特征码遭遇挑战 熊猫烧香催化主动防御

shanxin

一年前，没有人想到熊猫烧香会成为杀毒软件的分水岭，没有人会想到08年是主动防御年，没有人会想到熊猫烧香催化特征码集体转向主动防御

特征码是一种很有疗效的杀毒方式，有一杀一有二杀二，只要病毒库里有记录，马上就会药到病除，顶多偶尔闹个小误报。但是特征码的缺点也恰恰在于病毒库，病毒库里有的样本就可以杀，病毒库里没有的样本就杀不了。而特征库的收集要完全依赖于有人先中毒，中毒把病毒上报，反病毒工程师分析后提起病毒特征码，随即升级病毒库之后杀毒软件才能杀毒。在熊猫烧香之前，使用特征码技术的传统杀毒软件活得还很滋润。但是不凑巧，特征码这回遇到了国宝熊猫烧香。
    “熊猫烧香”是一个传染型的DownLoad，使用Delphi编写，从技术上来说它并没有什么创新之处，却借鉴很多经典病毒，木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”，”添加注册表启动项“，“利用微软自动播放功能运行”，“针对计算机本身攻击弱口令”，“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的病毒技术。但就是这些“不算最新”的病毒技术却在全国上下揭起了一股“烧香”热潮。
    如果熊猫烧香没有变种，那么特征码技术对付它完全不费吹灰之力。但是李俊同学这把完全打破了以往的游戏规则，玩儿得太狠了，第一次大批量规模化的生产病毒，弄得特征码杀毒措手不及。昨天的特征码还没有更新，今天的新变种就又出现了。叱诧风云十数载的特征码杀毒，被熊猫烧香累得气喘吁吁。
    优胜劣汰，适者生存。达尔文的进化论同样适用于病毒和反病毒。李俊用频繁编写变种的手法彻底击溃了特征码，那么很必然就会有另一种技术站出来取代特征码而遏制李俊的熊猫烧香。这就是主动防御技术。
    可以说主动防御恰恰是李俊和熊猫烧香的克星，李俊用变种和免杀肆意摧残杀毒软件的手法，遇到了主动防御一下就现了原型，无论李俊绞尽脑汁如何变化，始终无法突破主动防御。原因也很简单，主动防御是行为杀毒，黑客所使用的免杀手法其实都是换汤不换药，只给病毒换了件衣服而对病毒最本质的行为则保持不便。李俊使用的那些成熟得发俗的病毒行为早就在主动防御的掌控之中，即使李俊晚几天被抓，再出上他一万个熊猫烧香变种，一样还是逃不出如来佛的手掌心。
    李俊虽然被抓了，但是李俊把熊猫烧香的源代码卖给了不少人，甚至在网络上就可以随意下载到熊猫烧香的源代码。然后呢，数不清的小李俊、小浩雨后春笋般站了出来。一个李俊抓了起来，千万个熊猫预备烧香，特征码真的要顶不住了。杀毒软件永远都是必需品，特征码虽然不行了，好在还有主动防御。08年已经是主动防御年了，铺天盖地的主动防御广告也算是一件好事，毕竟主动防御让杀毒软件的防护能力大步提升。熊猫烧香最后烧出了个主动防御年，恐怕李俊也没有想到。

moonsilver

时代在进步

taiw_1144

可惜呀，主动防御做得很出色的微点却上不了市，痛恨+无赖

fido_lee

科技也在发展。

没有常青的技术，总在不断的诞生、更新与淘汰。

不知未来若干年后，XXX又将改写主动防御的地位与价值。

未来会是怎样？我是不敢想象。

蓝裳

卡巴跟金山不是一直吹着说自己能主动防御么?难道是忽悠俺的.

Anycall-D908

原帖由 蓝裳 于 2007-11-13 01:24 发表
卡巴跟金山不是一直吹着说自己能主动防御么?难道是忽悠俺的.

      虽然我非常支持微点,但是我不得不承认卡巴的主动防御也做得很不错.就是资源耗的厉害而已.至于金山,没用过不发表意见.

hai51881

杀软只是工具，什么工具都不是万能的，关键要有基本的防卫常识和安全意识

毒霸

对呀，有好的病毒才会有好的杀毒软件。

sharkkong

再好的软件也要会用的人去用才可以呀。有的人用了N种组合照样中毒，有些人裸奔都很少中毒。
技术不是万能的，千万不要唯技术论。

keleboy007

确实啊,熊猫烧香虽然不是什么新病毒,但给所有病毒厂商都上了一课