瑞星年度安全报告：大陆地区病毒泛滥成灾

D、小结：主动防御的现状和展望

综上所述，尽管主动防御技术在2007年得到了广泛的应用和认可，单单在瑞星软件就有了5000余万用户的大范围实用。但从用户角度来讲，主动防御技术的某些先天弱点还有待改善，例如需要用户交互的问题过多，弹对话框要求用户确认；如果单纯依靠主动防御，则误杀率还不尽如人意等等，这些都是杀毒软件未来的提高方向。

如果在技术上没有新的突破，安全厂商将在这场战斗中处于下风。

2007年里，几乎所有的主流厂商都投入了大量精力，应对互联网络的未知安全威胁。而瑞星公司在这场技术竞争中已经位于前列，07年下半年，瑞星杀毒软件2008版发布，其中集成的"主动防御"、"虚拟机脱壳"、"木马强杀"等技术得到了广大用户的认可，在实际应用中起到决定性的作用。

据专家介绍，主动防御等技术的推出，可以在很大程度上解决目前的病毒数量激增、木马病毒泛滥的实际情况。针对所有厂商面临的三大安全问题，有了比较满意的解决办法。

第一，如何增强系统防御攻击的能力

由于Windows系统的特性，系统中存在着大量可以被病毒利用或者攻击的脆弱点。对2007年新出现的大量病毒分析得出，黑客们已经挖掘出了越来越多的脆弱点，并且在对这些脆弱点的利用及攻击，在技术已经非常成熟。

比如，IFEO劫持（映像劫持）技术是2007年病毒、木马普遍采用的一个攻击手段。通过IFEO劫持，黑客可以很轻易地使一些杀毒软件、个人防火墙及其它安全类工具无法运行。

而Hosts表劫持也是近几年较为流行的一种劫持手段。病毒通过改写系统Hosts文件，可以将用户的正常网络访问转向到黑客指定的网站上。比如，用户输入了正确的网上银行地址，但实际访问的则是黑客实现准备好的一个假冒的银行网站或带毒网站。另外，病毒还利用此种手段阻止一些杀毒软件通过互联网升级。

在瑞星杀毒软件2008版的智能主动防御中，内置了系统加固功能，对系统中易被病毒攻击的注册表、系统进程、系统文件中的数十个脆弱点进行保护，自动阻断病毒对系统的攻击。

第二，如何降低未知威胁（病毒、黑客）攻击带来的损失

由于种种复杂的原因，很多病毒能够突破杀毒软件的防护。例如，用户没有及时更新病毒、系统没有打好补丁。这时候就需要考虑：即使病毒能够侵入用户电脑，也要把用户遭受到的损失减到最低。

获取经济利益已经成为近年来黑客编写病毒的最终目的，2007年截获的病毒中，木马病毒超过六成，并且绝大多数都为盗号木马。虽然病毒数量众多，但它们盗取帐号所用的技术手段几乎相同，均是采用发消息、读写目标程序内存、监听键盘输入等技术，因此，将应用程序的进程隔离、阻止了病毒的这些动作，就可以有效地阻止绝大多数的盗号事件发生。

也就是说，当做好这些保护时，即使木马病毒已经侵入用户电脑，也做不了任何危险操作，不能偷取密码、不能破坏系统进程。这样对用户来讲，安全程度已经大大提高。

瑞星杀毒软件2008版"智能主动防御"中的应用程序保护，及基于该技术的"账号保险柜"即是基于进程保护的理念开发，它可以将用户的网银、网游、QQ等应用程序保护起来。即使用户的计算机不慎感染了新出现的未知盗号木马，也可以最大限度地保护用户的帐号不被黑客盗取。

此外，瑞星"智能主动防御"中的应用程序访问控制可以限定用户指定程序对系统文件、注册表等的访问权限，在不同应用领域也起到重要的作用。例如，在网络服务器上，管理员完全可以禁止除必要程序之外的任何操作，这样病毒就无法利用低权限应用程序的漏洞，来获取更高级的权限。