杀毒软件防御机制存严重漏洞
发布时间:2022-04-28 10:33:24 所属栏目:安全 来源:互联网
导读:当前,杀毒软件依赖文件鉴定开发了传统的文件鉴定引擎,当文件被访问、运行时,调用反病毒引擎对文件进行安全扫描,如果是黑文件(危险程序)就杀掉,白文件(安全程序)就放行。当类似主动防御的应用面临大量的白文件时,包括白文件的后续动作,比如加载dll文件
|
当前,杀毒软件依赖文件鉴定开发了传统的文件鉴定引擎,当文件被访问、运行时,调用反病毒引擎对文件进行安全扫描,如果是黑文件(危险程序)就杀掉,白文件(安全程序)就放行。当类似主动防御的应用面临大量的白文件时,包括白文件的后续动作,比如加载dll文件等,也被不再检查直接放行了。因为若不放行,就面临一个问题:连续的询问严重打扰用户,系统变得无法使用。 魔高一尺,道高一丈,病毒和反病毒之间的斗争处于持续的此消彼涨中。病毒为绕过杀毒软件的主动防御,很快找到新招:将病毒代码植入dll文件中,利用被鉴定安全的第三方软件加载dll文件不校验的漏洞,间接运行。而可以被病毒利用的软件数以千计,连Windows自己的组件都不可避免。 安全厂商的无奈杀毒软件拦截不了病毒程序,正常的文件变得异常危险。这到底是为什么?简单来说,就是病毒对杀毒软件的工作机制了解得非常透彻,直接利用其体系漏洞。可悲的是,安全厂商明知道存在此问题,却也无可奈何。因为白文件数以万计,而且被亿万网民频繁使用,没有一个安全厂商有这个计算能力对白文件的后续执行动作一一校验。即便资源和能力,网民不堪其扰也不会答应。目前杀毒软件应对这种绕过方式能够做的,就是发现一例记录一例。但治标不治本。病毒作者随意更换下加载文件和路径,杀毒软件又会被轻松绕过。 杀毒体系多年未有实质性变化事实上,杀毒软件的基本理念已经有许多年未曾改变,一直采用的基本思路就是基于文件的扫描、鉴定,这也是病毒摸透并攻破的根本原因。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐