AV杀手病毒考验杀毒软件自我保护技术

 近日，一篇《“AV杀手”强关百种杀软》的新闻引起了众多电脑用户的关注。据报道，“AV杀手”变种病毒运行后，能够利用恶意驱动程序强行关闭大量流行安全软件，大大降低了被感染计算机上的安全性。病毒会强行篡改注册表内容进行映像劫持，禁止近百种安全软件、安全辅助工具以及调试程序的运行，导致用户计算机系统毫无安全保障，严重威胁用户计算机的安全！

    病毒的嚣张让普通电脑用户不寒而悚。更加可怕的是，这些病毒将上百种安全软件关闭后，向染毒电脑中下载大量的木马、后门等恶意程序，黑客可以为所欲为，盗号、窃密更是易如反掌。人们不禁要问，难道我们一直依赖的杀毒软件在病毒面前真的如此不堪一击吗？是病毒太狡猾，还是杀毒软件太无能？

    遍搜网络，除了老牌杀毒厂商江民科技明确表示，江民杀毒软件KV2008不会被此类病毒关闭，而且目前尚没有发现能够关闭江民KV2008的病毒外，其它所有杀毒软件均无明确表态。

    据了解，计算机病毒目前已经进入了驱动内核级，而许多安全软件技术还停留在应用级，难怪会被病毒轻易结果了。江民反病毒专家介绍，病毒关闭杀毒软件经历了以下几个阶段。

   早先病毒关闭杀毒软件，主要通过监测窗口标题的形式，一旦监测发现标题中包括有“杀毒软件”“安全软件”或其它病毒特定的杀毒软件品牌字样时，就会发送关闭消息，关闭杀毒软件进程。这种方法很轻易被杀毒厂商破解了，反病毒专家将窗口标题采用动态标题和进程保护技术，每次软件启动后，窗口标题出现都是无规律的，如“江民杀毒软件”，字与字之间会有随机空格，让病毒无法获取到特定的字样，这样也就无法触发病毒发送关闭消息，而进程保护技术通过提高进程和系统权限，防止被病毒关闭。

   随着窗口监测技术被破解，病毒作者又利用了映象劫持技术，通过Windows映像劫持技术（IFEO）修改注册表，致使许多与安全相关的软件无法启动运行。针对这种技术，杀毒厂商拿出了反映象劫持技术。以江民杀毒软件为例，首先，江民杀毒软件KV2008对系统注册表进行了特殊保护，特殊系统关键键值被保护为只读，无法进行修改的。对于一些其它的非关键键值，如果病毒修改了注册表，江民杀毒软件会及时报警，并对这种行为进行阻止。而且，江民KV2008系统诊断功能中，能够对注册表键值进行扫描，并可以列出非正常的键值进行标记，便于用户进行删除和修改。

   而进入2008年以后，病毒关闭杀毒软件的技术进入了内核驱动级。病毒通过生成驱动程序，与杀毒软件争抢系统控制权限，通过修改SSDT表等技术实现WINDOWS API HOOK，从而使得杀毒软件监控功能失效。至此，杀毒软件与病毒的较量已经进入了内核级，比拼的是谁对WINDOWS操作系统的底层技术把握的更精确，更独到，谁获得的系统权限更大、速度更快，比拼的是谁的经验更丰富，谁的技术积累更深厚。

   病毒并不可怕，可怕的是多数杀毒厂商的集体失语。面对AV杀手这样的病毒，我们不希望只看到江民一家杀毒厂商站出来喊我们技术可以，不会被病毒关闭，而要所有杀毒厂商都站出来喊我们可以。只有杀毒厂商全面的技术进步，才能够保障整个互联网的安全，才能够让所有的电脑用户放心使用杀毒软件。