特征码-永远重要而永远被忽略的技术
本帖最后由 wd19880427 于 2010-5-2 09:44 编辑
http://bbs.kafan.cn/thread-693696-1-1.html
自从金山高调打出“可信云安全”的大旗之后,“云安全”从辅助杀毒技术一跃成为主要杀毒技术进入了杀软的舞台。其实“云安全”的广义概念由来已久,世界各大厂商都或多或少地运用了云安全技术,例如诺顿、趋势、熊猫、avast!、comodo、瑞星、江民、金山等等,他们“云安全”的体现和阐述各不相同,大致分为可信软件(厂商)认证、用户群安全社区、云端黑名单库、云端白名单库几种。除了金山之外,其他的厂商大多使用云安全进行辅助。
主动防御技术最早的概念就是HIPS-基于主机的入侵防御系统,这个技术其实也是作为辅助存在的,例如comodo的D+组件、Threatfire的“0day”防御、各大主流杀毒软件的“主动防御”、“可疑木马检测”模块等。在微点出来以后,主动防御才成为广大普通用户也可以拿来单奔的技术(HIPS确实可以单奔,但由于其对用户本身技术水平要求比较高,而不被各大杀软作为单奔选择)。
为什么要把大家都认为比较垃圾的特征码技术也拿进来和后面这几个“热门”技术进行讨论呢?因为特征码杀毒是全世界99%以上杀毒软件的基础,可以说是“老本”。其他的新兴杀毒技术再怎么被开发应用,主流杀毒软件也从未放弃过特征码识别技术,甚至部分主动防御做得很成熟的厂商都不免介入特征码查杀这一块,例如微点、comodo。安全性和用户需求永远是相辅相成的。
启发式技术其实是基于特征码和规则库的一种辅助技术,是特征码杀毒技术的延伸(包括纯启发百锐,有时候也会报具体的病毒名,说明其实是自带了黑名单库匹配的,只是不更新,固定在软件内了)。有时候做到极致的话,不加启发式也可以达到很高的侦测率。例如Ikarus,没有启发,没有主防,仍然有超高的侦测率。
曾经有人发问:杀软的未来是什么?是云安全?是主动防御?他都没有提到启发式,因为启发式技术由于其基于特征码的特点,总是被人家认为是“普通”的技术。但是世界上没有主防和云安全,就靠启发的名牌杀软也不少,例如Nod32和红伞V9。我所知道的“全副武装”---带满特征码升级、主动防御、动态/静态启发、沙盒的软件,也就卡巴斯基全功能和江民杀毒软件(我孤陋寡闻,敬请补充),而这两款软件之庞大、臃肿、卡机的特点那是被无数人诟病的。
我个人认为,杀软未来的技术趋势,肯定是多方向的,不会是单一的。“任何单一反病毒技术都不是救世主”。我比较倾向与云+智能本地主防+本地特征码或者云+本地行为控制+本地特征码。原因也不必多说:不管“晕”得多么厉害,也不管“煮”的多么厉害,都免不了要考虑多方面的因素。纯粹的云:断网就完蛋。虽然断网的机会很少,但没人愿意当那个倒霉虫;主动防御必须依靠规则库和用户判断,因为再怎么鼓吹“专家系统”也不能保证真的有一个“专家”能帮用户进行所有选择,毕竟现在计算机技术还没发展到人工智能AI的水准。
云断网了怎么办?主动防御被绕过了怎么办?特征码帮你忙。美艳之妾不如糟糠之妻,老本永远奏效。当然,针对特征码的免杀技术太太太多了,所以纯靠特征码也不是办法,这才需要用主动防御进行“前摄性防御”,由特征码技术进行“补充性防御”,由云安全进行“后摄性防御”。
我们必须要正视一个现实:所有本地防御技术都存在被突破、绕过的风险,真正的安全只存在于网络---因为没人知道网络端有何杀毒技术,也就不可能绕过---也许这一刻绕过了,但是当下一刻又被杀了,无用功。但是网络端安全技术毕竟是“他人的妈”,网络一断,就没奶水了。而且还存在滞后性的问题。并且虽然一个用户率先中一个流行病毒的概率非常之低,但是没人愿意做那个第一个倒霉虫。又需要本地技术辅助。
所以,特征码技术是所有花里胡哨的杀毒技术的基础和根本。当云安全滞后的时候,他可以补漏;当主动防御被穿的时候,他可以补漏;他还是启发技术的根本和源泉。可以预见:未来五年内,90%以上的杀毒软件都绝不可能整个抛弃特征码技术,没人会是救世主,因为他们都站在巨人的肩膀上。
首先声明,没有很仔细地看完全文~~只是说道这个话题也发表一些自己的看法。
特征码最怕遭遇的问题估计就是非固定的特征码了。
多年前曾看过报道,外国有个病毒组织,向各大杀毒厂商发布过一个作品,那个作品就可以实现不断地变化,不会有固定的特征码,而阻碍他传播的两个原因,一是说只是要展示技术,二是据说体积很大,网络传播比较困难。详细的报道已经记不清了~~
特征码始终是事后诸葛亮,必须要先发现病毒,定型病毒,然后猜可以查杀病毒。
如果让我猜想。。最好还是人工智能快点搞定。。然后用人工智能来对付病毒。。通过行为或者其他一些特征来查杀阻止病毒。。不过如果人工智能被开发了出来。。估计病毒也是会有人工智能的…… 没有破不了的程序
没有穿不过杀软的病毒
现在玩的只是时间~ 我觉得特征码还是最经典最有效的查杀技术
虽然云查杀之类概念很热,但其本质上还是特征码吧 特征码牛X啊,我写个小驱动,小红伞定位特征码在输入表那个 ntoskrnl.exe 无语
也玩了下卡巴 锁定特征码 基本都是常量+字符
无语了 装了杀软,只是为了心安。长期不提示,也犯嘀咕。
所以裸奔。 破解云查杀和破解网络验证区别不大吧...个人这样认为 无论特征码多么的不受人待见。目前特征码仍然是杀毒经验传递过程中,速度最快,效率最高,准确性最好的一种方式。 杀软应该是基于特征+行为,其实行为也包含在特征之中
即使主防、启发、云,应该也是特征,没特征怎么区分是否是病毒,不能只判断一下文件的MD5值吧,这些也只是一些噱头而已 不用断网,直接像防火墙那样,卡住云安全对外连接. 问题是现在的病毒那么多,如何改良数据库和算法?
10000000条数据1秒,那500000000呢?
其实也有个很好的办法解决.......:D: 有效防范还得依赖特征码,光靠云端还是不够的 区别不大吧 感觉还是行为特征查杀靠谱些... 可以从正向来看,杀软公司对特征码的态度就可以很好的反应出特征码的重要性,绝对不会过时,但以往的特征码技术面对目前的技术发展肯定不可能完全适应,同样需要有所改进,有所发展,不过归根结底还是特征码……
页:
[1]
2