申明:這裡需要強調的是,反病毒產品(包括反間諜產品)是保證計算機安全的乙個重要組成部分。本文的主要目的是為了讓讀者了解到反病毒產品的侷限性,以便能更好的保護計算機系統。
我看到許多計算機使用者在安全認識上都有著這麼乙個誤區:只要我的系統上安裝了乙個反病毒產品,就可以高枕無憂,萬事大吉了?反病毒產品自然會保護我的系統不受攻擊,我的系統現在安全了。
錯錯錯!
在安全領域中有這麼一句話:比沒有安全更糟糕的是虛假的安全。如果你採取的安全措施 僅僅是安裝了乙個反病毒軟體的話,非常可能,你的系統只是擁有乙個虛假的安全。
為什麼?
事實一,反病毒產品的工作原理是基於樣本檔案的特徵碼掃瞄。
無論是反病毒軟體,還是反間諜軟體,工作機理均是基於病毒或間諜軟體樣本的特徵**進行記憶體和檔案系統的掃瞄。這個特徵**可以是一段特定的字串,對程式特定區域的乙個hash,**執行(emulation)時的一段特定指令,等等。
那麼,如果反病毒公司沒有拿到病毒樣本,就無法提供查詢病毒的特徵**。有了病毒樣本,才有掃瞄的特徵**。所有反病毒產品,都是基於這種被動式的工作原理。至於炒作的很熱的主動式防禦,這類技術目前還並不成熟,最大的問題是虛假誤報(false positive)。
但是,計算機攻擊的目的和模式發展方向是更具有針對性和特定性的攻擊。見2023年計算機安全發展最新趨勢
( · 從大規模網路傳播,向小規模受控傳播變化。不再是以傳播的速度越快越好,而是有意識的將傳播的速度放慢,以延遲被安全軟體公司發現的時間。
· 從沒有特定使用者,向針對特定的使用者群變化。不再是以感染使用者的數目越多也好,而是有意識的針對特定的使用者群(如地域,公司等),以降低被安全軟體公司發現的機會。
· 從沒有特定攻擊目的,向有特定的目的變化。不再是簡單的要登上報紙的頭版,或者是惡作劇,而是有特定的目的,即竊取使用者的機密資訊,如銀號賬號,密碼等,以獲取經濟上的利益。
那麼不難看出,
侷限一:
對於小規模,特定範圍傳播的病毒(這是計算機病毒發展的最新趨勢),反病毒軟體公司可能沒有得到病毒樣本,因此也無法提供特徵**。那麼,對這些病毒,反病毒軟體就無法檢測到。即使反病毒軟體公司提供特徵**,與病毒傳播也有時間間隔。這段時間裡,使用者也是不被保護的。
事實二,反病毒產品是執行於作業系統平台上的應用。它無法替代作業系統的核心安全效能。
以windows系統上的反病毒產品為例。幾乎所有的反病毒產品都包括以下兩個部分,執行於使用者模式(user mode)下的應用介面,和執行於核心模式(kernel mode)下的乙個檔案系統的驅動程式(file system driver)。乙個反病毒產品能看到的系統狀態,例如系統中有哪些程序在執行,系統的硬碟有那些檔案,系統的登錄檔(registry)中有哪些配置,都是由作業系統的核心模式提供的。
乙個令人擔心的趨勢就是windows系統中的rootkit的發展。所謂rootkit,簡單的說,就是這麼一類軟體,修改作業系統的工作方式,以達到隱藏特定資訊(如系統中有哪些特定的檔案,程序等等)的目的。那麼,一旦作業系統的核心模式已經被rootkit攻擊,那麼,反病毒產品看到的系統的目前工作狀態都可能是虛假的資訊,又如何能進行有效的掃瞄呢?
侷限二:
對於針對作業系統的核心攻擊,如rootkit,僅依靠反病毒產品,是無法提供有效的保護的。
事實三,反病毒產品針對的是傳統的通過檔案傳播(病毒,間諜軟體)的攻擊模式。
問題是,病毒,間諜軟體,只是對計算機系統的攻擊手段的一種。比如說對普通使用者而言,網路釣魚(phishing website),xss(cross-site scripting)攻擊以竊取使用者的敏感資料,對企業使用者而言,sql攻擊,提公升許可權攻擊(elevation of privilege )等等,都不是反病毒產品所能涵蓋的。
侷限三:
針對計算機系統的許多攻擊手段,如xss(cross-site scripting)攻擊,是反病毒產品不能保護的。
總結:反病毒產品是計算機安全環節中的乙個重要組成,但是,它僅僅是其中的一環,有自身的侷限性。期待僅僅依靠反病毒產品來保護計算機系統的安全,是不現實的。乙個完善的計算機安全系統,需要有其它許多構件支援,如作業系統的安全效能,補丁管理(
patch management
),防火牆,使用者教育,物理安全,網路管理,資料庫安全等等。
對反病毒產品你應該知道的幾個事實
申明 這裡需要強調的是,反病毒產品 包括反間諜產品 是保證計算機安全的乙個重要組成部分。本文的主要目的是為了讓讀者了解到反病毒產品的侷限性,以便能更好的保護計算機系統。我看到許多計算機使用者在安全認識上都有著這麼乙個誤區 只要我的系統上安裝了乙個反病毒產品,就可以高枕無憂,萬事大吉了?反病毒產品自然...
對反病毒產品你應該知道的幾個事實
申明 這裡需要強調的是,反病毒產品 包括反間諜產品 是保證計算機安全的乙個重要組成部分。本文的主要目的是為了讓讀者了解到反病毒產品的侷限性,以便能更好的保護計算機系統。我看到許多計算機使用者在安全認識上都有著這麼乙個誤區 只要我的系統上安裝了乙個反病毒產品,就可以高枕無憂,萬事大吉了?反病毒產品自然...
對反病毒產品你應該知道的幾個事實
申明 這裡需要強調的是,反病毒產品 包括反間諜產品 是保證計算機安全的乙個重要組成部分。本文的主要目的是為了讓讀者了解到反病毒產品的侷限性,以便能更好的保護計算機系統。我看到許多計算機使用者在安全認識上都有著這麼乙個誤區 只要我的系統上安裝了乙個反病毒產品,就可以高枕無憂,萬事大吉了?反病毒產品自然...