如果你長年累月地使用過殺毒軟件����,不難發(fā)現這么一個現象——殺毒軟件的彈窗總體來說是越來越多了����。以前的殺毒軟件��,裝了就裝了��,有病毒才會彈窗警告提示用戶;近幾年的殺毒軟件隨便用戶在系統(tǒng)中進行什么操作��,例如安置個軟件���、修改個設置,都會彈窗問你到底要不要這么干!不但如此��,就算你啥事也沒做�����,殺毒軟件還是有可能會彈窗來問候你的冷暖���、貧富�、安危�����,就差沒問你大小了。為什么殺毒軟件會釀成這樣?今天就一起來談談這個問題吧�。
殺毒軟件真的需要彈窗才能殺毒?
雖然大家都在說殺毒軟件,但其實殺毒軟件的機理早已經不但僅是發(fā)現病毒然后查殺這么簡單��。病毒木馬是不停進化的�����,從最開始的毫無掩飾�,到加上種種免殺手段,病毒木馬變得越來越難啃����。病毒逃避殺毒軟件的手段很多,例如加殼技術���,病毒可以通過一些手段加密代碼�����,令殺軟檢測不到其特征;例如加花技術�����,病毒可以在自身中插入混淆視聽的代碼����,改變其特征;例如自動變異,病毒可以在傳播中自動改變特征碼�,令殺毒軟件疲于奔命……為了對付這些病毒免殺手段,殺毒軟件也不得紛歧次次進化自身�����。
殺毒軟件最早使用特征碼來檢測病毒����,這需要安適公司發(fā)現某個病毒的特征后���,把該特征更新到殺毒軟件中���,殺軟才能發(fā)現病毒并查殺。特征碼查殺的歷史非常悠久�,如果你接觸殺軟的年頭比較久遠,應該還會有著在 90 年代的時候���,對著電腦報上發(fā)布的病毒特征碼�,,一個個字符手工打入殺毒軟件的回憶�����。但面對發(fā)作性增長的病毒��,特征碼是應付不來的��,無論病毒庫更新速度多快��,病毒始終走在殺軟前面�����。如何才能對付安適公司尚未發(fā)現的病毒?這是個在安適行業(yè)一直在探討的問題�����。
特征碼是最早的查殺方式�����,早期的殺軟需要手動輸入特征碼
特征碼查殺的改進版是基因碼查殺���。這種技術相當于是總結了一堆病毒的特征���,提取出了某類病毒的“基因”��,只用一個基因碼就可以對付一大票病毒����。這就相當于殺軟看過黑熊�����,就能認出白熊棕熊灰熊也都是熊�,知道它們都很危險?����;虼a用來查殺變種病毒還是挺有效的��,但用來對付全新的病毒還是無能為力����,能認出熊有危險��,不等于就能認出老虎有危險。殺軟接著改進���,又祭出了啟發(fā)式掃描���。
啟發(fā)式掃描的機理有點像釣魚執(zhí)法,你病毒偽裝得再怎么好����,最終也是要運行才能發(fā)揮作用。如果某段程序運行時會干些奇奇怪怪的事情�,那它多數就是惡意代碼。啟發(fā)式掃描的關鍵在于“啟發(fā)”����,它在類似虛擬機的環(huán)境下誘導某個程序運行,從運行的情況來判斷該程序是否危險�����。如此一來��,就算殺軟不認得某個病毒的特征也無妨����,只要這個病毒被成功“啟發(fā)”��,就逃不過被裁決的命運���。
著名殺軟“小紅傘”就以啟發(fā)式掃描著稱
以上的查殺手段,在差別的殺軟中有著差別的名字�。實際上大多數殺軟,都不會單純只是用某種手段進行查殺��。對于安適更有追求的殺軟���,更是加入了強大的HIPS系統(tǒng)進行防范���。
HIPS英文全稱是Host-based Intrusion Prevention System,翻譯為中文就是主機入侵防御系統(tǒng)�。這種技術的原理并非殺毒,而是以防御為主�����。HIPS會監(jiān)控系統(tǒng)的關鍵部位�,例如進程、系統(tǒng)文件等等�,如果有程序對這些關鍵之處進行修改�����,HIPS則會凍結其行為,并詢問用戶是否放行���。如果HIPS沒有被攻破�,那么病毒想要爆發(fā)���,幾乎成為了不成能的事情����。
從特征碼到基因碼到啟發(fā)式掃描再到HIPS���,殺軟的反病毒能力越來越強���,但與此同時也帶來了另一個問題——誤殺率。特征碼還好說��,認準了基本錯不了����,但基因碼、啟發(fā)式掃描�、HIPS都全自動運作的話��,很有可能就會錯殺良民了�����。例如某個游戲修改器�,并不是什么病毒�����,但它也需要在其他程序上掛鉤子注入代碼����,行為乍看上去和病毒無異。讓殺毒軟件來自動處理的話��,這修改器多半就當場槍斃了�����。如何才能制止這種問題?只能讓部分流程不自動化處理��,靠彈窗讓用戶自行判斷是否進行該操作�。
UAC就是一個簡單的HIPS系統(tǒng),為了安適,系統(tǒng)需要把一些東西交給用戶判斷是否放行
