病毒,穿多少層“馬甲”我也認得你
8月14日,魔鬼波蠕蟲被截獲僅幾小時後,其變種魔鬼波B便誕生,再次瘋狂攻擊互聯網。金山毒霸(
http://db.king...com/)反病毒專家稱這是2006年以來的第一高危病毒。該病毒可以修改註冊表資訊進而降低系統安全等級,連接黑客指定的IRC頻道,控制用戶電腦,使之淪為“肉雞”。“魔鬼波變種產生的速度之所以如此快”,該專家介紹說,“主要是因為‘加殼’技術的泛濫。”
據《金山毒霸2006年上半年度安全報告》顯示,以往依靠增加新功能、改變字元串等手段的“病毒升級”方式,越來越多地讓位於專業的“加殼”技術,從而導致各種病毒變種批量的大規模湧現。“殼”技術的廣泛運用,如同瞬間多出了許多副不同的“馬甲”,大量老病毒可以借此搖身一變成為傳統殺毒軟體無法識別的新病毒。對此,陳舊的特徵碼技術已經難以為繼,唯有與“加殼”針鋒相對的“脫殼”技術,才能真正做到 “禦敵於國門之外”。此次,金山毒霸便利用國內領先的專業脫殼引擎,迅速更新了病毒庫,讓看似倡狂的魔鬼波變種B無所遁形。按金山毒霸事業部總經理王全國先生的說法,“無論病毒穿多少層‘馬甲’,金山毒霸都能把它揪出來!”
金山安全報告指出,除“馬甲”泛濫外,病毒另一個顯著的發展趨勢,就是以牟利為目的的各類風險程式,開始取代以往單純以侵害軟體硬體為目的的病毒,成為主流資訊危害源。透過包括廣告軟體、木馬和各類流氓軟體在內的風險程式,竊取用戶上網賬戶、網遊、網上銀行等網路資產的保密資訊,進而盜取用戶財產的惡劣行為,已經成為當前危害網民生活的最大公害。配合前面提到的“加殼”技術,換了“馬甲”的病毒和風險程式就可以瞞過傳統殺毒程式,輕易的佔領用戶電腦,盜竊甚至強搶用戶財產,其破壞力之強不能不讓人忌憚。
“初期,加殼演算法比較少,反病毒軟體往往針對某種殼演算法進行特殊的處理”,金山毒霸技術專家解釋道,而這種類似增加特徵碼的方式對於當下“加殼”技術的泛濫顯然無能為力。“隨著‘殼’的種類越來越多,國際先進的反病毒軟體都開始獨立出一個模組,專門負責脫殼,這樣脫殼引擎便應運而生”。
病毒製造者給病毒穿“馬甲”,就會有專業的反病毒企業站出來扒“馬甲”。金山毒霸負責人王全國介紹說,“擁有先進成熟的‘脫殼’技術,使毒霸在查殺病毒時,超越逐一增加特徵碼的‘加法’殺毒方式,轉而採用‘脫殼’+行為判斷+特徵碼的‘乘法’模式來查殺病毒。這樣做的效果自然要比單純用特徵碼的方式更高效、更快速、更安全,對用戶網路資產的保護也更到位。”
其實,所謂“馬甲”實際上是一種特殊的數學運算方法,隨著演算法的研究和具體操作人員的不同,“馬甲”即“殼”的種類也會越來越多。因此,作為反病毒企業,“脫殼”引擎所覆蓋“馬甲”品種的數量,就成為衡量一個殺毒軟體品質和技術程度的核心標準之一。據悉,金山毒霸在“脫殼”技術方面,擁有國內延續時間較長的投入和技術儲備。作為金山軟體領導者的雷軍,是中國第二代程式員最著名的代表之一,從上世紀90年代就已經是“加殼”和“脫殼”技術領域的資深專家。在其領導下,金山毒霸目前擁有國內領先的研發團隊。金山毒霸的研發部門在2002年就開始了對脫殼引擎的研究工作,目前已擁有國內同類企業中脫殼數量最多和能力最強的脫殼引擎。
“到年底,我們將能脫掉更多種類的殼”,王全國說道,“這樣先進的脫殼引擎,使得金山毒霸殺毒更快、準、狠,且不會佔用更多的系統資源。一個很簡單的例子,大家會很容易發現,金山毒霸的安裝包在國內來說是相對較小的。”在新一輪網路病毒的“馬甲”風潮愈演愈烈的今天,金山毒霸以其脫殼技術之強、脫殼數量之多,為廣大網民的財產安全提供了充分的保障。