自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(zhēng)(3)

作者:佚名
安全
實(shí)時(shí)監(jiān)控、主動(dòng)防御等技術(shù)的發(fā)展是一柄雙刃劍,一方面隨著監(jiān)控點(diǎn)的增加能應(yīng)對(duì)新的安全威脅,另一方面也使反病毒產(chǎn)品的穩(wěn)定性遇到挑戰(zhàn),測(cè)試難度普遍加大。反病毒產(chǎn)品自身的穩(wěn)定性壓力都在呈現(xiàn)幾何級(jí)數(shù)增長(zhǎng),相互之間的兼容則變得更加困難。以下從主動(dòng)防御技術(shù)點(diǎn),描述導(dǎo)致反病毒產(chǎn)品自身的穩(wěn)定性下降、與操作系統(tǒng)之間和相互之間出現(xiàn)嚴(yán)重沖突問題的成因。

反病毒產(chǎn)品的兼容性問題

除了文件監(jiān)控、防火墻、瀏覽器防護(hù)的潛在兼容性問題之外,在多款軟件共存的情況下,主動(dòng)防御的兼容性問題尤為嚴(yán)重。主動(dòng)防御主要可以分為兩個(gè)方面來看待:

1. 自我保護(hù)

多款安全軟件都保護(hù)自己的監(jiān)控點(diǎn)不被修改,特別是使用了inline hook或者對(duì)系統(tǒng)設(shè)備、內(nèi)核對(duì)象、SSDT進(jìn)行了hook的產(chǎn)品。類似安天Atool等Rootkit檢查工具曾使用過替換進(jìn)程SSDT保證自己的hook不被修改,但也導(dǎo)致使用SSDT hook的主動(dòng)防御完全失效的副作用。360安全衛(wèi)士曾使用替換SSDT的技術(shù)對(duì)自己的監(jiān)控點(diǎn)進(jìn)行保護(hù),導(dǎo)致與其共存的安全軟件主動(dòng)防御功能中關(guān)于SSDT的部分完全失效。

一旦發(fā)現(xiàn)自己的監(jiān)控點(diǎn)被修改,則會(huì)對(duì)監(jiān)控點(diǎn)進(jìn)行修復(fù),也就是重新hook。這就有可能導(dǎo)致多款安全軟件反復(fù)爭(zhēng)奪監(jiān)控點(diǎn),或者h(yuǎn)ook直接互相調(diào)用造成死鎖,最終耗盡系統(tǒng)資源,導(dǎo)致機(jī)器死機(jī)。

由于自我保護(hù)的存在,病毒感染安全軟件后,依然會(huì)被安全軟件的自我保護(hù)所保護(hù),其他安全軟件可能無法讀取其內(nèi)容進(jìn)行檢測(cè),或者可以檢測(cè),但是無法結(jié)束相應(yīng)的進(jìn)程。

2. 惡意行為分析

一款軟件出于安全角度考慮,不調(diào)用被hook的原始API,則會(huì)導(dǎo)致其他軟件在分析惡意行為時(shí),無法檢測(cè)到該行為,進(jìn)而造成程序的行為序列發(fā)生改變,最終導(dǎo)致行為分析誤報(bào)或者漏報(bào)。

由于安全軟件的某些行為和惡意軟件具有相似性,例如:對(duì)API進(jìn)行的某些hook,在多款安全軟件共存的情況下,很有可能一款安全軟件被另一款報(bào)為病毒,這也是一種誤報(bào)。

為了保證自身進(jìn)程的行為不被重復(fù)記錄或者對(duì)行為分析產(chǎn)生影響,安全軟件可能會(huì)對(duì)特殊API的調(diào)用參數(shù)含義進(jìn)行修改,增加自身需要的標(biāo)識(shí),而這些標(biāo)識(shí)可能會(huì)造成后續(xù)的監(jiān)控產(chǎn)生不可預(yù)知的行為,最糟糕的情況就是導(dǎo)致系統(tǒng)藍(lán)屏。

對(duì)于ring3與ring0結(jié)合判斷的主動(dòng)防御,處于二者中間的其他安全軟件對(duì)數(shù)據(jù)的修改可能會(huì)造成ring0緩沖區(qū)的溢出(例如:ring3的API掛鉤通知ring0的驅(qū)動(dòng),需要26字節(jié)實(shí)際數(shù)據(jù)可能由于中間沙箱軟件的路徑重定向被改為27字節(jié)或者更多)或者被截?cái)?,?dǎo)致系統(tǒng)藍(lán)屏或者漏報(bào)。

以上僅僅是主動(dòng)防御潛在兼容性問題的一部分,由于主動(dòng)防御技術(shù)本身的復(fù)雜度,在多款實(shí)用主動(dòng)防御技術(shù)的安全軟件共存的情況下,兼容性問題就更容易出現(xiàn),也更加嚴(yán)重,這里說明的僅僅是一部分,不是全部。

兼容性問題對(duì)反病毒廠商的影響

兼容性是反病毒廠商的核心困擾之一,由于反病毒使用大量的內(nèi)核技術(shù)、驅(qū)動(dòng)等,一旦出現(xiàn)兼容性的后果,其所造成的影響,要遠(yuǎn)嚴(yán)重于其他應(yīng)用軟件。同時(shí)反病毒產(chǎn)品為了對(duì)抗病毒的一些自我防護(hù)機(jī)制,也會(huì)使問題的處置變得比較復(fù)雜。因此,多種反病毒軟件之間沖突引發(fā)的問題要比其他軟件沖突問題后果更加嚴(yán)重。

兼容性沖突問題使反病毒廠商技術(shù)支持的難度增大,由于環(huán)境的復(fù)雜性,問題變得更加難以排查和處理。

特別是企業(yè)版產(chǎn)品,廠商承擔(dān)著更大的責(zé)任和支持義務(wù),如果由于沖突性問題,帶來問題,對(duì)于問題的責(zé)任、后果的認(rèn)定等方面都帶來較大壓力。

同時(shí),有的沖突問題由于需要廠商間相互溝通才能解決,因此增加了支持壓力和解決用戶問題的周期。

反病毒軟件排斥與兼容問題分析的更多內(nèi)容請(qǐng)讀者閱讀:

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(zhēng)(1)

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(zhēng)(2)

反病毒軟件江湖:排斥與兼容的戰(zhàn)爭(zhēng)(4)

【編輯推薦】

  1. 反病毒產(chǎn)品兼容沖突問題 
  2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
  3. 別讓惡意軟件妨礙我們的生活
  4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
  5. IT人員的困繞:互聯(lián)網(wǎng)早期的病毒傳播

 

責(zé)任編輯:佚名 來源: 中國教育網(wǎng)絡(luò)
兼容性反病毒主動(dòng)防御
相關(guān)推薦

2011-06-17 14:40:49

文件監(jiān)控病毒

2011-06-17 14:41:49

兼容性防火墻瀏覽器防護(hù)

2014-05-19 10:50:08

2010-07-16 12:15:39

反病毒軟件病毒

2010-03-31 09:41:05

2011-06-29 11:17:37

2012-03-12 14:17:10

2014-05-22 13:08:23

2016-11-24 14:11:44

2012-03-13 16:36:21

2012-07-16 09:23:54

賽門鐵克Windows XP

2015-05-27 09:23:31

2013-01-17 11:05:42

2009-04-08 11:44:25

2011-08-08 15:36:57

2010-12-02 10:17:29

2009-04-21 14:34:59

惡意軟件測(cè)試卡巴斯基

2012-01-16 10:22:51

2009-04-16 13:01:38

UUSee網(wǎng)絡(luò)電視網(wǎng)絡(luò)安全

2010-01-10 18:04:48

病毒感染清理系統(tǒng)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)