七月份Flash0day漏洞爆发了,据相关安全公司统计,仅仅从6月23日至6月30日,有1890453例用户受到Hack.Exploit.Swf.A病毒的攻击,由于Adobe漏洞难升级普通用户很难发觉这种“亡羊补牢”式的安全方案,已经重复了20年,针对反病毒行业出现的疲于招架的现象,一些业内人士形象地将传统的病毒防御软件比喻成“盾“,这个“盾“始终处于被动挨打的境地,显然,再坚强的“盾“也有被攻破的那一天。与其拿着伤痕累累的“盾“,不如造一把锋的“剑“。
被动杀毒并不是唯一方法,开发出“免疫防御”概念的产品才是对抗病毒第一波攻击、防范未知新病毒的有效方式,目前安全厂商已经意思到这一点并已经研发出一些免疫产品。我们来看一下应用到软件中四项比较流行的免疫技术:
一.HIPS
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的软件。如果你阻止了,那么它将无法运行或者更改。比如某不被查杀的木马利用漏洞下载执行程序时,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”但是HIPS的致命缺陷就是基础用户很难分辨当前运行的程序是病毒或者正常程序,无休止的弹窗提示,让用户无比反感,HIPS因此也被称为高手的玩具。
图1.HIPS代表作System Safety Monitor弹窗提示
二.主动防御
主动防御是由HIPS演变而来的,可以说是智能HIPS指不需要或者较少需要使用者手工制定的防御规则,即可对系统实施保护的一类HIPS。通常主动防御内置了一定的判断方法和处理规则定制成黑名单,因此能够根据程序行为的危险程度进行自动判断和处理,对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性,也正是主动防御的智能性,让黑客有了可乘之机,黑客可以利用黑名单,改变规则,绕过报警,对用户系统安全造成威胁,但是无论如何主动防御确实比传统HIPS方便了许多。
图2.瑞星主动防御白名单库
