主動防御，實現(xiàn)殺防一體化

近幾年，病毒發(fā)展和以往有了很大不同：感染型病毒減少，而木馬數(shù)量暴增；病毒與殺毒軟件公開對抗，免殺方法層出不窮；木馬呈現(xiàn)牟利化趨勢。其中牟利化是病毒發(fā)展核心原因，正因病毒研發(fā)目的由早期技術(shù)驗證轉(zhuǎn)向了謀取利益，促使黑客開發(fā)新木馬并主動研發(fā)免殺技術(shù)以躲避殺毒軟件的查殺，實現(xiàn)其經(jīng)濟(jì)利益最大化目的。

特征碼技術(shù)作為上一代反病毒技術(shù)，曾發(fā)揮了重要作用，但面對當(dāng)前黑客大規(guī)模制造各種以竊取商業(yè)秘密、虛擬財產(chǎn)、銀行帳號等為目的的木馬程序病毒發(fā)展新趨勢時，其已明顯力不從心。黑客為避免木馬被殺毒軟件發(fā)現(xiàn)，開發(fā)出多種簡單易行的病毒免殺技術(shù)，無須重新編寫病毒程序，只需經(jīng)過簡單加殼、加花指令、定位并修改病毒特征值等技術(shù)方式處理，很短時間內(nèi)可大批量制造出可逃避傳統(tǒng)殺毒軟件查殺木馬變種。更為嚴(yán)峻的是，已出現(xiàn)了自動加殼機(jī)和免殺機(jī)，甚至還實現(xiàn)了商業(yè)化，作者每天對其進(jìn)行更新，升級速度超過了殺毒軟件。利用這類工具自動生成的木馬變種，往往能夠躲過最新版殺毒軟件的查殺。木馬生產(chǎn)的“工業(yè)化、自動化”導(dǎo)致木馬越來越難以被反病毒公司收集，更令用戶擔(dān)心的是，在反病毒公司收集到樣本并能升級查殺木馬之前，這些木馬已造成的損失如何處理？傳統(tǒng)殺毒技術(shù)落后于病毒技術(shù)的發(fā)展已是不爭事實，它已不適應(yīng)當(dāng)前反病毒需求。

熊貓燒香來了，熊貓到底在為誰祈禱我們不得而知。但給了特征碼技術(shù)致命一擊的，也正是這只燒香的熊貓。李俊僅僅靠頻繁變種這簡單的體力勞動，就輕易擊敗了某些殺毒軟件。只能跟在李俊屁股后面跑，李俊升級病毒，殺軟升級病毒庫，周而復(fù)始，反反復(fù)復(fù)，問題得不到解決。甚至有些反病毒公司公開掛出了白旗，“只要病毒作者不再升級，我相信任何一家安全軟件廠商都能輕松‘搞掂’?！?/p>

病毒“蓬勃發(fā)展”，反病毒技術(shù)必然也要升級。2005年提出的主動防御，在2006年底被熊貓燒香催化開來，反病毒產(chǎn)業(yè)醞釀轉(zhuǎn)型，特征碼退居次席，主動防御走上了前臺。2008，順理成章成了主動防御普及年。

雖然殺毒軟件防范已知病毒具有比較好的效果，但是對于未知病毒（殺毒廠商尚未捕獲到的病毒和新出現(xiàn)的病毒），傳統(tǒng)的殺毒軟件就顯露出致命的缺陷——幾乎完全沒有防范能力。近幾年，不斷肆虐的病毒就充分說明這一點，每當(dāng)病毒大規(guī)模爆發(fā)時，我們不斷看到的現(xiàn)象是反病毒公司紛紛要求廣大用戶必須緊急升級殺毒軟件。因此，面對層出不窮的新病毒，如何有效防范未知病毒成了反病毒領(lǐng)域必須解決的首要問題。

其實主動防御并沒有那么神秘，主動防御和殺毒軟件同屬于反病毒軟件范疇，區(qū)別在于殺毒軟件只能處理已知病毒，而主動防御軟件則可以有效處理未知病毒，也就是說主動防御軟件其實就是新一代的可以處理未知病毒的反病毒軟件。反病毒軟件之所以被稱之為反病毒軟件，是因為其具有自動識別病毒、準(zhǔn)確報出病毒和自動清除病毒三大基礎(chǔ)功能。主動防御軟件的“新”體現(xiàn)在主動防御可以準(zhǔn)確自動識別未知病毒、準(zhǔn)確報出未知病毒和自動清除未知病毒。

例如，我們定義這樣一條病毒判斷規(guī)則：如果MSN接收的某個文件運(yùn)行后，模擬鍵盤或鼠標(biāo)動作，自動點擊MSN的“發(fā)送文件”命令，把它或它的生成物自動發(fā)送給其他MSN聯(lián)系人，則這個文件就是MSN蠕蟲病毒。此規(guī)則可用于發(fā)現(xiàn)“性感燒雞”MSN蠕蟲病毒，以及所有采用這種傳播方式的MSN蠕蟲病毒，而不論該病毒是什么時候編的，也不論是已知的還是未知的。

當(dāng)然，“主動防御”技術(shù)也不是萬能的，它也不能發(fā)現(xiàn)100%病毒，主動防御技術(shù)首先需要有前瞻性，同時也需要不斷發(fā)展、不斷創(chuàng)新。從實用的角度上看，我們并不需要“主動防御”技術(shù)能夠防范幾年后的病毒，只要能防范不遠(yuǎn)將來出現(xiàn)的新病毒就可以了。即使“主動防御”產(chǎn)品不能防范某個具有重大創(chuàng)新的病毒，經(jīng)升級后，可防范所有此類病毒，相比傳統(tǒng)殺毒軟件，“主動防御”極大提高了產(chǎn)品防范新病毒的能力。

從防病毒卡純粹的防御，到特征碼事后殺毒，再到如今主動防御實時監(jiān)控、殺防一體化，反病毒技術(shù)一路走來。用戶無需知道技術(shù)的變革，但是會深切體驗到完備的安全技術(shù)帶給他們的方便與快捷。