前奏
由于最近对防病毒软件的反应滞后新病毒所发出的质疑越来越强烈,国内防病毒软件的三大主要供应商都打出了主动防御牌。首先是江民于今年五月十九日宣布具有主动防范技术的江民木马终结者研发成功。同日在接受赛迪采访的时候瑞星副总裁毛一丁透露瑞星将在产品研发中全面实施主动防御策略。稍后的五月二十四日,金山公司宣布其防病毒软件的主动防御(ADP)计划已完成第二层的网络自防御并已应用到当天发布的中小企业版产品中。下面我们就来看一看这三种产品到底如何主动的进行病毒防御,并通过一些测试来考察这些产品在检查未知病毒方面的有效性。
江民
江民早在三月份就推出了能够判断病毒行为的防病毒软件KV2005AAA版,而这次推出的木马终结者是可以脱离防病毒软件独立运行的。江民称木马终结者是KV2005AAA版中的木马一扫光的有力补充。木马一扫光是主动的对系统进程进行监控,而木马终结者再此基础上应用了江民的病毒行为检测技术,能够判断系统进程的安全性,通过检查病毒行为发现恶意进程并做出处理。
点评:我们可以看到,江民采用的主动防病毒技术是基于启发式扫描和行为检测技术,并且是国内厂商较早涉入该领域的。江民产品内置的查毒引擎总体感觉来说是具有很强能力的,很多公开和非公开的评测都充分说明了这一点。不过对于江民所标榜的木马100%和蠕虫病毒90%的检出率却有些言之过彰,因为这样的成绩尚难以由未知病毒检测技术达成。
金山
金山公司公布的主动防御计划分为终端、网络自防御以及整体防御三个层次。目前市售的产品已经可以在无需用户干预的情况下实现自动病毒防御。最新的金山毒霸2005具有主动实时升级、主动漏洞扫描、在病毒生效前启动防毒程序等主动式的病毒防御功能。据称,在实现了所有三个层次的主动防御之后,病毒将在整个网络中被有效隔离,失去传染环境。
点评:金山在主动防御方面更多的着眼于体系和可管理性等方面的建设,并没有过多的提及对未知病毒的处理。虽然金山的产品具有很多创新性的功能,但是只靠这个方面是无法构筑完整的主动防病毒体系的。
瑞星
瑞星的主动防御主要包括两个方面,首先是在检查未知病毒方面,瑞星通过行为判断技术,开发出危险行为监控、行为自动分析和诊断等技术。这些技术从动态和静态两个角度来判定程序的行为特征,可以识别大部分未被截获的未知病毒和变种。另外瑞星还增强了系统漏洞管理模块,防止病毒和恶意程序针对系统漏洞进行攻击。
点评:瑞星的主动防御不仅仅包含查杀未知病毒的技术,也提出了一些在安全管理方面的内容。但是在技术方面我们无法获知更详细的信息,而漏洞管理等功能也是很早之前就存在与瑞星的产品当中了。
测试篇
为了检验这三种产品在查杀未知病毒方面的有效性,我们进行了一些基本的测试。在首先进行的测试中,我们比较了每个厂商最新版本产品与之前没有宣称集成主动防病毒技术的版本。我们使用这些软件对2003年初至2004年末之间的一组病毒样本进行的测试,从结果上来看,新产品与旧版本产品之间的差距并不大,这也从侧面表明了目前在病毒检测中起到主要作用的仍然是基于病毒特征库的特征码扫描技术。
|
2000
种样本
|
江民
|
瑞星
|
金山
|
|
新版本
|
88.5 %
|
78 %
|
81.2 %
|
|
旧版本
|
87.3 %
|
77 %
|
81 %
|
我们进行的第二个测试是使用最新版产品检测一组属于同一流行病毒的三十种变体。我们发现大部分的病毒都被正确的检测出来,其中江民和瑞星的产品可以检测出所有的病毒,而金山只有一个病毒没有检测出来。这种检测病毒变体的方式并不能直接说明一种防病毒软件的未知病毒检测能力,因为在简单的测试中无法绝对的区分在结果中未知病毒检测能力和特征码扫描技术的影响。我们无法由于金山没有全部检出所有样本就判定金山的产品没有良好的未知病毒检测能力,但是通常我们认为一款具有良好未知病毒检测能力的防病毒产品应该可以检测出一种病毒的全部变体。
|
30
种变体
|
江民
|
瑞星
|
金山
|
|
新版本
|
30
|
30
|
29
|
我们进行的第三项测试是使用三个厂商宣称使用了主动防御的产品检测十种未知病毒样本。这些样本分别属于文件病毒、脚本病毒、蠕虫病毒三个主要的病毒分类,并且这些样本采用的都是比较流行和通用的机制。江民检测出了大部分样本,不过在没有检测出来的样本当中,包含一种特洛伊木马性质的样本。瑞星的成绩稍差一些,相对于江民少查出一个木马型病毒和一个蠕虫型病毒。而金山的成绩让我们有些意外,除了两种蠕虫病毒和网页脚本病毒之外,金山无法检测出其它的样本。
|
10
种未知病毒
|
江民
|
瑞星
|
金山
|
|
新版本
|
7
|
5
|
3
|
总体来说,这些测试所体现出来的数据反应出的情况是比较正常的。虽然金山的检测结果不是很好,但是由于金山并没有就未知病毒检测能力发表过多的承诺,所以金山产品在检查已知病毒方面的能力并不应受到该结果的影响。而江民和瑞星的病毒样本率对于未知病毒检测是能够令人满意的,只是我们应该考虑到这其中可能仍有特征码扫描引擎的作用。因为我们采用的样本虽然属于未知病毒,但是由于其触发机制部分的代码并非独创而是与很多流行过的病毒相似,随意不排除这些未知病毒样本中存在一些与已知病毒相同的特征片断。如果存在这种情况,那么江民和瑞星的病毒检出结果就要打一些折扣了。
尾声
现在相信大家对国内主流个人防病毒产品在主动病毒防御方面的情况有了更多的了解,这也是我们写作这篇文章的初衷。面对今年广大用户、业内人士与厂商所展开的论争,我们的内心有如打翻了五味瓶一般。用户已经在压迫下发出了自己的呼声,厂商应该积极的对这种呼声做出响应。我们虽然认同一些厂商提出的主动防病毒并非仅仅启发式查毒这么单纯的观点,但是我们仍然认为查杀未知病毒的技术是达到病毒防御理想状态的核心。如果没有真正有效的查杀未知病毒的能力,主动的防病毒体系无从谈起,广大用户所面临的安全形势也将愈发严峻。我们所进行的测试其实只是寥具参考意义而已,每种测试都有其独有的视角,也很少有测试能够反映所有的问题。真正对未知病毒乃至未知威胁具有抵御能力的系统应该体现出实效。试想,目前我们的防病毒产品如果不进行病毒库升级的话,用户的机器还能否正常的在互联网上畅游呢?所以说以目前的反病毒技术来说,离有效的抵御未知病毒乃至形成主动型的病毒防御体系还有很长的路要走。很多专家预测如果目前互联网上各种病毒和恶意信息横行的现状得不到改善,可能会危急互联网的生存。虽然这种论调稍嫌过激,但是形势的严峻如斯。希望广大防病毒软件厂商能够以信息社会的发展为己任,如果过多的将精力用于反论争和舆论导向,也许不久的将来,我们真的应该开始质疑防病毒软件存在的意义了。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/58728,如需转载请自行联系原作者
