杀毒软件防御机制存在重大漏洞
20112000年,病毒技术发生了重大变化。现有技术架构的杀毒软件短缺,应对逐渐疲软。
病毒绕过主动防御
目前,杀毒软件依靠文件识别开发了传统的文件识别引擎。当文件被访问和运行时,调用反病毒引擎来安全扫描文件。如果是黑色文件(危险程序),白色文件(安全程序)将被释放。当类似的主动防御应用程序面临大量的白色文件时,包括白色文件的后续行动,如加载dll文件等,不再检查直接放行。因为如果不放行,就会面临一个问题:持续的询问会严重打扰用户,系统就不能使用了。
魔法高一英尺,道路高一英尺,病毒和反病毒之间的斗争不断上升。为了绕过杀毒软件的积极防御,病毒很快找到了新的技巧:植入病毒代码dll在文件中,使用识别安全的第三方软件加载dll不验证文件的漏洞间接运行。可以被病毒使用的软件有成千上万的软件Windows自己的组件是不可避免的。
这种绕过病毒的方式在2011年得到了广泛的应用,杀毒软件再次落到了必须与病毒抗争的速度。
为什么正常文件也很危险
以下图为例,这是典型的网购木马。
病毒程序是StormUpdate.dll,如果病毒作者直接编译一个.exe可执行文件,他会发现杀毒软件判断这个未知程序有异常行为,并被建议停止运行。于是病毒作者随便找了一个正常的应用软件,比如风暴视频程序,是一个合法的数字签名商业软件,所有的杀毒软件都判断是正常程序。
该程序执行时,杀毒软件主动防御放行,因此含有病毒代码StormUpdate.dll(假)加载,然后包含主要病毒执行代码Version.dat加载执行。最后,病毒绕过了杀毒软件的拦截,完全启动。
还有一个更经典的例子:在以下8个文件中,只有一个是病毒,其他的都是正常的文件,病毒就像多米诺骨牌之间的接力。最终对用户造成伤害的结果是由一系列看起来完全正常的软件制造的。
安全制造商的无助防病毒软件无法拦截病毒程序,正常文件变得极其危险。为什么是这样?简单地说,病毒对防病毒软件的工作机制有非常彻底的了解,并直接利用其系统漏洞。不幸的是,安全制造商知道这个问题,但他们无能为力。由于数万份白色文件被数亿网民频繁使用,没有安全制造商有能力逐一检查白色文件的后续执行动作。即使是资源和能力,网民也不会同意。目前,防病毒软件可以处理这种绕过方式,就是找到一个记录。但症状并不是根本原因。病毒作者随意更换加载文件和路径,防病毒软件将很容易绕过。
杀毒系统多年来没有实质性变化。事实上,杀毒软件的基本概念多年来没有改变。基本思路是基于文件的扫描和识别,这也是病毒理解和突破的根本原因。
起初,杀毒软件只有一个文件扫描引擎。在处理文件少的时代,它足够快,速度快,误报率低。随着病毒的进展,大量病毒开始增加壳体,使用稀有病毒EXE压缩工具包装。然后杀毒软件推出脱壳引擎,解包文件,然后调用文件引擎进行检查。
新病毒出现得越来越快,文件引擎开始显得有点匆忙。杀毒软件开始设计启发式分析引擎,通过代码统计检查病毒常用的非法操作,发现病毒的一般规律。
虚拟机引擎类似于启发式,在虚拟空间模拟程序中执行,分析有害行为。这种做法的结果是消耗了大量的系统资源,降低了扫描速度。但它也能找到新的病毒。这些都是文件扫描引擎。
从那以后,一些防病毒软件开始尝试行为检查和杀戮,主动防御技术逐渐普及。主动防御捕捉程序的动态执行过程,而不是静态检查文件。一旦在执行过程中发现异常行为,立即防止危险程序的进一步行动,防止中毒。这个模型很理想,似乎没有必要担心新病毒。
事实上,病毒程序和行为动作与正常程序没有本质区别。许多动作和正常软件都有。因此,频繁的拦截提醒需要释放正常的软件,否则会严重干扰用户的操作。现在,正如上面提到的,病毒作者再次找到了一种绕过的方法:使用正常的软件启动危险程序。通过杀毒软件和病毒木马之间的对抗史,我们可以发现,虽然杀毒软件已经改变了很多次,但基于文件的识别系统从未改变过。如果杀毒技术体系不断没有实质性的创新,未来的安全形势令人担忧。
【编辑推荐】