扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2008年3月份,一个“磁碟机”病毒的出现,让电脑用户对杀毒软件有了本质的认识。那段时间内,许多用户发现自己电脑上装的国内外知名品牌杀毒软件实时监控被关闭,杀毒软件升级、杀毒等功能失去作用,杀毒软件象被巨大的黑洞吞噬一般,对病毒无丝毫的还击能力。事后,反病毒专家分析认为,这是一个典型的驱动型病毒,病毒释放出的驱动程序卸载了杀毒软件与系统连接的钩子,使它的监控失去效力,然后,病毒屏蔽了杀毒软件的升级网站,使杀毒软件无法升级病毒库。而且病毒能够在网上通过自身的服务器升级更新,让杀毒软件特征码检测失效。“磁碟机”病毒的出现,顿时击破了杀毒软件同质化的论调,一些核心技术过硬的杀毒软件在这次事件中脱颖而出,不但未被病毒关闭监控,而且带有智能主动防御系统层层拦截了病毒的每一步动作,确保了用户的系统和数据安全。
病毒技术“与时俱进”
病毒技术发展到今天,已经与最初的病毒定义相去甚远。病毒的最初定义是“一段可以自我复制的有害代码”,而据江民反病毒中心监测结果显示,进入2008以来,大部分主流病毒技术都进入了驱动级,病毒已经不再一味逃避杀毒软件追杀,而是开始与杀毒软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒软件,使杀毒软件功能失效。一系列先进的隐身和破坏技术被病毒采用,如ROOTKIT技术、内核级HOOK技术、进程注入、文件加密存放等等。
驱动型的病毒安装运行后,会利用内核级的钩子去隐藏病毒进程、病毒文件和病毒在注册表中的启动项,防止被安全软件所查杀,而一些关键性的数据信息在木马驱动程序文件体内是加密存放的,一但用户计算机系统感染该病毒,则很难清除干净。
越来越多的病毒开始刻意隐藏自身的行踪,在电脑用户毫无知觉的情况下完成破坏过程。江民反病毒专家发现,现在的病毒作者在编写病毒时更加注重自身的隐蔽。病毒作者主要采用三大隐身术,通过RootKit技术隐藏病毒进程、病毒文件、隐藏数据传输端口以及注册表内键值;通过篡改注册表相关键值屏蔽显示隐藏文件的功能;使用IEFO重定向劫持技术禁止杀毒软件运行。
其中,RootKit 技术是今年病毒普遍使用的技术,最早用于UNIX平台上,用于替换一些重要的系统文件,以来迷惑管理员对系统信息的察看。现在该技术现在已经移植到Windows平台上,并已经广泛使用,具有隐藏进程、隐藏文件、隐藏端口等功能。
面对病毒技术的飞速发展,许多杀毒软件开始跟不上病毒技术,在核心技术上迟迟未能得到突破,也直接导致了类似“磁碟机”病毒发作时,部分杀毒软件束手无策的尴尬现象。
杀毒技术应对有术
这就象高手交战,招术上似乎大同小异,比拼的就是谁的内力更加深厚,谁出手的速度更快更到位。据江民反病毒专家介绍,驱动病毒生成的驱动程序最终会通过内核调用系统调用地址表,而杀毒软件也会调用这个地址表来监控病毒,在调用的瞬间,看谁能更快地接管服务,谁就获得了系统控制权,进而解除对方的钩子,让其失去功效。技术高手通常能准确判断病毒的薄弱位置,或采用巧妙的方法避开病毒的攻击,最终有效监控和阻止驱动病毒的破坏,确保自身功能的完整和有效,从而阻止和清除各种驱动型病毒对杀毒软件和系统的破坏。
用户选择回归技术本质
在各大论坛以及社区上,普通电脑用户对他们常用的杀毒软件无法杀毒的抱怨声越来越多,同时,在专业性反病毒论坛里,越来越多的评测开始关注对驱动病毒的防杀功能。许多用户也开始把选择杀毒软件的标准从原来的无目的跟风消费,转变为现在的重视杀毒能力的本质上来。杀毒软件市场正在悄然发生着一场消费革命,种种被广告渲染的表象下,技术的厚重开始越来越显示出它原来的份量。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。