六大新反病毒技术仍然需要进一步完善

来源：作者：出处：巧巧读书 2007-10-31 进入讨论组

安全厂商赛门铁克发布警示称，在今年过去的6个月里，他们发现了211201个新的恶意软件样本，这比去年下半年增加了足足185%，这意味着每天世界上都有超过1100个唯一的病毒被产生。

随着编写病毒的门槛越来越低，世界上的病毒数量开始呈爆炸式增Zhang，但是用户方面的防护却远远滞后于日新月异的病毒技术，因此如何研究新的反病毒和防护技术成了安全厂商们抢占下一代市场的最大关键。

1、虚拟机技术

这个技术最早被VMWARE和微软掌握，并经过大量的开发研究，达到了一个世界高峰。随后因为病毒的泛滥，导致杀毒软件在行为判断和病毒库的支持下无能为力。随后国外的杀毒厂商开始进行了第一次杀毒软件变革，那就是虚拟机技术。

运用此技术的特点就是在当前系统中虚拟出一个简单，但是可以运行程序的一个虚拟系统，这样一些加了壳的病毒就会脱掉那层壳，然后交给杀毒软件的病毒库和行为判断等技术予以清除。但是弊端也逐渐出现，那就是高资源占用，甚至有时会导致杀毒软件和系统的假死现象。所以后来杀毒厂商开始削弱的虚拟机的地位，逐渐研究新得虚拟技术。这种新型虚拟技术，在2005年得到了有效的运用例如NOD32、MCAFEE等等。

这项技术也成为21世纪黑客首要攻破的对象之一。不过随着黑客技术的不断增强，这项技术也被逐渐攻破，因为前面已经说到，这项技术需要耗费大量的系统资源，导致系统不能正常运行。所以新型虚拟技术运用了部分的虚拟机技术。这就导致了，虚拟机不能完全发挥其原有的功效。只能运用病毒库来弥补不足。这就是杀毒软件的滞后性！

此项技术运用比较出色的有：NOD32、MCAFEE等等

2、沙盘仿真（虚拟机的继承人）

这项技术，最早是系统还原类软件的专利，例如Shadow系统或者NORTON GOBACK的safe mode率先启用的。这项技术是说在原有的系统上预先留出一些空间，然后让用户进行操作，重新启动后，原先的数据全部被清除，还原到原始状态的一种技术。而杀毒软件也同样看见了这一点。于是就将此项技术和虚拟机技术进行了整合。推出了沙盘仿真技术。技术原理和虚拟机大致相同，同样是虚拟出一个系统，然后让病毒运行。从而进行清除。但是此项技术却解决了虚拟机的弊端，高资源占用！但是此项技术与虚拟机技术现在是平分秋色。因为随着虚拟机的不断改善。已经将资源的占用下降到一定水平！所以有网友认为：虚拟机=沙盘仿真

确实从功能上说是完全一样的，但是原理却不同！至于最后谁能占得先机还需要时间的考验。

此项技术运用出色的有：kaspersky 7.0 or 8.0（8.0，12月左右出正式版）

3、主动防御

杀毒软件具有滞后性，这是业界公认的一个杀毒软件弊端，而主动防御却很好的解决了这个问题，尤其是卡巴斯基6.0和东方微点将这一技术推广到了极致。其优秀的防御系统主动防御能够解决90%以上的未知病毒。这不仅能够解决病毒库更新的滞后性，同时也对技术人员的减负。但是此项技术的弊端就是容易出现误报现象，这也就是为什么说卡巴斯基老出现误报的原因之一。

我想这种弊端永远不会解决。例如误报过的QQ，QQ是国内IM市场的领头羊，有着75%以上的份额。所以用户非常之多，所以在QQ中，腾讯也加入了一些带有广告性质的程序。例如SOUSOU等，这些字符在主动防御体系里，有着极其危险的行为，所以出现了误报。当然这种错误，不是不能解决，现在主要修复途径为添加白名单和更新病毒库两种！

HIPS具体诠释

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：“病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

我们个人用的HIPS可以分为3D： AD（Application Defend）——应用程序防御体系、RD（Registry Defend）注册表防御体系、FD（File Defend）文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

所谓hips（主机入侵防御体系），也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.

本U R L:http://www.qqread.com/virus/l372514.html