特征码---永远重要而永远被忽略的技术

显示全部楼层 · 发表于 2010-5-2 09:43:41

本帖最后由 wd19880427 于 2010-5-4 15:58 编辑

自从金山高调打出“可信云安全”的大旗之后，“云安全”从辅助杀毒技术一跃成为主要杀毒技术进入了杀软的舞台。其实“云安全”的广义概念由来已久，世界各大厂商都或多或少地运用了云安全技术，例如诺顿、趋势、熊猫、avast!、comodo、瑞星、江民、金山等等，他们“云安全”的体现和阐述各不相同，大致分为可信软件（厂商）认证、用户群安全社区、云端黑名单库、云端白名单库几种。除了金山之外，其他的厂商大多使用云安全进行辅助。

主动防御技术最早的概念就是HIPS-基于主机的入侵防御系统，这个技术其实也是作为辅助存在的，例如comodo的D+组件、Threatfire的“0day”防御、各大主流杀毒软件的“主动防御”、“可疑木马检测”模块等。在微点出来以后，主动防御才成为广大普通用户也可以拿来单奔的技术（HIPS确实可以单奔，但由于其对用户本身技术水平要求比较高，而不被各大杀软作为单奔选择）。

为什么要把大家都认为比较垃圾的特征码技术也拿进来和后面这几个“热门”技术进行讨论呢？因为特征码杀毒是全世界99%以上杀毒软件的基础，可以说是“老本”。其他的新兴杀毒技术再怎么被开发应用，主流杀毒软件也从未放弃过特征码识别技术，甚至部分主动防御做得很成熟的厂商都不免介入特征码查杀这一块，例如微点、comodo。安全性和用户需求永远是相辅相成的。

启发式技术其实是基于特征码和规则库的一种辅助技术，是特征码杀毒技术的延伸（包括纯启发百锐，有时候也会报具体的病毒名，说明其实是自带了黑名单库匹配的，只是不更新，固定在软件内了）。有时候做到极致的话，不加启发式也可以达到很高的侦测率。例如Ikarus，没有启发，没有主防，仍然有超高的侦测率。

曾经有人发问：杀软的未来是什么？是云安全？是主动防御？他都没有提到启发式，因为启发式技术由于其基于特征码的特点，总是被人家认为是“普通”的技术。但是世界上没有主防和云安全，就靠启发的名牌杀软也不少，例如Nod32和红伞V9。我所知道的“全副武装”---带满特征码升级、主动防御、动态/静态启发、沙盒的软件，也就卡巴斯基全功能和江民杀毒软件（我孤陋寡闻，敬请补充），而这两款软件之庞大、臃肿、卡机的特点那是被无数人诟病的。

我个人认为，杀软未来的技术趋势，肯定是多方向的，不会是单一的。“任何单一反病毒技术都不是救世主”。我比较倾向与云+智能本地主防+本地特征码或者云+本地行为控制+本地特征码。原因也不必多说：不管“晕”得多么厉害，也不管“煮”的多么厉害，都免不了要考虑多方面的因素。纯粹的云：断网就完蛋。虽然断网的机会很少，但没人愿意当那个倒霉虫；主动防御必须依靠规则库和用户判断，因为再怎么鼓吹“专家系统”也不能保证真的有一个“专家”能帮用户进行所有选择，毕竟现在计算机技术还没发展到人工智能AI的水准。

云断网了怎么办？主动防御被绕过了怎么办？特征码帮你忙。美艳之妾不如糟糠之妻，老本永远奏效。当然，针对特征码的免杀技术太太太多了，所以纯靠特征码也不是办法，这才需要用主动防御进行“前摄性防御”，由特征码技术进行“补充性防御”，由云安全进行“后摄性防御”。

我们必须要正视一个现实：所有本地防御技术都存在被突破、绕过的风险，真正的安全只存在于网络---因为没人知道网络端有何杀毒技术，也就不可能绕过---也许这一刻绕过了，但是当下一刻又被杀了，无用功。但是网络端安全技术毕竟是“他人的妈”，网络一断，就没奶水了。而且还存在滞后性的问题。并且虽然一个用户率先中一个流行病毒的概率非常之低，但是没人愿意做那个第一个倒霉虫。又需要本地技术辅助。

所以，特征码技术是所有花里胡哨的杀毒技术的基础和根本。当云安全滞后的时候，他可以补漏；当主动防御被穿的时候，他可以补漏；他还是启发技术的根本和源泉。可以预见：未来五年内，90%以上的杀毒软件都绝不可能整个抛弃特征码技术，没人会是救世主，因为他们都站在巨人的肩膀上。

显示全部楼层 · 发表于 2010-5-2 09:45:31

沙发~~~~好长的文字，或许懂了一点点

显示全部楼层 · 发表于 2010-5-2 09:47:21

本帖最后由勿思勿忘于 2010-5-2 10:13 编辑

可以说特征码就像通缉令，不能因为警察能识别犯罪行为就不使用通缉令的
比如说网页防挂马，就不会有主防的事。

显示全部楼层 · 发表于 2010-5-2 09:51:14

可以说特征码就像通缉令，不能因为警察能识别犯罪行为就不使用通缉令的
勿思勿忘发表于 2010-5-2 09:47

概括得不错，我觉得特征码就是警察局的犯罪名单，就算新闻再吹“某某警察神勇无比，没有犯罪分子能逃脱他的抓捕”，但他大部分执行任务还是得老老实实调用数据库抓人

显示全部楼层 · 发表于 2010-5-2 10:04:59

黑名单永远不会过时

显示全部楼层 · 发表于 2010-5-2 10:07:17

回复 3# 勿思勿忘

附议，脚本解析和特征码是两码事，金山网盾、360网盾、畅游巡警的脚本解析，和Avira、Avast等的web防护是两码事

显示全部楼层 · 发表于 2010-5-2 10:08:24

概括得不错，我觉得特征码就是警察局的犯罪名单，就算新闻再吹“某某警察神勇无比，没有犯罪分子 ...
wd19880427 发表于 2010-5-2 09:51

说得好！比喻的很形象！

显示全部楼层 · 发表于 2010-5-2 10:10:14

任何的安全技术都无法彻底脱离特征，不过特征（尤其是传统的病毒库特征）在判别中所占的比重越小，对于攻击者来说，尤其是对于免杀木马来说，攻击的成本就越高，因为相比于其他技术手段，特征免杀是目前最流行的绕过防护技术

显示全部楼层 · 发表于 2010-5-2 10:12:27

分析的很在理啊.

显示全部楼层 · 发表于 2010-5-2 10:14:28

说的不错。就是说的太长。。确实感觉有些过。

[技术原创] 特征码---永远重要而永远被忽略的技术

评分