天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

安全专家谈:全面剖析木马清除工具进化

2010-5-7赛迪网佚名
  想就木马清除工具的革新换代说说,算抛砖引玉吧,对付木马这些东西,不会有穷尽的那一天,清除工具革新是围绕病毒木马更新展开的,未来肯定还会有更好地清除思路。一切为了用户的电脑更安全,让清除木马的过程变得更简单。

木马和病毒的不同之处

早期病毒是寄生在程序文件中,杀毒是将寄生的程序文件清理干净并修复被感染的文件,这是传统杀毒引擎的强项。现在病毒概概念已经是非常广泛的,人民群众把任何对系统可能产生危害或异常的程序都叫病毒。

此后蠕虫、木马、黑客工具、后门程序泛滥,这些程序大多不以寄生的形式存在,而是一个全然和系统无关的新生文件,以各种可能的方式实现开机运行。清除木马,就是删除文件。经常在杀毒时,杀毒软件会对Backdoor、Troj、Hack、Worm等病毒文件删除。但是删除这些程序之后,还需要对这些程序修改的系统配置项进行还原,如果不修复被黑客、后门、木马程序破坏的系统配置项,开机时,或运行其它程序时,会弹出一些报错提醒,或者存在其它异常。

注意,这里提到木马、黑客、后门程序有几个共同的特点:

1.千方百计获得启动运行的机会;

2.全新的,非正常程序;

3.适用的清除方法是删除;

4.删除木马、黑客程序、后门程序后还需要修复被这些恶意程序破坏的系统配置。

清除工具的进化

至今,杀毒软件仍然是以文件引擎为主的,所以,杀毒软件对付黑客、木马、后门程序是首先尽可能的防御:当发现这些系统要访问、运行这些恶意程序时,文件引擎立即将其删除。

若黑客木马、后门程序、蠕虫已经入侵,造成事实上的破坏,怎么办?

杀毒软件的传统引擎仍然是删除文件,但杀毒软件对这些程序所破坏的系统配置信息怎么还原呢?至今,从纯粹的杀毒软件中,我们看不到解决的迹象。杀毒厂商是怎么解决的,其中经历了以下三个阶段

1.专杀工具

2.专杀工具集

3.通用的木马修复工具

这里简单说一下这三代产品。

专杀工具

简单说,就是分析一下某个木马或黑客程序的具体破坏行为,清除过程就是将木马运行后生成的文件,修改的配置全部有针对性的一次还原。优点是速度快,效果好。缺点是过于单一,只能解决一个或几个,病毒变种,或换修改方式后,必须升级专杀工具,才能解决。

专杀工具集

其实这东西,我们每个人都用过,典型代表是微软每个月升级都会发一个流行病毒的清除工具包,能对付几百个病毒木马。

还有就是金山清理专家、360卫士、金山卫士、Windows优化大师、系统清理大师等等。

这些工具的共性是收集流行木马、后门程序,将这些程序运行后造成的破坏全部记录在特征库中(不是杀毒软件的文件特征库,包括生成新文件、创建或修改注册表等后果),一次扫描,比对恶意软件的破坏特征,再尽可能还原。

这些工具的清除效果取决于:

1.样本收集是否尽可能完整。

2.特征分析,清除引擎或效果是不是够高。重点,还是样本是不是收集的全。

优点是清除效果好,速度也快,缺点是必须加强样本收集和特征更新,出变种了不更新就搞不定。

通用的木马清除工具

以金山急救箱、网盾3.5为代表。前面提到,木马专杀工具集的处理效果不错,但必须频繁更新,并且,随着病毒样本库加的越来越多,清除速度会变慢,自身体积会越来越大。

金山急救箱和网盾3.5找到了新的处理思路:分析所有正常系统的加载点,使用云安全技术检查这些加载点对应的程序文件,若非正常文件,则适用非白即黑的原则,直接将其中的病毒木马程序删除,未知文件隔离。同时,将所有被修改的项全部还原为正常值。这是以不变应万变的修复策略。

特点是小巧,速度快,对升级的要求不高。现在用这个思路,基本上不管木马怎么变种升级版本,在绝大多数情况下,金山急救箱和网盾3.5不需要更新就可以迅速完成清除。

本文来源:赛迪网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行