"主动防御"的技术实现

在“主动防御”技术的的实现上，主要是通过函数来进行控制。因为一个程序如果要实现自己的功能，就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在Windows里一般是通过DLL里的API提供，也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API（尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过），就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统，用户可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。

在此基础上，用户可以自己设想一下一个“主动防御”型安全系统的一般操作流程：通过挂接系统建立进程的API，系统就在一个进程建立前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令（一般正常软件不会有这些指令），就进行提示，如果用户放行，就让进程继续运行；接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告；如果收发数据违反了规则，发出提示；如果进程调用了CreateRemoteThread()，则发出警告（因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒、木马用得最多）。

可以想象，未来企业用户在运行程序时可能会被提示多次，访问网络也可能被提示多次，各种各样的提示有可能将大多数人搞的昏头转向。不过这就是安全，也是主动防御的魅力，一句话，企业想安全就要管严，放松就不安全了！