国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應用案例 網(wǎng)絡威脅 系統(tǒng)安全 應用安全 數(shù)據(jù)安全 云安全
當前位置: 主頁 > 信息安全 > 移動安全 >

現(xiàn)代惡意軟件時代 你該如何應對(下)

時間:2013-03-11 15:12來源: 點擊:
在上一部分《現(xiàn)代惡意軟件時代 你該如何應對(上)》中,我們介紹了惡意軟件的前世今生和現(xiàn)代惡意軟件技術(shù)。特別是由于代碼的隨機化改變了惡意軟件的行為方式,使得惡意軟件看起來不再像
Tags惡意軟件(261)安全講堂(78)惡意代(4)  

  在上一部分《現(xiàn)代惡意軟件時代 你該如何應對(上)》中,我們介紹了惡意軟件的前世今生和現(xiàn)代惡意軟件技術(shù)。本文,我們將介紹清除現(xiàn)代惡意軟件的工具和技術(shù)。

  清除現(xiàn)代惡意軟件的工具和技術(shù)

  說了那么多惡意軟件,重點在于如何清除環(huán)境中這些不斷演化的“臭蟲”。由于惡意軟件的編寫者其目的是為了掠奪金錢,與以往相比,管理者更需要將其從系統(tǒng)中趕走。

  簽名的局限性

  在定位惡意軟件時,傳統(tǒng)的模式中存在著一個問題。從歷史上看,這種模式依賴于基于簽名的方法來查找受害人計算機上惡意軟件的特征。但在惡意軟件與反惡意軟件的較量中,惡意軟件的架構(gòu)已經(jīng)發(fā)生了巨大的變化,因而,基于簽名的檢測方法的有效性就大打折扣。

  特別是由于代碼的隨機化改變了惡意軟件的行為方式,使得惡意軟件看起來不再像簽名模式所描述的那樣,因而簽名模式就更加無法識別了。

  這是基于簽名的檢測方法的一個致使弱點。為了使簽名可用,開發(fā)人員需要找到新惡意軟件的某個版本,然后,對其實施逆向工程,找到可以唯一識別它的特征。確認了唯一性的元素,開發(fā)人員需要將此結(jié)果編碼到簽名中,然后發(fā)布給眾多的和客戶端用于檢測。

  基于行為的檢測

  不管其感染載體或簽名是什么,所有形式的惡意軟件的最終目標都是為了實現(xiàn)有限的幾個目標。贏利是當今惡意軟件的首要目標,其它的目標包括如下這些方面:

  1、數(shù)據(jù)刪除:批量刪除系統(tǒng)上的數(shù)據(jù)。

  2、數(shù)據(jù)泄露:這包括泄露個人或金融信息,用戶名及口令,或為了竊取數(shù)據(jù)而對用戶數(shù)據(jù)進行配置。

  3、重定向:改變一個系統(tǒng)或應用程序的行為,執(zhí)行其它功能,如將用戶轉(zhuǎn)到一個經(jīng)精心設計的網(wǎng)站。

  4、監(jiān)視:為實現(xiàn)上述目標,監(jiān)視用戶的活動。

  由于惡意軟件的安裝和處理機制復雜多變,而其目標卻很有限,所以業(yè)界就需要一種不同的惡意軟件確認機制?;谛袨榈臋z測就是另外一種架構(gòu)。

  不妨思考一下企業(yè)環(huán)境中的反惡意軟件產(chǎn)品。其配置可以不斷地掃描系統(tǒng)和正在運行的進程,查找疑似的惡意軟件。其簽名每天或每小時都要更新。如果對這種軟件進行配置,使其可以查找系統(tǒng)上的任何動作行為,其效果又將如何?

  在這種情況下,為反惡意軟件客戶端進行編碼,查找某些類型的行為就更簡單了。不管惡意軟件的變化如何試圖逃避檢測,在它試圖完成其任務時,其惡意活動都會被客戶端發(fā)現(xiàn)并阻止。同樣地,客戶端也可以跟蹤非法活動的源頭,并進行移除等修復活動。由于犯罪過程容易識別,所以客戶可以很快地將其阻止和清除。如果受害系統(tǒng)上沒有啟動適當?shù)男袨橹兄购颓宄^程,盡管客戶端會抑制惡意行為,但計算機僅會受到局部保護。

  多管齊下

  雖然基于行為的方法對于確認和防止惡意行為非常出色,但基于簽名的方法對于真正確認和清除特定的惡意軟件類型和實例也許更好。綜合多種方法的反惡意軟件產(chǎn)品可以更深入地探查服務器和桌面。因而,系統(tǒng)架構(gòu)師、軟件設計師和安全管理者還應當考慮下面這些可以更深入地確認和移除惡意軟件的技術(shù)。

  內(nèi)核級保護

  從軟件的層次來看,反惡意軟件產(chǎn)品越接近內(nèi)核,就越有能力確認惡意軟件活動。在惡意軟件(如rootkit是一個很好的例子)成功地將自已在反惡意軟件引擎和內(nèi)核之間隱藏起來時,反惡意軟件產(chǎn)品就很難掃描并定位惡意代碼。相反,在反惡意軟件產(chǎn)品直接在內(nèi)核上層工作時,就有能力監(jiān)視所有的輸入和輸出。例如,最新版本的Windows就具備此特征。

  預啟動掃描

  rootkit(根瘤)將自身到文件系統(tǒng)中的方式非常隱密,所以對其清除也很困難。在所有其它的方法都失效時,找到系統(tǒng)中已安裝的rootkit的一種解決,是從兩個不同的角度查看系統(tǒng)。第一個角度是從文件系統(tǒng)自身。第二個角度是從該文件系統(tǒng)的一個卸載實例來看。首先,分別查看這兩種角度的不同掃描結(jié)果,如果發(fā)現(xiàn)了任何的不同點,都可以認為這涉及到惡意軟件試圖掩藏其自身的代碼。這種掃描可以更有效地查找和清除惡意軟件。

  可執(zhí)行層防火墻

  以Windows為例,默認情況下,它并沒有什么邏輯來決定哪些進程是否該執(zhí)行。因此,任何試圖贏得計算能力的進程都可以被運行。許多環(huán)境中所需要的是一種基于可執(zhí)行層的。這種防火墻可以使管理員確認系統(tǒng)上應當被運行的進程,不屬于環(huán)境的進程都被阻止運行。這種系統(tǒng)“防火墻”有助于防止某些類型的惡意軟件的執(zhí)行,還可以防止雖合法但不適當?shù)囊约坝袧撛陲L險的應用程序的運行,如一些文件交換程序、游戲及其它可能導致感染的應用程序。

  小結(jié)

  當今的反惡意軟件工具必須站得更高,并且要更加精密,因為惡意軟件自身正變得日益復雜。對于使用了傳統(tǒng)的診斷工具和肉眼,“成功”檢測和清除惡意軟件的系統(tǒng)來說,在新形勢下必須引入新工具來防止惡意軟件的發(fā)生。非常重要的一點是,要使用多種選擇、多種機制來查找惡意軟件,以便于從整體上保護IT環(huán)境,這需要軟件開發(fā)、軟件管理、系統(tǒng)維護和管理、安全管理等多個方面的共同努力。

------分隔線----------------------------

推薦內(nèi)容