真是好久没更新Blog了-_- 发一个我在EST论坛的回帖(第48楼)
原贴位置:http://forum.eviloctal.com/read-htm-tid-15522.html
所谓的主动防御技术,目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题,但是,应用主动防御之后,仍然是杀毒软件在明,病毒/木马在暗。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件,然后慢慢研究,不用费多少时间,无法“主动防御”的病毒/木马就会诞生。所以,说主动防御能解决AV软件杀毒能力滞后的问题,只是一种炒作。据我所知,主动防御或行为检测的概念,在DOS时代就有了,只是没有明确提出来而已。国内的AV要么是买国外的引擎(以至于没有版权,不能深入开发,甚至不能修正bug),要么烂得可以。只好搞点“新概念”吸引眼球,特别是在市场已经被瓜分完毕,新的AV想分杯羹的情况。我前段时间见到一个据说是国内最早(比江民早)搞AV的人,在他看来,国内的查杀毒技术,10几年来就没有大的进步,搞来搞去就那一套。
主动防御依赖于行为检测,即所谓的“病毒行为动作特征库”。显然,这个行为特征库也存在信息滞后问题。比如对于木马修改注册表实现自启动这类行为,正常与否取决于注册表键值,没有一劳永逸的办法,只能是知道一个识别一个。大家可能都用过hijackThis或Autoruns,它们能列出系统中各种能实现自启动的地方,尤其是注册表特别多。随版本的升级,自启动项还在不多增加。再比如,我在《深入挖掘Windows脚本技术》中提到的WMI永久事件,这也是自启动,不知道现在市面上的AV有没有检测这个行为的。群众的创造力是无限的,再举个极端的例子,ACPI是可编程的,仍然写在注册表中(HKEY_LOCAL_MACHINE\HARDWARE\ACPI),有AV想到了吗?还有,写个dll取名和系统常用dll一样,导出的函数也一样,放在WINNT目录,当explorer.exe启动时,先加载的是这个Trojan Dll。有AV管这个吗?仅仅一个自启动,行为就层出不穷,再来个文件感染行为呢?
如果说,从病毒特征值检测到行为检测,一定程度上减少了“特征库”更新的频率,这是个进步。那么另一方面,误报率恐怕反而会增加。仔细想想就会知道,“擦边球”实在太多了。比如金山词霸(消息钩子、远程线程),Serv-U(安装服务),SoftIce和VMWare(安装驱动),BT和eMule(修改防火墙规则)等等。当然,AV会采取加权方式,只有行为的权值累积到某个阈值才报警。再复杂点的算法是把行为分组,一些普通的行为连贯起来就有了权值。这类方案算不上创新,任谁来设计都能想到。且不论该方案本身的复杂度,即使实现了,离“智能”还差得远着呢。当行为检测碰上QQ——自启动、安装驱动、监听端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告,这么多“恶意行为”集中在一个程序里,是木马吗??我开发安全产品的经验告诉我,控制粒度越精细,例外越多。QQ特例处理了,MSN呢?Skype呢?3721算不算木马?yahoo助手、网易泡泡,IE插件何其多。假设AV记录某个程序的各种行为,列成一张表,隐去文件名等信息后,交给“专家”来判断,能确定该程序是否木马吗?我看难说得很。人做不了的事,程序更搞不定了。
最后,我统计了一下我的电脑(刚安装不久)上Program File下的30个软件,一半以上具有至少一个“恶意行为”,1/3具有两个或两个以上“恶意行为”。从概率上说,全世界有1/3的程序可能被拦截并提示用户,行为拦截机制多数情况在制造麻烦。要知道,多数AV用户是不熟悉计算机的,别指望拦截行为后给出提示,交给用户判断,就能“明辨是非”。而且,不是由用户自己装的就一定是正常的软件,也许是文件捆绑、伪装、欺骗用户执行,或者漏洞溢出执行,或者黑客入侵并像正常用户一般执行程序。当然,这种问题稍稍超出主动防御的范畴了。
总之,我认为目前的主动防御技术,仅仅是原有技术的补充(很多AV已经这么做了),再往多的说就是炒作了。
