时,我们就需要一剂后悔药来修复丢失的数据。以前,用户需要花较大代价采购专业数据修复软件或者请专业技术人员进行恢复,修复的成本有时是用户无法承受的。
现在金山毒霸2007高级数据修复版集成金山数据修复功能,可轻易帮助找回丢失的文件。
测试发现金山数据修复2007的恢复效果和国外同类产品相比毫不逊色,并且更为简单易用。常规恢复可以选择只恢复特定目录下的文件,而不必象国外产品那样,必须扫描全部存储设备才能进行恢复操作,金山数据修复甚至可以选择只恢复部分后辍名的文件,同样支持分区丢失后的数据恢复。
结束语
在今天,杀毒产品的竞争日趋白热化,国外巨头无不垂涎中国杀毒软件市场。2007年微软OneCare将会进入中国,按照微软的常规操作手法,前期可能会放手用户盗版。国产杀毒软件将面临更严峻挑战。通过对金山的数据流、Anti-Rootkit、反钓鱼技术、威金(viking)病毒免疫技术,升级机制以及金山数据修复的评测,我们看到了国产杀毒软件的技术进步。
结束语
在今天,杀毒产品的竞争日趋白热化,国外巨头无不垂涎中国杀毒软件市场。2007年微软OneCare将会进入中国,按照微软的常规操作手法,前期可能会放手用户盗版。国产杀毒软件将面临更严峻挑战。通过对金山的数据流、Anti-Rootkit、反钓鱼技术、威金(viking)病毒免疫技术,升级机制以及金山数据修复的评测,我们看到了国产杀毒软件的技术进步。
金山毒霸推出的数据流杀毒技术,对加壳打包的病毒文件提供了新的解决方案,同时又避免了虚拟机脱壳及静态脱壳的缺点。独特的文件粉碎技术,使我们获得了对付流氓软件的致胜法宝,高端产品提供的数据修复功能降低了普通用户修复丢失文件的难度。我们期待金山能够提供更多更有效的恶性病毒免疫器,同时期待国产杀毒软件的成功。
)
--拼接方式)
)
)
--render使用)
--row上面加样式)
)
:react脚手架)
:dom的diff算法2)
