主动防御技术光环的背后……

AV终结者刚刚沉寂，小浩又闪电现身。在这个病毒横行的年代，有谁能保护我们的安全呢？杀毒软件厂商们试图用层出不穷的技术名词抚平我们不安的心绪。但是，面对特征值扫描、启发式、虚拟机、碎甲、脱壳等一系列让我们感觉如同云里雾里的技术名词，我们又怎么知道什么才是最根本的解决方案呢？

　　是纵横江湖多年的特征值扫描吗？很不幸，熊猫烧香的崛起就已彻底宣布了这位老剑客的没落。“截获－分析－升级”这一成不变的招数终究敌不过病毒们层出不穷的变种。纵使杀毒软件厂商更新得再频繁，它们也始终是跟着病毒制造者后面跑，永远不可能抢在病毒前面。

　　有鉴于此，业界提出了“主动防御”的理念。和特征值扫描不同，主动防御对病毒的分析由程序自动在本地完成，省去了样本提交和后续升级的过程，更重要的是病毒在传播途中就被查杀，完全不可能形成破环和继续传播，特征值扫描与主动防御孰优孰劣不言自明。所以，主动防御才是下一代杀毒软件的发展趋势。

　　目前，杀毒软件所谓的主动防御技术主要包括基于虚拟机设计的启发杀毒技术和基于行为判断的行为杀毒技术。

　　启发杀毒技术以NOD32、Dr.Web、迈克菲、VBA32等为代表，是目前比较成熟的对付未知病毒的技术。其中，NOD32把启发杀毒发挥的最淋漓尽致，在业界有启发之王的美誉。以NOD32的启发杀毒技术为例，当杀毒软件无法判断程序的时候，就置入NOD32内置的一个微型虚拟机内运行，并根据他的行为进行危害判断。理论上说，这种技术可以对付所有的活病毒，但限于系统性能有限，所有的启发式杀毒引擎必须要在速度和效率上找平衡，所用的只能是简化的虚拟机，这也是当前所有采用启发杀毒技术的杀毒软件的无奈。所以，设计先进的病毒依旧能够突破采用启发杀毒技术的杀毒软件。此外，启发杀毒技术为了加速判断，经常需要运用一些规则来判断，但是规则的制定却是一个难点。所以，误报也成为启发式杀毒软件难以避免的一个顽疾。

　　行为杀毒技术从某种程度上而言可以说是实时监控技术的升华，但是监控的关键由病毒特征码的比对转为了病毒的行为判断了。

　　行为杀毒技术最有代表性的，应该是2005年最先提出主动防御理念的微点。以微点为例，它主要是依靠分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论。

　　当然，监视API的动作，并不是微点独有的专利。HIPS（“基于主机的入侵防御系统”）也把API作为监控的重点。但是，HIPS的缺陷是它把API和病毒木马的逻辑关系混淆了。API本身并没有好恶之分，正常的程序也需要调用API。但是，HIPS对那些所谓“特殊”API的调用一律报警，这也造成基于HIPS技术的杀毒软件存在弹框数量较多，用户根本无法判断的缺陷。

　　为提供HIPS的易用性，抢占更大市场份额，有杀毒软件厂商采用了一种非常极端的方法——为HIPS配置明文规则（白名单）。表面上看来，这样会使得HIPS的弹框数量大幅度下降，但是这实际上将把用户置于非常危险的状况之下——因为黑客可以非常轻松地根据明文规突破HIPS的3D保护！

　　但让人遗憾的是，似乎只要对API进行监控的杀毒软件都被贴上了“行为判断”的技术标签。而事实上，微点与HIPS是有本质不同的。

　　微点不是根据简单的单一API动作进行报警，而是根据程序一系列API动作构成更有意义的行为，结合病毒行为知识库进行逻辑判断，综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析，实现对病毒的判断更准确，同时也基本杜绝了频繁报警给用户带来的困惑。例如，微点主动防御软件不会因为程序只增加一个注册表run项（单一API动作）就报警。而HIPS则不然，它可能会针对这一API动作询问用户是否允许。对于普通用户而言，自行判断API动作并不容易，很容易出现误判。简而言之，微点偏重的是程序行为判断的结果，而HIPS偏重的是程序行为监控的过程。举个更浅显的例子，微点防范的是砍人这个行为，而基于HIPS的所谓主动防御的杀毒软件防范的是拔刀这个动作。两者之间的差距，相信明眼人自有公断！

　　转眼又到新一季杀毒软件上市的高峰，又有无数打着主动防御标签的杀毒软件将粉墨登场了。但是，在主动防御的光环背后，杀毒软件究竟有几分“真才实学”呢？病毒会告诉我们答案……


PS：呵呵，很多话自己说不好，直接引用的说明书和其他朋友的文章哈。总的一个意思就是2008将是主动防御年，就像现在的扫描引擎各家之间差距明显，各家的主动防御也肯定会有明显的差距，肯定会有人浑水摸鱼。抛砖引玉，等金山出2008以后，大家来一同对比分析测试。

转自：http://hi.baidu.com/%D6%F7%B6%AF%B7%C0%D3%F9/blog