扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:佚名 来源:ZDnet 2008年11月10日
关键字:
诚然,防病毒软件包将按照设定对安装的文件进行扫描,但它们不会实时“扫描”文件系统。防病毒程序只有在认为出现威胁的时间才会对文件的访问和进行操作的方式进行监测。
下面就让我们一起来揭示事实的真相。我参加了几次IT信息安全方面的会议,并且阅读了大量和黑客技术相关的书籍,以保证系统免受入侵。尽管据我所知,大部分IT专业人员对于这个话题并没有标准的答案,大家的分歧很大,唯一可以确认的一点就是没有一个防间谍或者防病毒工具可以保证完全的安全。
举例来说,我不选择赛门铁克来进行具体的说明,而将提供一个确切的例子,来说明问题的实际情况。防病毒工具目前已经可以作到在服务器最新的关键补丁发布几个小时内,就建议进行更新。但在高内存使用率的服务器上是存在问题的,只有利用Systinternals提供的rocess Explorer、PsList(也是Sysinternals公司提供的)Netstat、任务管理器、远程UNC文件连接加上远程端口扫描器联合操作,才能发现确实有入侵企图的存在。
修复服务器以后,仅仅过了16个小时,一个已知的漏洞又出现了。通过这个漏洞,攻击者提升了自己的特权,并将黑客工具安装到系统中,root kit(使用隐形技术隐藏系统对象,如文件、进程等,来躲避或绕过正常的系统机制的程序)开始运行了。
rootkit隐藏了注册表项、进程和文件的浏览,因为它一旦被发现,就很容易被已知的工具清除。
但是,由另一个木马—它本来应该被防病毒工具发现并清除的—导致的其它问题发生(是由文件的日期戳和备份检查引起的)在现在的服务器上。这个现象其实是非常有趣的。木马实际上并没有被清除。这是由于人为的错误,因为日志没有审查,以确认实际清除的操作失败了。因为这个木马和防病毒工具数据库中的特征不符合。这样的话,利用filemon监控服务器,psexplorer查看关联信息,以及Netstat监控网络,就会发现原来的感染仍然存在。
几小时后,一份复制的木马被匿名送到防病毒工具供应商那里,它的特征将被迅速加到实时保护的应用中。防病毒工具供应商说,这是一个已知密码的变种,而竞争对手的一个程序员则指出,它们之间有很大的差别。
当这种情况在另一个系统中再次发生的时间,实时扫描发现了它,并且成功地将其隔离。
显然,防病毒工具供应商正在尽最大努力更新自己文件的信息,但解决方案最重要的就是速度。在某种程度上,这可能是为什么厂商接受匿名提交的文件的原因—以抑制病毒在外部环境中的发展。
我认为,公正地说实时的防病毒扫描不能捕获一切。说实话,预定扫描可能会错过任何一个病毒,并且如果一个文件也有类似已知病毒的现象,它可能还有更多隐藏代码的功能,可以在当前实时扫描器的监测中隐藏起来。
因此,关于这个问题我的答案是肯定的,定期对系统进行扫描是非常值得提倡的,它是你打击间谍软件、恶意软件、木马和病毒的纵深防御战略的重要组成部分。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者