安全專家談:全面剖析木馬清除工具進化
想就木馬清除工具的革新換代說說,算拋磚引玉吧,對付木馬這些東西,不會有窮盡的那一天,清除工具革新是圍繞病毒木馬更新展開的,未來肯定還會有更好地清除思路。一切為了用戶的電腦更安全,讓清除木馬的過程變得更簡單。
木馬和病毒的不同之處
早期病毒是寄生在程序文件中,殺毒是將寄生的程序文件清理干凈并修復被感染的文件,這是傳統殺毒引擎的強項。現在病毒概概念已經是非常廣泛的,人民群眾把任何對系統可能產生危害或異常的程序都叫病毒。
此后蠕蟲、木馬、黑客工具、后門程序泛濫,這些程序大多不以寄生的形式存在,而是一個全然和系統無關的新生文件,以各種可能的方式實現開機運行。清除木馬,就是刪除文件。經常在殺毒時,殺毒軟件會對Backdoor、Troj、Hack、Worm等病毒文件刪除。但是刪除這些程序之后,還需要對這些程序修改的系統配置項進行還原,如果不修復被黑客、后門、木馬程序破壞的系統配置項,開機時,或運行其它程序時,會彈出一些報錯提醒,或者存在其它異常。
注意,這里提到木馬、黑客、后門程序有幾個共同的特點:
1.千方百計獲得啟動運行的機會;
2.全新的,非正常程序;
3.適用的清除方法是刪除;
4.刪除木馬、黑客程序、后門程序后還需要修復被這些惡意程序破壞的系統配置。
清除工具的進化
至今,殺毒軟件仍然是以文件引擎為主的,所以,殺毒軟件對付黑客、木馬、后門程序是首先盡可能的防御:當發現這些系統要訪問、運行這些惡意程序時,文件引擎立即將其刪除。
若黑客木馬、后門程序、蠕蟲已經入侵,造成事實上的破壞,怎么辦?
殺毒軟件的傳統引擎仍然是刪除文件,但殺毒軟件對這些程序所破壞的系統配置信息怎么還原呢?至今,從純粹的殺毒軟件中,我們看不到解決的跡象。殺毒廠商是怎么解決的,其中經歷了以下三個階段
1.專殺工具
2.專殺工具集
3.通用的木馬修復工具
這里簡單說一下這三代產品。 #p#
專殺工具
簡單說,就是分析一下某個木馬或黑客程序的具體破壞行為,清除過程就是將木馬運行后生成的文件,修改的配置全部有針對性的一次還原。優點是速度快,效果好。缺點是過于單一,只能解決一個或幾個,病毒變種,或換修改方式后,必須升級專殺工具,才能解決。
專殺工具集
其實這東西,我們每個人都用過,典型代表是微軟每個月升級都會發一個流行病毒的清除工具包,能對付幾百個病毒木馬。
還有就是金山清理專家、360衛士、金山衛士、Windows優化大師、系統清理大師等等。
這些工具的共性是收集流行木馬、后門程序,將這些程序運行后造成的破壞全部記錄在特征庫中(不是殺毒軟件的文件特征庫,包括生成新文件、創建或修改注冊表等后果),一次掃描,比對惡意軟件的破壞特征,再盡可能還原。
這些工具的清除效果取決于:
1.樣本收集是否盡可能完整。
2.特征分析,清除引擎或效果是不是夠高。重點,還是樣本是不是收集的全。
優點是清除效果好,速度也快,缺點是必須加強樣本收集和特征更新,出變種了不更新就搞不定。#p#
通用的木馬清除工具
以金山急救箱、網盾3.5為代表。前面提到,木馬專殺工具集的處理效果不錯,但必須頻繁更新,并且,隨著病毒樣本庫加的越來越多,清除速度會變慢,自身體積會越來越大。
金山急救箱和網盾3.5找到了新的處理思路:分析所有正常系統的加載點,使用云安全技術檢查這些加載點對應的程序文件,若非正常文件,則適用非白即黑的原則,直接將其中的病毒木馬程序刪除,未知文件隔離。同時,將所有被修改的項全部還原為正常值。這是以不變應萬變的修復策略。
特點是小巧,速度快,對升級的要求不高。現在用這個思路,基本上不管木馬怎么變種升級版本,在絕大多數情況下,金山急救箱和網盾3.5不需要更新就可以迅速完成清除。
【編輯推薦】
