其实基于特征码的扫描引擎就那样。特征码扫描引擎发展至今也有10年或更久的历史了。就以Bitdefender、Kaspersky和Symantec这些著名
安全厂商的特征码扫描引擎来说,发展都已经非常成熟了。
特征码引擎的
技术,主要是高速虚拟机脱壳和抗变形、算法脱壳、
病毒定义比对,近两三年来加入了针对脉动更新或者查杀云的"光子引擎"(其实就是类似文件Hash值比对的
技术)。但是它的本质一直没有大的改变---特征比对。经过这么多年的
技术积累,以上三家的脱壳抗变形
技术应该都算上乘。就网友前段时间的免杀测试来看,普通的加壳、甚至加密壳和花指令、变形等都能轻松被以上三家的引擎检测和处理。这么多年来,这三家的引擎过的方法仍然是那么地熟悉---定位改特征码。想提高查杀也简单---入库。像赛门铁克那样对于中国区威胁有时爱理不理,长时间不入库,自然查杀率很低。对于欧美病毒的入库速度较高,所以在AV-C扫描测试中有时还能超过卡巴。
这也是为什么360不搞特征码引擎的原因之一:成本太高。因为要写出脱壳算法耗时耗力,而且入库等等需要大量人力。记得360卫士在刚有木马查杀功能那会还被曝出木马查杀是依靠文件名判断病毒的。虽然现在不好考据了,但是360至今没能做出特征码引擎倒是事实。相比之下,自动入库的云人力成本反而更低廉。
既然改改特征码就能免杀,就出现了更高级的特征码引擎---QVM。通过向量对比,普通的过表面方法无处遁形。
互联网上超过70%的"新"病毒其实都是在现有的源代码和已经封装好的生成工具的基础上,进行简单加工,源代码并没有明显改变,自然难逃QVM的法眼。
卡巴和Bitdefender的启发式引擎也能一定程度上拦截该类"新"病毒,赛门铁克的本地启发似乎在
技术上遇到了瓶颈,近两年试图向云启发转型以实现启发效果上的突破。
QVM也终只是静态引擎,根据李白vs苏轼的测试报告,QVM及启发引擎对于加密文件会直接绕过,所以给文件加空密码就能绕过它。相关厂商意识到问题后,动态的HIPS和主动防御就由此诞生。
程序越是复杂,越容易有
漏洞。比如卡巴2009主防的shellcode溢出漏洞,而且动态主动防御和智能HIPS目前都依赖行为特征库和监控规则,而静态启发式也经常需要更新启发规则,所以,可以说是没有真正的"智能"的。
所以呢,以赛门铁克为首的美系安软产品就借助多种特征码来尽可能减少攻击成功的可能性以提高计算机
安全犯罪的成本。
总之,杀软总是比不过人的,所以,没必要为了"引擎"、"主防"抑或是网络层防护的稍弱而感到
安全感薄弱。要是真正有李白vs苏轼之类的专业人员对你进行攻击,你恐怕只能与其直接在电脑上"肉搏"。不过,结果不用我说都已经很清楚了。NASA都能被攻破,又有什么能防御所有威胁呢?
