木马背后的魔道较量

　　免杀技术 Vs 主动防御

　　木马已经存在了二十多年。从2004年开始，由于免杀技术的出现使得木马变得难以对付。2005年，著名的免杀工具CCL--一个自动化的特征码定位工具被公布，这使得免杀技术在很短的时间内开始公开化，一批黑客站点有意或无意的宣传使得越来越多的人开始讨论免杀技术，各大杀毒软件面临严重的信任危机，一个懂一点基本的PE文件知识与免杀工具的使用的初学者就可以轻易编辑一个木马，修改其特征码使其躲过杀毒软件的检测，据统计，著名木马灰鸽子曾在短短一年之内出现超过6万个变种，绝大部分都源于免杀技术的普及。

　　同样也是在这一年，一些杀毒厂商提出“主动防御”的概念，这门听起来显得很专业的技术是用来增强已经对木马不再构成杀伤力的特征码识别技术，通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　通过这种技术，在木马访问网络，注入进程等行为发生时杀毒软件会及时通告用户，虽然还不完善，但至少还是可以对未知的木马做出一定的预警。

　　ROOTKIT Vs 云安全

　　道高一尺，魔高一丈，为了抵御主动防御技术，木马的开发者们又把目光转向了一门新的技术--“ROOTKIT”技术。这种技术最早应用于UNIX系统，也被称为“系统级后门”，就是在操作系统中通过嵌入代码或模块的方式掌握系统控制权，方便以后随时登陆进系统。木马主要通过ROOTKIT技术来隐藏自己，使杀毒软件无法察觉木马的存在或者干脆从系统级上禁用杀毒软件的某些功能，这样一来，木马和杀毒软件的争夺主要就集中在系统控制权的争夺上了，谁能拿到系统控制权就可以反制另一方，从2006年开始，双方的争夺开始进入白热化，新的突破点和防护点不断被研究出来，但总体上说，杀毒软件处于被动状态，毕竟操作系统涉及的方方面面太广泛，只要无法进行系统级的全面防护，那么一旦单点被突破就前功尽弃。

　　未知木马样本的收集对于杀毒软件来说也是个新的挑战，现代高级木马可以做到让用户毫无差觉，没有进程，启动后没有文件，这样就很难收集样本的方式来进行分析，而在没有样本的条件下进行木马分析简直是太难了。

　　例如2007年7月，一个新的不可检测 的ROOTKIT-- Rustock.c发布，但在接近一年后，Dr.Web(一个俄罗斯反病毒公司)的研究人员才对外宣称他们已经发现了Rustock.c的样本并确认在当时的系统保护手段下这个木马是不可检测的，毫无疑问，ROOTKIT在这场对抗中明显占据上风。

　　2008年，两个新的技术进展给了我们摆脱这种尴尬局面的希望，第一个是芯片厂商推出的芯片安全和虚拟化技术，这使得安全软件有希望得到系统的彻底控制权，随着技术的发展，基于这种技术的安全软件有望在不远的未来出现。然而，基于虚拟化芯片技术的ROOTKIT也将揭开神秘的面纱，两者的对抗仍将继续。

　　另一个有变革性意义的技术是安全厂商推出的云安全技术，这项技术将从过去由用户受到攻击之后再杀毒到现在的侧重于防毒，实现了根本意义上的转变。

　　当前已经出现的云安全实现原理大概可以分为两种：一种是由趋势科技提出的“Secure Cloud”，以Web信誉服务、邮件信誉服务和文件信誉服务为基础架构的云客户端安全架构，把病毒特征码文件保存到互联网云数据库中，令其在端点处保持最低数量用于验证。其核心在于两点：1、对复合式攻击的拦截。通过对疑似病毒组件各部分外延属性进行检查，判断威胁程度;2、瘦客户端。大量的病毒特征码保存在云数据库中。简言之，趋势科技云安全技术基于其拥有庞大的服务器群和并行处理能力，构架了一个庞大的黑白名单服务器群，用于客户端查询，在Web威胁到达最终用户或公司网络之前即对其予以拦截。

　　国内安全厂商瑞星也提出了云安全的概念，与趋势科技服务器群“云”不同，瑞星的“云”则建立在广大的互联网用户上。通过在用户客户端安装软件监控网络中软件行为的异常，将发现的疑似木马、恶意程序最新信息推送到瑞星的服务器进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。

　　以上两种云安全概念采用的是两种完全不同的模式。趋势科技强调的是阻止外来威胁，基础是庞大的服务器群;瑞星强调的则是对用户计算机上业已存在的未知威胁进行感知，基础是必须拥有大量的客户端用户。这两种模式都有一定的缺陷，趋势科技忽略了对本机威胁的收集，而瑞星的云安全则只能被动防守，不能在未知威胁进入到电脑前进行拦截。不过这两种云安全概念都可以缩短杀毒软件的响应时间，从整个互联网的层面上最大程度地确保用户系统的安全。

　　对于木马而言，云安全缩短了样本的发现时间和响应时间，同时架构了一个基于整个互联网的安全体系，对于未知木马的防护开辟了新的思路，具体效果如何，我们拭目以待。