沙盘技术 六大反病毒技术深度分析

　　1、虚拟机技术

　　这个技术最早被VMWARE和微软掌握，并经过大量的开发研究，达到了一个世界高峰。随后因为病毒的泛滥，导致杀毒软件在行为判断和病毒库的支持下无能为力。随后国外的杀毒厂商开始进行了第一次杀毒软件变革，那就是虚拟机技术。

　　运用此技术的特点就是在当前系统中虚拟出一个简单，但是可以运行程序的一个虚拟系统，这样一些加了壳的病毒就会脱掉那层壳，然后交给杀毒软件的病毒库和行为判断等技术予以清除。但是弊端也逐渐出现，那就是高资源占用，甚至有时会导致杀毒软件和系统的假死现象。所以后来杀毒厂商开始削弱的虚拟机的地位，逐渐研究新得虚拟技术。这种新型虚拟技术，在2005年得到了有效的运用例如NOD32、MCAFEE等等。

　　这项技术也成为21世纪黑客首要攻破的对象之一，不过随着黑客技术的不断增强，这项技术也被逐渐攻破，因为前面已经说到，这项技术需要耗费大量的系统资源，导致系统不能正常运行，所以新型虚拟技术运用了部分的虚拟机技术，这就导致了，虚拟机不能完全发挥其原有的功效，只能运用病毒库来弥补不足.这就是杀毒软件的滞后性!

　　此项技术运用比较出色的有：NOD32、MCAFEE等等。

　　2、沙盘仿真(虚拟机的继承人)

　　这项技术，最早是系统还原类软件的专利，例如Shadow系统或者NORTONGOBACK的safemode率先启用的。这项技术是说在原有的系统上预先留出一些空间，然后让用户进行操作，重新启动后，原先的数据全部被清除，还原到原始状态的一种技术。而杀毒软件也同样看见了这一点，于是就将此项技术和虚拟机技术进行了整合，推出了沙盘仿真技术，技术原理和虚拟机大致相同，同样是虚拟出一个系统，然后让病毒运行，从而进行清除。此项技术却解决了虚拟机的弊端，高资源占用!但是此项技术与虚拟机技术现在是平分秋色，因为随着虚拟机的不断改善，已经将资源的占用下降到一定水平!所以有网友认为：虚拟机=沙盘仿真。

　　确实从功能上说是完全一样的，但是原理却不同!至于最后谁能占得先机还需要时间的考验。

　　此项技术运用出色的有:kaspersky 7.0和8.0。

　　3、主动防御

　　杀毒软件具有滞后性，这是业界公认的一个杀毒软件弊端，而主动防御却很好的解决了这个问题，尤其是卡巴斯基6.0和东方微点将这一技术推广到了极致，其优秀的防御系统主动防御能够解决90%以上的未知病毒。这不仅能够解决病毒库更新的滞后性，同时也对技术人员的减负。但是此项技术的弊端就是容易出现误报现象，这也就是为什么说卡巴斯基老出现误报的原因之一。

　　我想这种弊端永远不会解决，例如误报过的QQ。QQ是国内IM市场的领头羊，有着75%以上的份额，因为用户非常之多，所以在QQ中，腾讯也加入了一些带有广告性质的程序，例如SOUSOU等，这些字符在主动防御体系里，有着极其危险的行为，所以出现了误报。当然这种错误，不是不能解决，现在主要修复途径为添加白名单和更新病毒库两种!

　　HIPS具体诠释

　　HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

　　因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

　　我们个人用的HIPS可以分为3D:AD(ApplicationDefend)--应用程序防御体系、RD(RegistryDefend)注册表防御体系、FD(FileDefend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

　　所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips。 二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件。

　　打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后bomb出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行。一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了。但是，只是装上个hips也不是最安全的，毕竟——用户穿上的只是个全透明防bomb衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的——起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!

　　此项技术运用出色的杀软：SCS、卡巴斯基6.07.0、东方微点、终结者(不完全HIPS)。

　　4、NTFS流杀毒技术

　　此项技术是在系统运行时，察觉NTFS区域内微弱的数据流变化，从而检查是否拥有病毒或恶意程序的出现。此项技术大部分杀毒厂商都已经运用，所以不再赘述。

　　5、钓鱼攻击

　　这是一种钓鱼攻击常用于一些网络银行等场所。黑客先制作一个和正常网站一样的镜像网页然后通过细微变化的网站地址，获取用户的点击。但是此网站并不具备正常网站的功能，只具备记录帐号等一些非正常合法的功能，此类威胁，一些知名的杀毒软件都已经可以正常防范了，例如诺顿、卡巴斯基、微软等等!

　　6、防御零日攻击的利器

　　NORTON率先运用了这一技术，此项技术目的在于防护IE等浏览器的上网遭遇的攻击。这种攻击可以控制用户的电脑，盗取数据等行为，并且被杀毒厂商誉为最严重的攻击行为之一，因为这种攻击运用了系统打补丁得时差，攻击电脑，所以危害性非常之高，所以Norton为此风险研发出了nortonantibot，用于预防此类攻击。当然运用此项技术的还有很多安全厂商。