瑞星杀毒软件2008主动防御特点和分析
来源:Net作者:Net 发布时间:2008-04-20
阅读次数
主动防御简介 主动防御是一种阻止恶意程序执行De技术.它比较好De弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后De技术弱点,可以在病毒发作时进行主动而有效De全面防范,从技术层面上有效应对未知 ...
主动防御简介
主动防御是一种阻止恶意程序执行De技术.它比较好De弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后De技术弱点,可以在病毒发作时进行主动而有效De全面防范,从技术层面上有效应对未知病毒De肆虐.
从技术角度讲,完整主动防御技术包含三个层次:资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键.此前,由于行为分析引擎技术不成熟,集成了主动防御De杀毒软件需要过多De用户参与,要求用户选择是“放过”还是“拒绝”某个程序De动作,这样反而给用户带来了困扰.
二、主动防御技术De层次划分
主动防御De层次化结构示意图 2.1、主动防御第一层:资源访问规则控制(HIPS)
资源访问规则是主动防御De第一层,也是其最为基础De部分,主动防御De基本功能,就依赖于此层来展开.它通过对系统资源(注册表、文件、特定系统APIDe调用、进程启动)等进行规则化控制,阻止木马、病毒等恶意程序对这些资源De使用,从而达到抵御未知病毒攻击De目De.
事实上这个技术从2004年起就在瑞星杀毒软件中得到了成功De运用,文件监控、注册表监控、内存监控等都属于这个层次.现在De一些所谓“主动防御”杀毒软件,国际上比较热DeHIPS软件,事实上采用De都是这个层次下De技术. 瑞星专家结合大量中毒用户De案例分析,把大量规则预先设置到瑞星2008版De主动防御模块中,使得大量普通用户不必去面对高深De主动防御技术,就能享受到主动防御HIPSDe效果.
2.2、主动防御第二层(监控扫描层):资源访问扫描
资源访问扫描是主动防御De第二个层次,通过监控对一些资源,如文件、引导区、邮件、脚本De访问,并使用拦截De上下文内容(文件内存、引导区内容等)进行威胁扫描识别De方式,来处理已经经过分析De恶意代码.
很多主流杀毒软件,包括瑞星软件中De邮件监控(反病毒、反垃圾)、网页监控、文件监控都属于这一层,这一层主要解决邮件病毒、网页挂马等等问题.
在瑞星2008版中,特别加强了第二层中De“病毒强杀”和“智能监控”等功能模块.以往有很多病采用种种手段对自身进行保护,使得杀毒软件只有在重启系统后才能清除,有了“病毒强杀”之后,瑞星杀毒软件可以将此类顽固病毒干净彻底De杀掉.
传统De杀毒软件需要对多种系统资源、行为动作进行监控,可能造成系统资源De占用.瑞星专家通过对多个监控扫描模块De优化,使用了“智能监控技术”,使得08新品De资源占用大大减少,用户可以在安全De环境下正常工作,不会遇到机器变慢等传统问题.
2.3、主动防御第三层(智能分析层):进程行为分析引擎 DNA识别
这一层是主动防御技术核心中De核心,具有很高De技术门槛,有些类似反病毒行业De“歌德巴赫猜想”.按照理论来讲,病毒可以根据代码数据特征码判定,也可以根据它De程序行为表现(即行为特征)判定,前者就是“特征码查杀”,是应用广泛De传统技术;后者在理论上可以做到,实际操作中很难用程序来准确判定,往往需要用户进行参与,对用户De技术水平要求很高,所以一直停留在实验室阶段,不能投入大规模De实际应用.瑞星专家经过对数十万病毒De危险行为进行分析,提炼,设计出全新De主动防御智能恶意行为判定引擎.从而让用户能更简单轻松De应对未知病毒De侵袭.单纯De行为分析技术往往造成较多De误报情况.针对该弱点,瑞星专门加入了病毒家族DeDNA识别技术,当出现可能De恶意行为时,会使用DNA扫描确认威协.这样“进程行为分析引擎 DNA识别”De方式,即可以通过恶意行为分析发现未知病毒,又很好De防范了误报De发生.
三、瑞星主动防御De优势
易用.普通主动防御软件、HIPS软件基于规则进行相应De技术处理,凡是触犯规则De程序动作都会要求用户确认,因此会频繁弹出对话框,要求用户进行选择(比如Windows VistaDeUAC功能).这给普通用户带来极大De困扰——不知道该怎么选,或者不知道选了之后会出现什么问题,这样De主动防御其实是没用De. 瑞星专家在深入研究De基础上,经过对十余年反病毒经验De总结,把很多选项、动作、规则进行了预置,用成熟De预置经验和规则来代替普通用户进行选择,这样可以大大提高主动防御De易用性和有效性. 专业、灵活,可定制规则.普通主动防御软件、HIPS软件、带有主动防御饿杀毒软件等,都会提供一定De用户交互功能,但是由于技术上不能达到、或者怕用户进行误操作,这些软件提供De交互选项很少,经验丰富De用户无法手动调整某些功能. 针对经验丰富De用户,瑞星开放了非常丰富De接口和选项,熟练用户可以完全操纵自己De系统做任何想做De事情,比如:用户可以观察可疑程序De每一个动作(注入、创建文件、修改注册表等),可以控制任何程序De操作范围,这样,用户自己就可以手工处理并清除未知病毒、流氓软件等.
专门针对中国用户设计.根据中国地区流行病毒De特点,瑞星De主动防御设计了针对这些病毒De防御功能,针对行为、规则等等进行了更多De优化和定制,使其更加符合国内用户De实际状况,运行更加稳定. 四、如何识别杀毒软件中De“主动防御功能”
完整De主动防御功能列表 自2006年起,一些厂商开始炒作“主动防御”概念,但是他们所谓De主动防御其实只有很少De几项功能,只有HIPS中De几项、或者只有传统监控De几项.瑞星认为,只有全面实现三个层级De主动防御,才是真正意义上De“主动防御功能”,如果用户使用不完全De主动防御,将给自己带来严重De安全风险.
主动防御是一种阻止恶意程序执行De技术.它比较好De弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后De技术弱点,可以在病毒发作时进行主动而有效De全面防范,从技术层面上有效应对未知病毒De肆虐.
从技术角度讲,完整主动防御技术包含三个层次:资源访问规则控制;资源访问扫描;程序活动行为分析引擎,其中尤其以行为分析引擎技术最为关键.此前,由于行为分析引擎技术不成熟,集成了主动防御De杀毒软件需要过多De用户参与,要求用户选择是“放过”还是“拒绝”某个程序De动作,这样反而给用户带来了困扰.
二、主动防御技术De层次划分
主动防御De层次化结构示意图 2.1、主动防御第一层:资源访问规则控制(HIPS)
资源访问规则是主动防御De第一层,也是其最为基础De部分,主动防御De基本功能,就依赖于此层来展开.它通过对系统资源(注册表、文件、特定系统APIDe调用、进程启动)等进行规则化控制,阻止木马、病毒等恶意程序对这些资源De使用,从而达到抵御未知病毒攻击De目De.
事实上这个技术从2004年起就在瑞星杀毒软件中得到了成功De运用,文件监控、注册表监控、内存监控等都属于这个层次.现在De一些所谓“主动防御”杀毒软件,国际上比较热DeHIPS软件,事实上采用De都是这个层次下De技术. 瑞星专家结合大量中毒用户De案例分析,把大量规则预先设置到瑞星2008版De主动防御模块中,使得大量普通用户不必去面对高深De主动防御技术,就能享受到主动防御HIPSDe效果.
2.2、主动防御第二层(监控扫描层):资源访问扫描
资源访问扫描是主动防御De第二个层次,通过监控对一些资源,如文件、引导区、邮件、脚本De访问,并使用拦截De上下文内容(文件内存、引导区内容等)进行威胁扫描识别De方式,来处理已经经过分析De恶意代码.
很多主流杀毒软件,包括瑞星软件中De邮件监控(反病毒、反垃圾)、网页监控、文件监控都属于这一层,这一层主要解决邮件病毒、网页挂马等等问题.
在瑞星2008版中,特别加强了第二层中De“病毒强杀”和“智能监控”等功能模块.以往有很多病采用种种手段对自身进行保护,使得杀毒软件只有在重启系统后才能清除,有了“病毒强杀”之后,瑞星杀毒软件可以将此类顽固病毒干净彻底De杀掉.
传统De杀毒软件需要对多种系统资源、行为动作进行监控,可能造成系统资源De占用.瑞星专家通过对多个监控扫描模块De优化,使用了“智能监控技术”,使得08新品De资源占用大大减少,用户可以在安全De环境下正常工作,不会遇到机器变慢等传统问题.
2.3、主动防御第三层(智能分析层):进程行为分析引擎 DNA识别
这一层是主动防御技术核心中De核心,具有很高De技术门槛,有些类似反病毒行业De“歌德巴赫猜想”.按照理论来讲,病毒可以根据代码数据特征码判定,也可以根据它De程序行为表现(即行为特征)判定,前者就是“特征码查杀”,是应用广泛De传统技术;后者在理论上可以做到,实际操作中很难用程序来准确判定,往往需要用户进行参与,对用户De技术水平要求很高,所以一直停留在实验室阶段,不能投入大规模De实际应用.瑞星专家经过对数十万病毒De危险行为进行分析,提炼,设计出全新De主动防御智能恶意行为判定引擎.从而让用户能更简单轻松De应对未知病毒De侵袭.单纯De行为分析技术往往造成较多De误报情况.针对该弱点,瑞星专门加入了病毒家族DeDNA识别技术,当出现可能De恶意行为时,会使用DNA扫描确认威协.这样“进程行为分析引擎 DNA识别”De方式,即可以通过恶意行为分析发现未知病毒,又很好De防范了误报De发生.
三、瑞星主动防御De优势
易用.普通主动防御软件、HIPS软件基于规则进行相应De技术处理,凡是触犯规则De程序动作都会要求用户确认,因此会频繁弹出对话框,要求用户进行选择(比如Windows VistaDeUAC功能).这给普通用户带来极大De困扰——不知道该怎么选,或者不知道选了之后会出现什么问题,这样De主动防御其实是没用De. 瑞星专家在深入研究De基础上,经过对十余年反病毒经验De总结,把很多选项、动作、规则进行了预置,用成熟De预置经验和规则来代替普通用户进行选择,这样可以大大提高主动防御De易用性和有效性. 专业、灵活,可定制规则.普通主动防御软件、HIPS软件、带有主动防御饿杀毒软件等,都会提供一定De用户交互功能,但是由于技术上不能达到、或者怕用户进行误操作,这些软件提供De交互选项很少,经验丰富De用户无法手动调整某些功能. 针对经验丰富De用户,瑞星开放了非常丰富De接口和选项,熟练用户可以完全操纵自己De系统做任何想做De事情,比如:用户可以观察可疑程序De每一个动作(注入、创建文件、修改注册表等),可以控制任何程序De操作范围,这样,用户自己就可以手工处理并清除未知病毒、流氓软件等.
专门针对中国用户设计.根据中国地区流行病毒De特点,瑞星De主动防御设计了针对这些病毒De防御功能,针对行为、规则等等进行了更多De优化和定制,使其更加符合国内用户De实际状况,运行更加稳定. 四、如何识别杀毒软件中De“主动防御功能”
完整De主动防御功能列表 自2006年起,一些厂商开始炒作“主动防御”概念,但是他们所谓De主动防御其实只有很少De几项功能,只有HIPS中De几项、或者只有传统监控De几项.瑞星认为,只有全面实现三个层级De主动防御,才是真正意义上De“主动防御功能”,如果用户使用不完全De主动防御,将给自己带来严重De安全风险.
上一篇: Windows 2003单网卡实现VPN NAT完整攻略
下一篇:
关注此文读者还看过
 |
|
|
文章关注度排行
热点推荐
|
|
|
|
|
|
|
|