查看: 6294|回复: 55
收起左侧

[技术原创] 辅软下载保护是浮云

  [复制链接]
真相
头像被屏蔽
发表于 2010-9-19 14:03:17 | 显示全部楼层 |阅读模式
当金山网盾率先推出下载保护的时候,安软圈内各种声音此起彼伏。有叫好的,也有质疑的。其争论的焦点主要集中在:
一、网盾下载保护有无必要?
二、网盾是否是率先推出下载保护的?

在我的印象中,杀毒软件对于软件下载安全保护应该在很久很久以前就有了,具体我记不清楚了,早年我一直用的是金山,近几年才开始尝试其他的杀毒软件。据我所知,金山毒霸的嵌入式查杀就是下载保护的一种。根据网友消息,最先出现下载保护的是诺顿,这个不可考究了。但至少2006年那会,金山毒霸就已经具备了下载保护嵌入式查杀,能够在迅雷下载完成以后自动杀毒。

迅雷在金山毒霸2009时,就能自动检测和识别杀毒软件,当年是以杀毒模块的形式提供下载保护的,有卡巴斯基模块、江民模块、瑞星模块和金山毒霸模块。后来金山毒霸2009推出以后,直接取代了金山杀毒模块的下载保护,而在之后的日子里,迅雷也不再推出其独立的杀毒模块,改为直接支持本机杀软调用。

在金山毒霸2010推出伊始,对于迅雷的下载保护嵌入式杀毒就存在部分问题,一就是迅雷不认金山;二是下载完成后金山的下载保护实现方式是直接调用扫描,并且窗口还无法在扫描后自动关闭(之后以/slience的参数实现了)。而这个模块一直不是很稳定,这也与毒霸频繁地更换版本有关。

而就在毒霸尽力支持迅雷、旋风、快车的嵌入式下载保护之时,金山网盾大力推出了作为辅助软件的下载保护,其通过云查询的方式,实现了对浏览器、浏览器内嵌下载工具、独立下载工具、聊天工具的下载保护,并且作为主打功能进行推广。逐渐地,我发现,金山毒霸的设置中,嵌入式保护那一块已经不再有对于下载工具的保护了,仅有U盘查杀。

网盾的下载保护呼声越来越高,金山卫士、360网盾也慢慢加入了这个行列当中来。但随之而来的是网友的质疑:网盾等辅助软件的下载保护真的有必要么?

根据测试,金山网盾下载保护存在很多不足,例如无法保护360安全浏览器、不能保护谷歌浏览器、不能保护枫树浏览器、不能支持搜狗webkit高速内核、不能保护迅雷7等等等等。而360网盾是根据MD5进行云查询的,并且对于未知文件的鉴定要比金山网盾慢得多。金山卫士的下载保护一度在重启后就失效,也存在不能保护迅雷7和搜狗高速内核的现象。

而回过头去卡饭样本区,我们可以发现,国外知名杀软都是支持下载保护的,例如NOD、卡巴、小A、红伞等等,并且保护很有效,因为都具备本地查杀引擎。仔细一想,确实如此,难道完整的杀毒软件对于下载安全的保护强度还不如辅助软件么?

在此我的观点是:
一、对于可执行性文件,杀毒软件应该完全具备下载保护能力,因为几乎所有杀软都具备完整监控,可执行文件一旦写入磁盘,不管其是作为何种方式写入的,必将会被杀软发现(能力范围之内);
二、网盾类的下载保护都是基于云安全的,不管其识别方式是特征码还是MD5,查杀方式都是上报云端,本地查杀,其实本地并没有引擎进行脱壳、启发等操作;
三、网盾类下载保护需要嵌入下载工具内,而现在的下载工具五花八门,总有无法嵌入或支持不完善的,花大功夫在对千奇百怪的下载工具的内嵌支持研究上是否值得呢?

根据目前互联网状况,尚且没有人是单奔网盾的,至少也装了一个主杀软。而经过本人测试,一个主杀软只要开启了全面监控,是完全可以跳过对各种下载工具的支持,直接从磁盘底层进行下载保护的。

以卡饭一个样本为例:http://bbs.kafan.cn/thread-794255-1-1.html

光靠金山毒霸2011,全面监控,是否可以保证安全呢?

一、搜狗高速模式:


二、迅雷7:


三、360浏览器内置下载:


四、360极速浏览器:


五、谷歌浏览器:



经过测试,全部完美防御,根本不存在支不支持的问题,因为杀软是直接监控磁盘写入的。部分情况下,软件还未下载就已经被拦截,可以使用了基于URL危险性查询的方式,或特征头检验。

在测试中,全部使用的是对于可执行性文件的下载保护测试,而网盾是可以查杀压缩包的,这是不是说明杀软比不上网盾呢?

其实不然。因为压缩包本身是无害的,而只要杀软能够查杀内部的程序,即使解压甚至直接运行也根本无害。

一、直接双击运行:


二、解压到桌面:


综上所述,其实辅软的下载保护根本就是多此一举,只要个人计算机上安装了任一个可靠的杀软,对于下载中产生的可执行性程序安全防护完全是有保障的,无需辅软进行检测。并且辅软不可能奔波于支持形形色色的下载工具,下载工具是表层的东西,真正的实质都在于用户的硬盘安全。即使危险文件已经进入了用户硬盘,拥有可靠防御的杀毒软件也足以将其“请出”个人计算机。本人认为,辅助软件的下载保护功能完全是浮云。


黑暗中的舞者
发表于 2010-9-19 14:05:58 | 显示全部楼层
那是,文件实时监控都能捕捉到的,只不过现在分出一个下载保护、U盘保护而已
cst8899
发表于 2010-9-19 14:09:27 | 显示全部楼层
独到的见解,另外楼主的发帖分类不应该是“原创”吧?改一下,避免扣分。
真相
头像被屏蔽
 楼主| 发表于 2010-9-19 14:13:32 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
黑暗中的舞者
发表于 2010-9-19 14:16:59 | 显示全部楼层
问题在于用户要看到的是 提示安全,这样放心[:26:]
这就是为什么网盾流行的原因
287369078
头像被屏蔽
发表于 2010-9-19 14:23:55 | 显示全部楼层
一就是迅雷不认金山

这个和周鸿祎投资迅雷应该有直接的关系
真相
头像被屏蔽
 楼主| 发表于 2010-9-19 14:25:44 | 显示全部楼层
回复 5楼 娜雅特蕾依  的帖子


    这就是我前一篇文章所说的:“用户要的是安全感而不是安全
windfreedom
发表于 2010-9-19 14:28:55 | 显示全部楼层
真相帝复活后很活跃哦。。。。我很同意你的观点。。。。在有杀软监控下。。下载保护没必要

6楼内幕帝?
黑暗中的舞者
发表于 2010-9-19 14:29:42 | 显示全部楼层
回复


    这就是我前一篇文章所说的:“用户要的是安全感而不是安全”
真相 发表于 2010.9.19 14:25



有幸看过,商业软件(无论收费免费)就是这样,永远跟着需求跑
Humhook
发表于 2010-9-19 14:37:57 | 显示全部楼层
我也从来不会装这些东西
没有必要一个东西 由不同的软件 用差不多的方式 查杀2次
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 00:29 , Processed in 0.145502 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表