病毒強關(guān)殺毒軟件 多數(shù)殺毒廠商集體失語

gao0907

病毒強關(guān)殺毒軟件 多數(shù)殺毒廠商集體失語
    近日，一篇《“AV殺手”強關(guān)百種殺軟》的新聞引起了眾多電腦用戶的關(guān)注。據(jù)報道，“AV殺手”變種病毒運行后，能夠利用惡意驅(qū)動程序強行關(guān)閉大量流行安全軟件，大大降低了被感染計算機上的安全性。病毒會強行篡改注冊表內(nèi)容進(jìn)行映像劫持，禁止近百種安全軟件、安全輔助工具以及調(diào)試程序的運行，導(dǎo)致用戶計算機系統(tǒng)毫無安全保障，嚴(yán)重威脅用戶計算機的安全！
    病毒的囂張讓普通電腦用戶不寒而悚。更加可怕的是，這些病毒將上百種安全軟件關(guān)閉后，向染毒電腦中下載大量的木馬、后門等惡意程序，黑客可以為所欲為，盜號、竊密更是易如反掌。人們不禁要問，難道我們一直依賴的殺毒軟件在病毒面前真的如此不堪一擊嗎？是病毒太狡猾，還是殺毒軟件太無能？
    遍搜網(wǎng)絡(luò)，除了老牌殺毒廠商江民科技明確表示，江民殺毒軟件KV2008不會被此類病毒關(guān)閉，而且目前尚沒有發(fā)現(xiàn)能夠關(guān)閉江民KV2008的病毒外，其它所有殺毒軟件均無明確表態(tài)。
    據(jù)了解，計算機病毒目前已經(jīng)進(jìn)入了驅(qū)動內(nèi)核級，而許多安全軟件技術(shù)還停留在應(yīng)用級，難怪會被病毒輕易結(jié)果了。江民反病毒專家介紹，病毒關(guān)閉殺毒軟件經(jīng)歷了以下幾個階段。
   早先病毒關(guān)閉殺毒軟件，主要通過監(jiān)測窗口標(biāo)題的形式，一旦監(jiān)測發(fā)現(xiàn)標(biāo)題中包括有“殺毒軟件”“安全軟件”或其它病毒特定的殺毒軟件品牌字樣時，就會發(fā)送關(guān)閉消息，關(guān)閉殺毒軟件進(jìn)程。這種方法很輕易被殺毒廠商破解了，反病毒專家將窗口標(biāo)題采用動態(tài)標(biāo)題和進(jìn)程保護(hù)技術(shù)，每次軟件啟動后，窗口標(biāo)題出現(xiàn)都是無規(guī)律的，如“江民殺毒軟件”，字與字之間會有隨機空格，讓病毒無法獲取到特定的字樣，這樣也就無法觸發(fā)病毒發(fā)送關(guān)閉消息，而進(jìn)程保護(hù)技術(shù)通過提高進(jìn)程和系統(tǒng)權(quán)限，防止被病毒關(guān)閉。
   隨著窗口監(jiān)測技術(shù)被破解，病毒作者又利用了映象劫持技術(shù)，通過Windows映像劫持技術(shù)（IFEO）修改注冊表，致使許多與安全相關(guān)的軟件無法啟動運行。針對這種技術(shù)，殺毒廠商拿出了反映象劫持技術(shù)。以江民殺毒軟件為例，首先，江民殺毒軟件KV2008對系統(tǒng)注冊表進(jìn)行了特殊保護(hù)，特殊系統(tǒng)關(guān)鍵鍵值被保護(hù)為只讀，無法進(jìn)行修改的。對于一些其它的非關(guān)鍵鍵值，如果病毒修改了注冊表，江民殺毒軟件會及時報警，并對這種行為進(jìn)行阻止。而且，江民KV2008系統(tǒng)診斷功能中，能夠?qū)ψ�冊表鍵值進(jìn)行掃描，并可以列出非正常的鍵值進(jìn)行標(biāo)記，便于用戶進(jìn)行刪除和修改。
   而進(jìn)入2008年以后，病毒關(guān)閉殺毒軟件的技術(shù)進(jìn)入了內(nèi)核驅(qū)動級。病毒通過生成驅(qū)動程序，與殺毒軟件爭搶系統(tǒng)控制權(quán)限，通過修改SSDT表等技術(shù)實現(xiàn)WINDOWS API HOOK，從而使得殺毒軟件監(jiān)控功能失效。至此，殺毒軟件與病毒的較量已經(jīng)進(jìn)入了內(nèi)核級，比拼的是誰對WINDOWS操作系統(tǒng)的底層技術(shù)把握的更精確，更獨到，誰獲得的系統(tǒng)權(quán)限更大、速度更快，比拼的是誰的經(jīng)驗更豐富，誰的技術(shù)積累更深厚。
   病毒并不可怕，可怕的是多數(shù)殺毒廠商的集體失語。面對AV殺手這樣的病毒，我們不希望只看到江民一家殺毒廠商站出來喊我們技術(shù)可以，不會被病毒關(guān)閉，而要所有殺毒廠商都站出來喊我們可以。只有殺毒廠商全面的技術(shù)進(jìn)步，才能夠保障整個互聯(lián)網(wǎng)的安全，才能夠讓所有的電腦用戶放心使用殺毒軟件。