对反病毒产品你应该知道的几个事实

申明：这里需要强调的是，反病毒产品（包括反间谍产品）是保证计算机安全的一个重要组成部分。本文的主要目的是为了让读者了解到反病毒产品的局限性，以便能更好的保护计算机系统。

我看到许多计算机用户在安全认识上都有着这么一个误区：只要我的系统上安装了一个反病毒产品，就可以高枕无忧，万事大吉了？反病毒产品自然会保护我的系统不受攻击，我的系统现在安全了。

错错错！

在安全领域中有这么一句话：比没有安全更糟糕的是虚假的安全。如果你采取的安全措施仅仅是安装了一个反病毒软件的话，非常可能，你的系统只是拥有一个虚假的安全。

为什么？

事实一，反病毒产品的工作原理是基于样本文件的特征码扫描。

无论是反病毒软件，还是反间谍软件，工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串，对程序特定区域的一个Hash，仿真运行（Emulation）时的一段特定指令，等等。

那么，如果反病毒公司没有拿到病毒样本，就无法提供查询病毒的特征代码。有了病毒样本，才有扫描的特征代码。所有反病毒产品，都是基于这种被动式的工作原理。至于炒作的很热的主动式防御，这类技术目前还并不成熟，最大的问题是虚假误报（false positive）。

但是，计算机攻击的目的和模式发展方向是更具有 针对性和特定性的攻击。见2006年计算机安全发展最新趋势

( http://blog.csdn.net/chengyun_chu/archive/2007/03/17/1531842.aspx)

· 从大规模网络传播，向小规模受控传播变化。不再是以传播的速度越快越好，而是有意识的将传播的速度放慢，以延迟被安全软件公司发现的时间。

· 从没有特定用户，向针对特定的用户群变化。不再是以感染用户的数目越多也好，而是有意识的针对特定的用户群（如地域，公司等），以降低被安全软件公司发现的机会。

· 从没有特定攻击目的，向有特定的目的变化。不再是简单的要登上报纸的头版，或者是恶作剧，而是有特定的目的，即窃取用户的机密信息，如银号账号，密码等，以获取经济上的利益。

那么不难看出，

局限一：

对于小规模，特定范围传播的病毒（这是计算机病毒发展的最新趋势），反病毒软件公司可能没有得到病毒样本，因此也无法提供特征代码。那么，对这些病毒，反病毒软件就无法检测到。即使反病毒软件公司提供特征代码，与病毒传播也有时间间隔。这段时间里，用户也是不被保护的。

事实二，反病毒产品是运行于操作系统平台上的应用。它无法替代操作系统的核心安全性能。

以Windows系统上的反病毒产品为例。几乎所有的反病毒产品都包括以下两个部分，运行于用户模式（user mode）下的应用界面，和运行于核心模式（kernel mode）下的一个文件系统的驱动程序（file system driver）。一个反病毒产品能看到的系统状态，例如系统中有哪些进程在运行，系统的硬盘有那些文件，系统的注册表（registry）中有哪些配置，都是由操作系统的核心模式提供的。

一个令人担心的趋势就是Windows系统中的Rootkit的发展。所谓Rootkit，简单的说，就是这么一类软件，修改操作系统的工作方式，以达到隐藏特定信息（如系统中有哪些特定的文件，进程等等）的目的。那么，一旦操作系统的核心模式已经被Rootkit攻击，那么，反病毒产品看到的系统的目前工作状态都可能是虚假的信息，又如何能进行有效的扫描呢？

局限二：

对于针对操作系统的核心攻击，如Rootkit，仅依靠反病毒产品，是无法提供有效的保护的。

事实三，反病毒产品针对的是传统的通过文件传播（病毒，间谍软件）的攻击模式。

问题是，病毒，间谍软件，只是对计算机系统的攻击手段的一种。比如说对普通用户而言，网络钓鱼（phishing website），XSS（cross-site scripting）攻击以窃取用户的敏感数据，对企业用户而言，SQL攻击，提升权限攻击（elevation of privilege ）等等，都不是反病毒产品所能涵盖的。

局限三：

针对计算机系统的许多攻击手段，如XSS（cross-site scripting）攻击，是反病毒产品不能保护的。

总结：反病毒产品是计算机安全环节中的一个重要组成，但是，它仅仅是其中的一环，有自身的局限性。期待仅仅依靠反病毒产品来保护计算机系统的安全，是不现实的。一个完善的计算机安全系统，需要有其它许多构件支持，如操作系统的安全性能，补丁管理（ Patch Management ），防火墙，用户教育，物理安全，网络管理，数据库安全等等。

对反病毒产品你应该知道的几个事实相关推荐

反病毒引擎设计全解（三）
2．虚拟机查毒 2.1虚拟机概论近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病 ...
cobalt strick 4.0 系列教程（6）Payload Artifact 和反病毒规避
0x01 哲学 Strategic Cyber 责任有限公司会定期回答有关规避的问题.Cobalt Strike 是否能够绕过 AV 产品?它能绕过哪些 AV 产品?它多久检查一次? Cobalt S ...
这些反病毒斗争经验，我全放这了！
作者 | 杨秀璋,责编 | 夕颜出品 | CSDN(ID:CSDNnews) 头图 | 视觉中国自全球第一个计算机病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒 ...
反编译exe软件_挖洞经验 | Panda反病毒软件本地提权漏洞分析
写在前面的话在这篇文章中,我将跟大家讨论一个我在Panda反病毒产品中发现的一个安全漏洞(CVE-2019-12042),这是一个本地提权漏洞,该漏洞将允许攻击者在目标设备上将非特权账户提权至SYS ...
对抗恶意软件，反病毒软件还有戏吗？
对抗恶意软件,反病毒软件还有戏吗? 作者:Michael Kassner 翻译:PurpleEndurer,2010-04-08第1版分类:安全标签:软件,漏洞,恶意软件,攻击,反病毒软件,安全产 ...
反病毒理念、历史、现状与未来
反病毒理念.历史.现状与未来创建时间:2006-12-31 更新时间:2006-12-31 文章属性:原创文章提交: killer (killer_at_xfocus.org) 反病毒理念.历史. ...
网络防御 --- 恶意软件与反病毒详解
1.什么是恶意软件恶意软件是指故意设计造成损害到计算机.服务器.客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误).恶意软件存在各种各样的类型,包括计算机病毒. ...
反病毒引擎设计之虚拟机查毒篇
<script type="text/javascript">function StorePage(){d=document;t=d.selection?(d.sele ...
反病毒引擎设计(二)：虚拟机查毒
2．虚拟机查毒 2.1虚拟机概论近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病 ...

对反病毒产品你应该知道的几个事实

对反病毒产品你应该知道的几个事实相关推荐

最新文章

热门文章