近日,“磁碟机”病毒在网上肆虐,中毒用户的杀毒软件将被强行关闭,该病毒还会自动下载几十种盗号木马病毒,给网民带来极大的安全隐患。截至3月20日,被“磁碟机”感染的电脑已达数十万台。
很多没有采用“主动防御”技术的杀毒软件,被“磁碟机”病毒破坏,不能正常启动和运行。而作为国内唯一具备“智能主动防御”技术的杀毒软件,瑞星杀毒软件2008版不但可以有效对抗该病毒的攻击,针对此病毒攻击的系统弱点进行了主动重点防御,使病毒无法攻击得手;当病毒发作时,瑞星“智能主动防御”的恶意行为分析技术,还可以在系统底层拦截此病毒的恶意行为,使其无法进行任何破坏
瑞星“智能主动防御”是一种阻止恶意程序执行的技术,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。瑞星认为,只有具有“资源访问规则控制;资源访问扫描;程序活动行为分析” 三个层级的“智能主动防御”,才可以真正防止“磁碟机”病毒的侵袭。缺少其中任何一层都是不完全的主动防御,存在可被病毒突破的漏洞,在系统中使用会存在严重的安全隐患。
去年以来,随着“主动防御”概念的流行,一些厂商的进行了大量的片面宣传,以“程序活动行为分析”取代完整的主动防御概念,利用其能够直接查出未知病毒的特性,欺骗很多用户认为其就是主动防御,实际上其只是“智能主动防御”中的一部分。
(图一:瑞星杀毒软件“行为分析”查杀磁碟机病毒)
目前,许多宣称具有主动防御功能的安全软件,都只完成了三层架构中的“程序活动行为分析”或“资源访问规则控制”。
|
|
“智能主动防御” |
主动防御A |
主动防御B |
|
资源访问规则控制 |
√ |
× |
√ |
|
资源访问扫描 |
√ |
× |
× |
|
程序活动行为分析 |
√ |
√ |
× |
(图二:瑞星“智能主动防御”与主动防御的区别)
瑞星三层架构主动防御说明:
第一层:资源访问控制层(即HIPS)
它通过对系统资源(注册表、文件、特定系统API的调用、进程启动)等进行规则化控制,阻止病毒、木马等恶意程序对这些资源的使用,从而达到抵御未知病毒、木马攻击的目的。
第二层:资源访问扫描层(即传统的文件监控、邮件监控等)
通过监控对一些资源,如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容(文件内存、引导区内容等)进行威胁扫描识别的方式,来处理已经经过分析的恶意代码。
第三层:进程活动行为判定层(危险行为判定、DNA识别)
进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息,并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析,提炼,设计出全新的主动防御智能恶意行为判定引擎。无需用户参与,该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。 |
