解读毒霸2008的恶意行为拦截 转铁军贴

kp2006

根据病毒特征库查杀，是所有杀毒软件主要的工作机制。随着病毒特征库的不断积累，杀毒软件的资源消耗也越来越大。好在计算机硬件系统的发展速度远快过软件系统，主流机型不必在乎资源开销，不然，杀毒软件消耗资源的比重太大，消费者就会不满意了。

对未知病毒的检测技术，是杀毒软件探讨多年的方向，但时至今日，仍未成为主流技术。国外安全软件中诞生了一类新的产品，由网络设备中衍生而来，被称之为”基于主机的入侵防护系统“，英文缩写为HIPS。（有兴趣的朋友可以看看我的另一篇文章：说说我对主动防御的看法）

我们开展这方面的研究也有较长时间，但对于HIPS系统，现阶段成果表明：所谓的”主动防御“，只能做到”让用户去人工主动防御“。这显然，对最终用户对电脑系统软件的应用水平有较高要求。如果频繁出现”×××程序企图注入rundll32.exe的空间运行，请选择：1允许，2禁止“。试想，这样的对话框，是交给最终用户来选择的，如果我是用户，现在是杀毒软件问我，不是自动处理。我该怎么办？！困惑！不知所措！问题还在于，这类提示可能会相当频繁。相信尝试安装过vista的人不少，界面很华丽，可是当你发现运行很多软件启动时，弹个对话框让你确认，原来在Winxp下很顺畅的操作，现在不行了，频繁弹出的对话框令你厌烦，很多人重新回到了XP。甚至象联想，HP这样的OEM厂商，也给用户提供了操作系统降级的服务。

以上这些，只想说明一点，现阶段的主动防御，离普通用户的需求有较大距离，只能算作尝试，能不能被最终用户接受？很难讲。

但是，杀毒软件对未知新病毒的判断仍是十分必要的。如何在安全性和易用性中做出选择？我们走的相对而言，更为保守稳妥，力求在平衡点向用户靠拢。我们认为，只有用户容易接受，而且有效的方案，应该是好方案。金山毒霸2008的恶意行为拦截，就是从这个点出发的。

下面具体说说正在内测的毒霸2008的恶意行为拦截，实现过程包含本地文件监控、逻辑思维、联网认证三方面的元素，文件监控负责发现已知病毒，逻辑思维负责通过发现的已知病毒反查病毒源，联网认证负责把病毒源与网络数据库比较，判断该源头的安全性，根据联机判断结果对源头文件进行相应处理。

可能有些不易理解，通俗讲讲。
我们知道，很多所谓的新病毒，只是老病毒加壳或做免杀。在病毒运行时，原来可查杀的病毒特征就会暴露出来。还有一些新病毒，具备一些高风险的特征，比如注入正常程序的进程，释放dll文件，改写注册表的敏感位置等。我们把这类新病毒，在特征库检测不到时，称为宿主程序。

功能1，当宿主程序释放文件，这些文件中有些被检测为病毒程序，这种情况相当普遍，今年流行最严重的下载者都是这样，下载器不能被杀毒软件查到，下载的各种木马很多可以被检测到。此时，恶意行为拦截功能会反查到宿主程序，并将其删除或隔离。

功能2，对于另一种情况，你的电脑并未中病毒，但是因为病毒通过会话劫持技术，不停让你浏览网页时下载木马，查毒会没有结果。或者，在某些情况下，上面说的宿主程序没有被删除，还在不停尝试下载新的木马。恶意行为拦截功能，会阻止在相同路径下创建同样的病毒文件。而不再是以前的，创建完之后，将病毒检测到再删除。

功能3，恶意行为拦截功能在处理宿主程序或企图注入正常程序进程的可疑DLL文件时，会将这些程序的信息和服务器特征库进行比对。当比对的结果判断为该文件可疑时，就会提醒用户上载可疑文件至服务器，供开发人员分析文件的安全性，以扩充服务器的特征库（这将是个海量的特征库，不太可能将这些特征库缓存到用户本地硬盘，而未来，不联网的计算机只会越来越少）。同时，这些可疑文件中的病毒将会被及时加入到病毒特征库，升级后，用户端的杀毒软件就可以正确检测并予以清除。

金山毒霸2008内测版的恶意行为拦截中，高风险的宿主程序将会被当作病毒自动删除，一般风险的可疑文件会触发上报系统，并同时建议删除或隔离。这种处理方式，将最大限度减少普通用户面对类HIPS主动防御系统时所面临的困惑。

fido_lee

这个对于帮助普通用户解决无法识别文件正常与否的问题还是很有好处的。

还真让我猜着了，清理专家的系统诊断就是一些东西的雏形或者尝试性应用。

将来提升的空间也许就是更加全面的捕捉识别行为了。

小天才

说得让人感觉不错，不过就是不知是否真正管用

英仔

支持金山!!我看好

一只麦兜

金山还是不错的

95518

金山的进步还是蛮大的
虽然效果一直不让人满意

eaco

简而言之 就是杀软自己判断 尽量不要让用户去选择允许 禁止
喜欢

pippo0423

这个功能类似FS的HIPS模块，内建大量白名单和黑名单，只有很少数的程序需要询问用户。。。感觉这是未来实用性防御模式的趋势了，包括NIS2008里面也建立了类似的模块，他一般不会阻拦只会提示下，要具体更改的再顺着他提示去操作还原，这样可以保证使用系统的流畅性。。。反观那种学模式的HIPS太过烦琐迟早会被淘汰的。。。

touchtouch

这种概念是好的，不过要使之成熟，还有很长的路要走。

martian90

不错的功能