【杀毒软件技术漫谈:启发式对战主动防御】当某程序试图执行时,行为监控就会比对规则判断是否为恶意程序,这种准确度是相当惊人的,最新的版本基本上能100%发现Rootkit,对于木马、后门、蠕虫等基本都能拦截,虽然报的名字很统一Trojan Generic,那些进程注入、隐藏数据发送、带参数启动IE等自然都不能逃出它的监控(他的Proacive Defense弥补了了在启发式方面的相对薄弱),有机会大家去用一用吧 。国内方面,瑞星目前仅有一个注册表监控,那么可以将其排除在主动防御之外,因为这个太肤浅,不过最近加入了一个防止直接通过浏览器执行程序的功能,这个功能相当值得称道,通过IE中读的人实在太多;毒霸没有这个功能;江民的KV系列,从前几个版本就有了注册表监控,后来发展到“木马一扫光”,木马
一扫光在最初包含了注册表监控、进程注入、键盘记录几个功能,初步实现了一些简单的主动防御模块,可能因为交互没做好,在给用户带来安全的同时也带了了麻烦,用户不知道KV到底在提示些什么,现在到了KV2007,木马一扫光被降级到了纯粹的注册表监控范围,其他的功能交给了“系统监控”,网络访问控制(主要是HTTP、EMAIL)、进程注入保护、擅自运行程序、直接内存访问、文件访问控制、文件完整性保护等样样俱到,虽说不是特别全面,不过已经涵盖了绝大部分,这些对于有经验的用户来说是个福,对于初级用户来说就有些麻烦,得看以后怎样改进了,最好直接判断程序可能是什么或是什么 。
当然,主动防御有个缺点,就是必须当程序似乎执行时才有效,静态查毒不生效 。
启发式与主动防御,国内软件KV在这方面的发展和应用略占优势,我们只能期待会更好,没有国人不支持自家的东西 。
推荐阅读
- 指日可待!微软杀毒OneCare Beta启动
- 高手支招 巧妙利用系统进程手工杀毒
- 病毒分类全知道 准确用好你手头的杀毒软件
- 在网吧如何防止病毒和快速杀毒
- 来自微软的免费杀毒软件抢先试用
- 瑞星杀毒软件右击选转入后台自动处理后怎样恢复
- ESET NOD32杀毒软件春节送礼
- 经验共享—给闪存杀毒的另类方法一则
- 瑞星杀毒软件出现异常,怎么办?
- 杀毒也有技巧 不同病毒不同环境下查杀