病毒: 瑞星2008主動防御技術的實際價值尚難確認

    北京 2007-11-01(中國商業電訊)－－瑞星發布了新的殺毒軟件瑞星2008版，將“主動防御”列為和查殺毒相并列的主要核心功能。

    易觀分析

    易觀國際研究認為，目前全球范圍內還沒有任何一家安全廠商做到了真正完全的主動防御，且黑客攻擊和病毒的變化也會導致主動防御從技術上難以完全實現。瑞星的主動防御技術更多還是依賴特征碼監測的方式，并沒有實現真正意義上的主動防御。

    首先，主動防御技術的核心內容是對病毒行為的監測，由于新病毒的不斷出現導致其行為特征的多變和不斷出新，且行為監測技術對正常軟件的誤報也會大大提升。瑞星將行為監測和病毒特征碼監測結合的方式并不能從根本上解決新病毒無法查殺和正常軟件誤報的問題。

    其次，從瑞星采用的技術上分析，瑞星將ZwCreateThread、ZwWriteProcessMemory、ZwLoadDriver、ZwSetValueKey、ZwDeleteKey等函數掛鉤以阻擋遠程線程注入、攔截SCM的驅動加載、攔截注冊表操作等。這只能在一定程度上防范病毒和黑客的攻擊，且監測的不全面導致了漏洞的出現，例如沒有攔截ZwSaveKey、ZwRestroeKey等方式寫入注冊表、沒有攔截ZwSetSystemInformation和其他一些穿透主動防御的常用技術，這給病毒和木馬的制作者留下很多后門。

    綜上所述，瑞星的主動防御技術對用戶安全的幫助有限，且監測的不全面導致了眾多漏洞的出現，其主動防御的實際價值并不明顯。

    易觀建議

    針對行業用戶：

    1．對眾多宣稱具有主動防御技術的安全產品謹慎對待，目前所有的主動防御技術只能做到局部的，并沒有完全具有主動防御技術的產品出現。

    2．對于進程相關方面知識欠缺且安區要求相對較低的用戶不必選擇主動防御產品，主流的殺毒軟件及時升級可以應對一般的安全風險。

    針對瑞星等安全廠商：

    病毒行為特征是不斷動態變化的，通過病毒行為監測的方式防御未知病毒并不是最有效的方式，在目前的形勢下應擴大自身后臺的升級帶寬和服務器響應能力，采取對用戶端及時升級的方式來防范病毒的大規模擴散。