天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

揭秘安防软件的神秘预知能力

2009-5-11天空软件佚名

  尼古拉斯·凯奇叔叔最新大片《先知》里面描述,一张50年前写满数字的纸片,经过解密后,所隐含的预言正在逐渐成为事实,事件的时间地点和受灾人数都被悉数记录在50年前这张纸片。于是,凯奇叔叔想尽办法想去帮助大家避免接下来两天将要发生的灾难……虽然此片被誉为凯奇叔叔史上最烂的特技片,精湛的演技弥补不了剧本创作的硬伤,主角好不容易在一扇50年前的破门上解出来的终极密码,却没有发挥任何作用,大概导演的本意是告诉群众:未来可以被预知,但是无法改变。

  春晚过后,解放区的天被两片“祥云”地毯式笼罩着,一片是英文名为小损样,中文名为小沈阳的转王,另一片便是发型凌乱眼神魅惑的刘谦。对于祥云小沈阳,咱不多唠叨,郭德纲讲话:“好多人家里媳妇儿都跟着七八个人好着呢,他还有心思去关心小沈阳低俗不低俗?” 祥云刘谦同学高调扮先知,并从初一预言到十五,从中央预言到地方,从华尔街预言到主妇生活,先知还是魔术,刘谦用自己的巧手挑战人民的智商。

  凯奇大叔的“先知”是科幻,刘谦同学的“先知”是魔术,那么在安全防护软件领域类似于畅游巡警这类的网页防护软件所谓的未知检测到底是不是“先知先觉”呢?

  对比传统杀毒软件,传统杀毒软件针对挂马脚本都是基于病毒库的匹配,检测效率低,同时对更多的有害链接无法有效检测。传统杀毒软件在匹配时有两种做法:

  一种是在浏览器浏览网页时,IE会将网页中的数据下载到本地磁盘的IE缓存目录。杀毒软件的监控驱动在文件下载完成时进行扫描。这是基于文件的扫描,大部分杀毒软件都是这种方式。这样在清除挂马网页时就是删除了这个有害文件,但一部分杀毒软件的监控处理不好,引擎处理速度有延迟,结果有可能造成虽然最后查出来挂马脚本,但脚本已经被IE激活运行了,所以有用户往往会发现,报出来有挂马了,但同时也中招了,系统中被感染了木马。

  一种是个别杀毒软件会过滤网络SPI链中的数据包,对其中的代码进行扫描,是基于数据包级别的扫描。这种检测方式因为特征提取较难的原因,检出率要低于上面的文件扫描,优点是可以比较早的报警。

  传统杀毒软件基于病毒库特征进行恶意网站匹配,但实际上目前挂马呈现多种形式,对挂马网页都采用了各种加密方式,连专业人士解密网马都存在一定的困难,因此在我们的统计中,传统杀毒软件对挂马网页检测能力均十分有限。尤其是一些不具备脚本脱壳/解密能力的引擎。大部分杀毒软件都对加密的挂马网页进行直接提取特征,对于数万恶意链接,数百种加密变形脚本的测试中,传统杀毒检出率偏低,并且存在大量误报。

  畅游巡警是基于高级脚本分析引擎,该引擎大量采用成功的虚拟机脱壳引擎技术思想对脚本进行动态分析,检测挂马脚本,检出率比传统检测方式高出几倍。畅游巡警是在IE进行网页浏览时,当IE接受到数据正在形成实体的文件之前,在这个过程中畅游巡警实时进行过滤查毒。是基于数据流的检测,在流级别上实时过滤恶意代码。流级别检测的优点是报警较早,清除木马时也不需要删除文件,只对木马脚本的数据流进行清除,这样挂马脚本根本没有机会形成文件实体,也没有机会被IE解释执行。

  点击下载:http://www.skycn.com/soft/44368.html

  所以,使用了畅游巡警后,就会发现,许多传统杀毒软件还没查出来的恶意脚本,畅游就开始报警了。正因为如此,我们使用畅游成功发现多个未公开的0day漏洞。

  解密完毕,凯奇的“先知”源于编剧的天马行空,刘谦的“先知”源于夜以继日的刻苦练习,畅游巡警的“先知”源于技术的积累和设计的前瞻。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行