病毒木马与杀毒软件之争,似乎永远没有停止的一天。从现在的趋势来看,病毒的大规模爆发的力度之大,已经让杀毒软件不得不采取“云安全”等新技术来抑制。为什么说是抑制而不是消灭,因为大家都清楚道高一尺魔高一丈的道理。相信很多人有过这样的经历——装上了最新的杀毒软件,但最后还是被病毒搞得焦头烂额,气得你立马卸掉杀软。
踢爆杀毒软件“漏杀”真相
为什么明明装上杀毒软件,还是经不住病毒的考验?那是因为各个杀毒厂商对于病毒木马的定义,以及病毒库、行为分析上都有着自己的一套。有些病毒就是钻了这些空子继续在你的电脑里存活。简单来说,就是现在的杀毒软件都存在“漏杀”问题!
一、什么是“漏杀”?
明明是病毒,但安全软件却在一定周期内无法检测到、查杀不到;在经过某一款杀毒软件查杀之后,电脑中依然存在木马病毒,这就是“漏杀”。
病毒木马传播者在发布新病毒之前,一定会针对安全软件的查杀特点进行“免杀”处理,提升病毒藏匿能力,这样处理后的病毒样本就拥有较长的生存周期。这段生存周期,可称为“漏杀期”。漏杀期简单来说就是一个时间差,由新病毒出现到杀毒软件研发出应对方式之间的一个时间跨度。虽然传统杀软可以通过加快更新病毒特征库更新周期来尽量缩短这个时间差,但是漏杀期是客观存在,且不可避免的。
病毒、木马数量暴增
据一份调查数据显示,30%以上的中国网民电脑存在“漏杀”病毒现象。这是一个很可怕的数字,我们不得不对传统杀毒软件及新近兴起的云安全技术都表示担忧,因为他们很肯能已经无法应付不断更新的病毒技术和层出不穷的新病毒。现在的病毒制作者也不断想方设法避开杀毒软件的查杀。
二、大家都在“漏杀”?
据国家计算机网络应急技术处理协调中心发布的最新调查数据显示:2009年,95.6%的电脑上安装了各种各样的安全软件。但国内某杀软厂商通过对1000位名用户电脑样本调查(其中包括100名上门访问调查样本),发现,即使安装了安全软件,但电脑仍然会出现异常的用户数超过30%,这个比例相当惊人。安全软件若无法检测到病毒和木马,用户完全不知道自己的电脑已经处于危险之中。“漏杀”已经成为国内电脑用户最大的安全隐患之一。
安全软件使用情况调查(墨绿色为08年数据,黄色为09年数据)
不管你相不相信,“漏杀”的确每时每刻都在发生。每天有数以百计的新品种电脑病毒在全球肆虐,各种电脑病毒在与杀软的争斗过程中,会不断引发变种这已是人所共知的事实,无论你的杀毒软件用的是什么引擎,用的是什么样的查杀方法,你永远也会比病毒慢一步。而这一步,往往足以致命。
新病毒总是来得比杀软的更新快那么一点点。有病毒就有杀毒,有杀就有漏,漏了等更新,等到更新终于来了,但新病毒总是快一步,“还未解毒,又再中毒”。杀软、病毒与漏杀,就存在于这样一个恶性循环中,其中漏杀是链接杀软和病毒的关键,也是杀软与病毒一直以来互相对抗的产物。
明明是病毒,但在杀软更新包赶到之前却查一直不到、杀不到,任由病毒、木马一直闹。在无法破解这一恶性循环的怪圈之前,杀毒软件行只有无奈地、习惯性地“漏杀、漏杀、再漏杀”!
三、“漏杀”有什么危害?
如果你认为全世界都在漏杀,但世界还是在不停地运转,所以漏杀不严重、不用担心太多的话,那你就大错特错了。
大家想想武侠小说里,有哪个大侠不是从小被压迫,被赶到了生死边缘,最后侥幸逃生,最后练成绝世武功报仇雪耻的?现在病毒就是潜藏在网络上各个阴暗角落,伺机入侵你的电脑,只要杀软的病毒库更新出现什么差池,漏杀了一个半个病毒,那就是这些病毒“报仇雪耻”之时!你一漏报,它马上就来反咬杀软一口,杀软的漏洞打开了通向系统核心的通道,中门大开,病毒岂有不发威的道理?
只要杀毒软件的“漏杀”现象继续存在,我们的系统装再多的杀软也只是徒劳。现在的病毒已经不再是以前“熊猫烧香”那种只为整垮你电脑,偷着乐的“小病毒”,现在各种木马、病毒的背后往往潜藏着一条巨大的利益链。
新病毒层出不穷
用户电脑里的各种网银账号、淘宝账号等半虚拟、半现实的财产,已经成为了这些病毒、木马觊觎的对象,一旦有病毒突破了杀软的封锁,找到了杀软的病毒库漏洞,就能肆无忌弹地盗取电脑中的各种信息。
但是,当你发现淘宝、网银账户已被挖空的时候,才知道杀软“漏杀”的危害那就太迟了。盗号只是小菜一碟,更严重的是你的个人信息说不定已经被人抛到网络上,成为了别人茶余饭后的谈资。如果你运气再差点、被盗信息再敏感一点的话,你很可能会成为下一位“网络红人”。
四、深入剖析“漏杀”源头
漏杀产生的根本原因是传统安全软件无法适应病毒生产、传播的全面网络化,是传统的病毒查杀方法跟不上病毒数量的快速增长。出现“漏杀”现象,具体来讲有一下这几点原因:
1、外忧:黑金行业,病毒生财
病毒黑色产业链的利益驱使。病毒木马早已形成互联网黑色产业,其非法收入每年可数达千万人民币。
病毒生财
病毒木马制作者、传播者在发布新病毒或对老病毒进行改造之前,为达到最大效益,会针对各种主流安全软件的最新版本对病毒木马进行免杀处理,用尽各种方式找到“漏杀”的突破口,保证新版病毒不被最新安全软件检测到。
2、内患:传统杀毒软件的“纵容”
病毒木马想方设法找漏洞、做梦也想要杀软出现“漏杀”的情况,那么我们的杀软又是怎样应对的呢?
首先,传统安全软件的更新周期过长,通常是以小时为单位。将新的病毒特征分发到数以千万计的客户端需要消耗相当长的时间,而某一种病毒木马的更新代价却要小得多。比如,那些释放后门程序的黑客只需要一条命令就可以让客户端瞬间更新。杀毒软件想要跟病毒、木马比更新速度,那绝对是比不过的。
传统杀软应付病毒方式
其次,传统杀软识别病毒的方法是只在电脑上检查病毒文件(一般称之为黑文件),但是病毒文件的数量却在每天以万种的速度递增,黑文件不断增加。传统识别方法,决定了没有哪个杀毒厂商能收集到或识别出所有病毒,传统的病毒识别方法决定了“漏杀”必然存在。
而一般的云安全技术,特别是依赖用户规模的云安全技术同样无法避免病毒的漏杀期。其原理是根据用户电脑新文件统计学分布特征进行初步判断。对于一些新起步的云安全厂商,其病毒定性判断大多依赖后台服务器自动使用其他杀毒软件扫描结果定性,具有反映迟缓、漏杀误杀严重的硬伤。
电脑知识学习论坛为电脑初学者的疑难杂症提供最佳解决方案。电脑基础知识学习QQ群:81158926 欢迎电脑爱好者加入。
五、别再让“漏杀”成为例行公事
说了这么多“漏杀”的事,大家是不是有这样一种感觉:传统杀软无办法改变自己一直以来依靠病毒包更新去对抗不断进化的病毒,而且传统杀软在与病毒的更新竞赛中一直处于下风。所以,“漏杀”这个如此重要的问题,虽然一直存在,但杀毒软件宁愿选择习惯性“漏杀”,也不敢提起“漏杀”这个问题!
“漏杀”任由病毒木马欺负用户
传统杀软因为无法根治“漏杀”而一直规避这个严重的问题,他们的对策是当一个新病毒因为影响面积过大而被检测出以后再向用户尽快提供更新包,但是之前已经说过,跟病毒比速度,杀毒软件真的是望尘莫及。在检测与研发病毒对策的期间,已经不知有多少用户已经受到感染,已经又不知道有多少新品种病毒在网络上开始传播了。
要想彻底解决“漏杀”,对于目前的杀软来说,似乎是一件不可能的任务。传统杀软一直就在亡羊补牢,“漏杀”已经成为了例行公事!
六、解决“漏杀”之路
分析漏杀产生的根源,是传统杀毒软件以及传统的云安全技术已经无法适应计算机病毒木马的快速增长,需要从技术理念、查杀方法上进行根本的革新。
传统的病毒识别方法是只检测“黑”文件(病毒文件),而“黑”文件的数量却是日新增数万种,安全软件永远没有能力收集完所有的病毒文件。这一点,从各厂商每年公布的病毒统计报告就可以看出,没有任何两个厂商收集的病毒数量完全一致。
所以,解决漏杀问题,必须采取全新的病毒鉴别理念。
不想再中招,还能怎么着?
目前较为可行的是是“可信云安全”技术,其理论基础是,采用本地正常文件白名单库+本地流行病毒特征库+云端海量特征库的模式,检测用户电脑上的正常程序(“白”文件)和非正常的程序(“黑”文件),把“黑”文件隔离,通过这样本地初级识别加云端服务器高级特征识别的方式,尽可能消除误报或漏报,同时能有效确保系统安全。
另外,传统安全软件解决漏杀是靠更新频率,从原来的每天升级改进到每小时升级,但都必须依赖客户端下载升级。而“可信云安全”的体系并不依赖于客户端升级,云端服务器以分钟级更新特征库,客户端只要能联网就能得到最新的病毒防御能力。这种快速响应、快速更新的能力是传统安全软件无法做到的,这一点也在很大程度上缩短了漏杀期的存在,能最大限度的解决漏杀问题。
“可信云安全”是目前唯一能在更新速度上与病毒、木马有得一拼的查杀应用技术,前面说过,“漏杀”归根究底就是一个时间差的问题,只要你能尽量缩短、克服这个病毒与杀软更新速度之间的时间差。而“可信云技术”将病毒库更新周期缩短到一分钟计算,那么就有可能扭转杀软在与病毒的更新竞赛中一直以来处于下风的不利局面。
解决了时间的差距难题,那么“漏杀”问题你就已经解决了一半,剩下的另一半,就交给云服务器的海量病毒特征识别技术来解决。
云技术好比BT软件的上传与下载,大家在使用拥有“可信云安全”技术的杀软查杀病毒的时候,已经在不知不觉间将自己电脑中最新型的病毒样本(如果你不幸中招了的话)上传到了云端,服务器就能及时处理这些最新型的病毒,将最新的白名单库反馈到各个用户手中,这样就形成了一个准确定义最新型病毒、精准查杀的良性循环系统。
后记
当年刘邦鸿门宴上“漏杀”刘邦,最后落得乌江自刎的下场,力拔山河气盖世的你,又会不会继续“纵容”你的杀软习惯性地“漏杀”病毒、木马,让自己要在已被病毒搞得论七八遭的电脑前概叹“时不利兮骓不逝”呢。
