您的位置: 网界网 > 周报全文 > 正文

[周报全文]沉积:反病毒技术之殇

2007年02月27日 16:18:06 | 作者:○ 张一驰 | 来源:$page.getBroMedia() | 查看本文手机版

摘要: 无论是企业还是个人,杀毒软件已经成为了电脑用户不可或缺的应用。虽然市场可观,但由于技术上的限制,很多反病毒厂商都存在不同程度的问题。

标签
反病毒

         无论是企业还是个人,杀毒软件已经成为了电脑用户不可或缺的应用。虽然市场可观,但由于技术上的限制,很多反病毒厂商都存在不同程度的问题。

积累是主要问题

         无疑,反病毒是一个需要高技术积累的行业,不论国内国外,不论评价高低,所有的圈内厂商都受到研发的推动、激励甚至是拖累。这导致了很多厂商在病毒样本的收集、病毒特征分析的技术上差异较大。特别是一些国内厂商起步较晚,这方面与国外先进技术相比仍有差距。

         令笔者感受颇深的是,当年国内某杀毒厂商,在产品中集成了自己的引擎和俄罗斯的著名杀毒软件Dr.web引擎,这种双引擎战术的确不错,客观上避免了自己引擎的不成熟。再加上网络推广的成功,获得了良好的效果。

         但要指出的是,这种策略无法长久。事实上,后来由于种种原因,该厂商和Dr.web的集成没有继续下去。直到今年,韩国的驱逐舰杀毒也靠着Dr.web的引擎再次进攻我国市场,但前景依旧令人担心。

         关于病毒样本的问题,各家厂商的差异就更大了。一些国外的老牌厂商在这方面做得比较好,因为凭借着较为宽广的市场开发领域,收集样本的能力还是比较强的。这点必须给国产厂商指出来,因为反病毒的全球化早已刻不容缓,国外一个新病毒从爆发到传播至我国,最快的仅仅用了四分钟。无疑,反病毒全球化不是普通的市场问题,而是关系着企业未来生存发展的根基。

         其实,业内所有的厂商都在病毒库和病毒样本上不断努力,但客观地说,仍旧赶不上病毒爆发的速度。目前的反病毒引擎还是以特征码为主的杀毒形式,据悉,一些样本较弱的厂商,已经在最近的VB100%测试中失利。

         根据笔者的调查,为了提高病毒库的丰富程度,很多国际上的新兴杀毒厂商之间采用了交换病毒库的方式。这一点同样体现出了反病毒技术的全球化趋势,一些国内厂商也已经参与其中。据悉,今天Top Ten REVIEWS排名第一的BitDefender病毒库就是采用这种方法,逐步积累到了50多万样本之巨!

引擎之痛

         反病毒技术的核心就是各家厂商的杀毒引擎。这有点类似于汽车和飞机的发动机,标志着一个国家相关的技术实力。

         无论是国内、国外的杀毒软件,每年推出新版本的时候,都提出自己新版本的杀毒引擎是第N代,技术有多么先进,杀毒能力有多大的进步。但很多情况下,一到具体运用,就发现杀毒能力还是老样子。

         比如,有一家知名反病毒厂商的监控一直是用DLL注入的方式,原理和很多病毒木马相同,这导致了监控的时候占用系统资源巨大,脱壳能力也非常糟糕,只能脱掉UPX壳,病毒和木马只要一加其他的壳就没办法对付了,不是查不出就是不停地跳杀。

         而当年与Dr.web搞双引擎的那家反病毒厂商,由于受到了俄罗斯风格的影响,其杀毒软件的系统资源占用则很小,杀毒速度也很快。但遗憾的是,它根本没有杀带壳病毒的能力,结果造成了在杀毒的时候跳杀非常厉害。

         另一家较为著名的反病毒厂商,由于当初开发的杀毒引擎有独到之处,在监控和杀毒方面都有不错的表现,在杀壳方面除了杀掉UPX和ASPack壳之外,还可以杀一些比较流行的壳。据说其杀毒引擎在一定程度上借鉴了卡巴斯基的引擎,但是杀壳的能力比卡巴斯基就差多了,可是扫描和监控的速度比卡巴斯基强不少。
12
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]