殺毒軟件防御機(jī)制存重大漏洞

2011年，病毒技術(shù)發(fā)生重大變化?，F(xiàn)有技術(shù)架構(gòu)的殺毒軟件捉襟現(xiàn)肘，應(yīng)對(duì)漸感乏力。

病毒繞過(guò)主動(dòng)防御

當(dāng)前，殺毒軟件依賴(lài)文件鑒定開(kāi)發(fā)了傳統(tǒng)的文件鑒定引擎，當(dāng)文件被訪問(wèn)、運(yùn)行時(shí)，調(diào)用反病毒引擎對(duì)文件進(jìn)行安全掃描，如果是黑文件(危險(xiǎn)程序)就殺掉，白文件(安全程序)就放行。當(dāng)類(lèi)似主動(dòng)防御的應(yīng)用面臨大量的白文件時(shí)，包括白文件的后續(xù)動(dòng)作，比如加載dll文件等，也被不再檢查直接放行了。因?yàn)槿舨环判?，就面臨一個(gè)問(wèn)題：連續(xù)的詢問(wèn)嚴(yán)重打擾用戶，系統(tǒng)變得無(wú)法使用。

魔高一尺，道高一丈，病毒和反病毒之間的斗爭(zhēng)處于持續(xù)的此消彼漲中。病毒為繞過(guò)殺毒軟件的主動(dòng)防御，很快找到新招：將病毒代碼植入dll文件中，利用被鑒定安全的第三方軟件加載dll文件不校驗(yàn)的漏洞，間接運(yùn)行。而可以被病毒利用的軟件數(shù)以千計(jì)，連Windows自己的組件都不可避免。

病毒這種繞過(guò)方式在2011年得到非常廣泛的應(yīng)用，殺毒軟件再次落到必須和病毒拼響應(yīng)速度的地步。

正常文件為什么也危險(xiǎn)

還是拿實(shí)例來(lái)說(shuō)明，如下圖，這是一個(gè)典型的網(wǎng)購(gòu)木馬。

病毒程序是StormUpdate.dll，如果病毒作者直接編譯一個(gè).exe可執(zhí)行文件，他會(huì)發(fā)現(xiàn)殺毒軟件判斷這個(gè)未知程序有異常行為而被建議阻止運(yùn)行。于是病毒作者隨便找了一個(gè)正常的應(yīng)用軟件，如暴風(fēng)影音程序，這是一個(gè)合法的有數(shù)字簽名的商業(yè)軟件，所有殺毒軟件都判定這是一個(gè)正常程序。

當(dāng)這個(gè)程序執(zhí)行時(shí)，殺毒軟件主動(dòng)防御放行，于是含有病毒代碼的StormUpdate.dll(假冒的)被加載，接著含有主要病毒執(zhí)行代碼的Version.dat被加載執(zhí)行。最終，病毒繞過(guò)了殺毒軟件的攔截完全啟動(dòng)。

還有更經(jīng)典的例子：在下面一包8個(gè)文件中，只有1個(gè)是病毒，其它全是正常文件，病毒的運(yùn)行如同多米諾骨牌之間的接力。最終對(duì)用戶造成傷害的結(jié)果，由一系列看起來(lái)完全正常的軟件制造。

安全廠商的無(wú)奈殺毒軟件攔截不了病毒程序，正常的文件變得異常危險(xiǎn)。這到底是為什么？簡(jiǎn)單來(lái)說(shuō)，就是病毒對(duì)殺毒軟件的工作機(jī)制了解得非常透徹，直接利用其體系漏洞?？杀氖?，安全廠商明知道存在此問(wèn)題，卻也無(wú)可奈何。因?yàn)榘孜募?shù)以萬(wàn)計(jì)，而且被億萬(wàn)網(wǎng)民頻繁使用，沒(méi)有一個(gè)安全廠商有這個(gè)計(jì)算能力對(duì)白文件的后續(xù)執(zhí)行動(dòng)作一一校驗(yàn)。即便資源和能力，網(wǎng)民不堪其擾也不會(huì)答應(yīng)。目前殺毒軟件應(yīng)對(duì)這種繞過(guò)方式能夠做的，就是發(fā)現(xiàn)一例記錄一例。但治標(biāo)不治本。病毒作者隨意更換下加載文件和路徑，殺毒軟件又會(huì)被輕松繞過(guò)。

殺毒體系多年未有實(shí)質(zhì)性變化事實(shí)上，殺毒軟件的基本理念已經(jīng)有許多年未曾改變，一直采用的基本思路就是基于文件的掃描、鑒定，這也是病毒摸透并攻破的根本原因。

最初，殺毒軟件只有一個(gè)文件掃描引擎，在對(duì)付文件不多的年代，夠用，速度也快，誤報(bào)率也低。隨著病毒的進(jìn)展，大量病毒開(kāi)始加殼，使用稀有的EXE壓縮工具打包。隨之殺毒軟件推出脫殼引擎，將文件解包后再調(diào)用文件引擎檢查。

新病毒出現(xiàn)的速度越來(lái)越快，文件引擎開(kāi)始顯得有點(diǎn)手忙腳亂。殺毒軟件開(kāi)始設(shè)計(jì)啟發(fā)式分析引擎，用代碼統(tǒng)計(jì)的方法，去檢查病毒常用的非法操作，從中發(fā)現(xiàn)病毒的普遍規(guī)律。

虛擬機(jī)引擎和啟發(fā)式類(lèi)似，在虛擬空間模擬程序執(zhí)行，分析有害行為。這種做法的結(jié)果是消耗大量系統(tǒng)資源，掃描速度降低。但它也能發(fā)現(xiàn)新病毒。這些都是文件掃描引擎。

此后，部分殺毒軟件開(kāi)始嘗試行為查殺，主動(dòng)防御技術(shù)逐步普及。主動(dòng)防御捕捉程序的動(dòng)態(tài)執(zhí)行過(guò)程，而不是對(duì)文件進(jìn)行靜態(tài)的檢查。執(zhí)行中一旦發(fā)現(xiàn)異常行為，立刻阻止危險(xiǎn)程序的進(jìn)一步動(dòng)作，防止中毒事件發(fā)生。這個(gè)模型很理想，似乎不必再擔(dān)心新病毒問(wèn)題了。

事實(shí)上，病毒程序和行為動(dòng)作和正常程序沒(méi)有本質(zhì)差異，很多動(dòng)作，正常軟件都有。于是頻繁的攔截提醒需要對(duì)正常軟件放行，不然就會(huì)嚴(yán)重打擾用戶操作。如今，如上面所述，病毒作者再次找到可以繞過(guò)的方法：利用正常軟件來(lái)啟動(dòng)危險(xiǎn)程序。貫穿殺毒軟件和病毒木馬之間的對(duì)抗史就可以發(fā)現(xiàn)，雖然殺毒軟件進(jìn)行了多次改變，但基于文件的鑒定體系一直以來(lái)從未改變。如果殺毒技術(shù)體系持續(xù)沒(méi)有實(shí)質(zhì)創(chuàng)新，未來(lái)的安全形勢(shì)堪憂。

【編輯推薦】

1. 運(yùn)營(yíng)商開(kāi)拓云安全業(yè)務(wù) 運(yùn)營(yíng)模式面臨挑戰(zhàn)
2. 13個(gè)安全神話：你會(huì)相信嗎？
3. 安全編碼標(biāo)準(zhǔn)缺失 移動(dòng)應(yīng)用將走向何方?
4. 云概念被部分企業(yè)濫用 安全性和耗能存爭(zhēng)議