7.1.3 互联网时代
2003年以来,伴随着互联网的高速发展,恶意代码也进入越加猖狂和泛滥的新阶段,并呈现出种类和数量在迅速增长、传播手段越来越广泛、技术水平越来越高、危害越来越大等特征。伴随着恶意代码攻击技术的飞速发展,一些新的恶意代码防范技术也应运而生。
1.未知病毒主动防御技术
未知病毒主动防御的核心原理是依据行为判断,不同于常规的特征扫描技术。主动防御监测系统主要是依靠本身的鉴别系统,分析某种应用程序运行进程的行为,从而判断它的行为,达到主动防御的目的。
当前的杀毒软件都是通过从病毒样本中提取病毒特征值来构成病毒特征库,采用特征扫描技术,通过与计算机中的应用程序或者文件等的特征值逐一比对,来判断计算机是否已经被病毒感染,即由专业反病毒人员在反病毒公司对可疑程序进行人工分析研究。杀毒软件厂商只有通过用户上报或者通过技术人员在网络上搜索才能捕获到新病毒,然后重新病毒中提取病毒特征值添加到病毒库中,用户通过升级获取最新的病毒库,才能判断某个程序是病毒。
如果用户不升级,用户计算机上安装的杀毒软件就不能防范新出现的病毒,这也是专业反病毒工程师一直强调用户要及时升级杀毒软件病毒库的原因。这种特征值扫描技术的原理决定了杀毒软件的滞后性,使用户不能对网络新病毒及时防御,网络病毒的频频爆发已经使国际国内反病毒领域开始意识到,亡羊补牢式的防范技术越来越被动,所以主动防御监测技术应运而生。
2.系统启动前杀毒技术
近年来,一系列计算机新技术被病毒利用,人们发现,恶意代码开始越来越难清除了,感染病毒却无法查出,查出病毒也无法清除,甚至杀毒软件反被感染的事情经常发生。“Rootkit”、插入线程、插入进程这些计算机新技术已经成为木马病毒的常用办法。针对此类疑难病毒,BOOTSCAN系统启动前防范技术应运而生,此项技术能够在系统启动之前就开始调用杀毒引擎扫描和清除病毒,而在这一阶段病毒的这些自我保护和对抗反病毒技术的功能还没有运行,因此比较容易清除。
3.反病毒Rootkit、Hook技术
越来越多的病毒开始利用Rootkit技术隐藏自身,利用HOOK技术破坏系统文件,防止被安全软件所查杀。反病毒Rootkit、Hook技术能够检测出深藏的病毒文件、进程、注册表键值,并能够阻止病毒利用HOOK技术破坏系统文件,接管病毒钩子,防御恶意代码于系统之外。
4.虚拟机脱壳
虚拟机的原理是在系统上虚拟一个操作环境,让病毒运行在这个虚拟环境下,在病毒现出原形后将其清除。虚拟机目前主要应用在“脱壳”方面,许多未知病毒其实是换汤不换药,只是把原病毒加了一个“壳”,如果能成功地把病毒的这层“壳”脱掉,就很容易将病毒清除了。
5.内核级主动防御
2008年以来,大部分主流恶意代码技术都进入了驱动级,开始与安全工具争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制更多的系统权限。
内核级主动防御技术能够在CPU内核阶段对恶意代码进行拦截和清除。内核级主动防御系统将查杀模块直接移植到系统核心层,从而直接监控恶意代码,让工作于系统核心态的驱动程序去拦截所有的文件访问,是计算机信息安全领域技术发展新方向。