殺毒市場發(fā)生消費革命 用戶選擇回歸技術本位

gao0907

殺毒市場發(fā)生消費革命 用戶選擇回歸技術本位                 
           隨著病毒技術的“與時俱進”，殺毒軟件技術的差異化開始越來越明顯。曾經在殺毒軟件的選擇上抱著無所謂態(tài)度的用戶開始逐漸理性，從原來以廣告和知名度作為選擇標準，回歸到殺毒軟件本質——殺毒能力的選擇標準上來。
           殺毒軟件同質化論調被“磁碟機”擊破
           
          殺毒軟件本身是一種高技術門檻的行業(yè)，近年來，隨著一些輔助安全工具軟件在互聯(lián)網上的流行，一些不規(guī)范的軟件開發(fā)者采用偷換概念的宣傳手法，把本身作為安全輔助工具小軟件也宣稱為殺毒軟件，于是出現(xiàn)了似乎誰都能做殺毒軟件的虛假繁榮假象。事實上正規(guī)的殺毒廠商，目前國內活躍的僅剩下江民、瑞星、金山等少數(shù)幾家，他們憑借在這個行業(yè)多年的積累，掌握著各有特色的核心技術，占據了多數(shù)的市場份額。此外，還有多款不同品牌的國外殺毒廠商，為了搶奪國內殺毒市場份額，開始在我國發(fā)動持久而大范圍的免費戰(zhàn)，并積極宣傳同質化論調，認為殺毒軟件都一個樣，用付費的不如用免費的。借此分散國內廠商的用戶群，在達到一定規(guī)模的數(shù)量后，再開始學習微軟打擊盜版，采用封號的手法，讓原來的盜版使用者成為付費用戶。
          2008年3月份，一個“磁碟機”病毒的出現(xiàn)，讓電腦用戶對殺毒軟件有了本質的認識。那段時間內，許多用戶發(fā)現(xiàn)自己電腦上裝的國內外知名品牌殺毒軟件實時監(jiān)控被關閉，殺毒軟件升級、殺毒等功能失去作用，殺毒軟件象被巨大的黑洞吞噬一般，對病毒無絲毫的還擊能力。事后，反病毒專家分析認為，這是一個典型的驅動型病毒，病毒釋放出的驅動程序卸載了殺毒軟件與系統(tǒng)連接的鉤子，使它的監(jiān)控失去效力，然后，病毒屏蔽了殺毒軟件的升級網站，使殺毒軟件無法升級病毒庫。而且病毒能夠在網上通過自身的服務器升級更新，讓殺毒軟件特征碼檢測失效。“磁碟機”病毒的出現(xiàn)，頓時擊破了殺毒軟件同質化的論調，一些核心技術過硬的殺毒軟件在這次事件中脫穎而出，不但未被病毒關閉監(jiān)控，而且?guī)в兄悄苤鲃臃烙�系統(tǒng)層層攔截了病毒的每一步動作，確保了用戶的系統(tǒng)和數(shù)據安全。

           病毒技術“與時俱進”
          病毒技術發(fā)展到今天，已經與最初的病毒定義相去甚遠。病毒的最初定義是“一段可以自我復制的有害代碼”，而據江民反病毒中心監(jiān)測結果顯示，進入2008以來，大部分主流病毒技術都進入了驅動級，病毒已經不再一味逃避殺毒軟件追殺，而是開始與殺毒軟件爭搶系統(tǒng)驅動的控制權，在爭搶系統(tǒng)驅動控制權后，轉而控制殺毒軟件，使殺毒軟件功能失效。一系列先進的隱身和破壞技術被病毒采用，如ROOTKIT技術、內核級HOOK技術、進程注入、文件加密存放等等。
          驅動型的病毒安裝運行后，會利用內核級的鉤子去隱藏病毒進程、病毒文件和病毒在注冊表中的啟動項，防止被安全軟件所查殺，而一些關鍵性的數(shù)據信息在木馬驅動程序文件體內是加密存放的，一但用戶計算機系統(tǒng)感染該病毒，則很難清除干凈。
         越來越多的病毒開始刻意隱藏自身的行蹤，在電腦用戶毫無知覺的情況下完成破壞過程。江民反病毒專家發(fā)現(xiàn)，現(xiàn)在的病毒作者在編寫病毒時更加注重自身的隱蔽。病毒作者主要采用三大隱身術，通過RootKit技術隱藏病毒進程、病毒文件、隱藏數(shù)據傳輸端口以及注冊表內鍵值；通過篡改注冊表相關鍵值屏蔽顯示隱藏文件的功能；使用IEFO重定向劫持技術禁止殺毒軟件運行。
        其中，RootKit 技術是今年病毒普遍使用的技術，最早用于UNIX平臺上，用于替換一些重要的系統(tǒng)文件，以來迷惑管理員對系統(tǒng)信息的察看。現(xiàn)在該技術現(xiàn)在已經移植到Windows平臺上，并已經廣泛使用，具有隱藏進程、隱藏文件、隱藏端口等功能。
       面對病毒技術的飛速發(fā)展，許多殺毒軟件開始跟不上病毒技術，在核心技術上遲遲未能得到突破，也直接導致了類似“磁碟機”病毒發(fā)作時，部分殺毒軟件束手無策的尷尬現(xiàn)象。

        殺毒技術應對有術 高手的決斗
       針對病毒的如ROOTKIT技術、內核級HOOK技術、進程注入等等新技術，反病毒廠商也拿出了應對措施，如江民、瑞星均有反ROOTKIT技術、反病毒HOOK技術，主動防御技術，虛擬機脫殼等技術，然而，理論上相同的東西在實際應用中往往差別很大，同樣是反病毒HOOK技術，有些能夠解除病毒的鉤子，而有些就落后于病毒的行動，被病毒給繳了械。
       這就象高手交戰(zhàn)，招術上似乎大同小異，比拼的就是誰的內力更加深厚，誰出手的速度更快更到位。據江民反病毒專家介紹，驅動病毒生成的驅動程序最終會通過內核調用系統(tǒng)調用地址表，而殺毒軟件也會調用這個地址表來監(jiān)控病毒，在調用的瞬間，看誰能更快地接管服務，誰就獲得了系統(tǒng)控制權，進而解除對方的鉤子，讓其失去功效。技術高手通常能準確判斷病毒的薄弱位置，或采用巧妙的方法避開病毒的攻擊，最終有效監(jiān)控和阻止驅動病毒的破壞，確保自身功能的完整和有效，從而阻止和清除各種驅動型病毒對殺毒軟件和系統(tǒng)的破壞。
            
        用戶選擇回歸技術本質
      
      在各大論壇以及社區(qū)上，普通電腦用戶對他們常用的殺毒軟件無法殺毒的抱怨聲越來越多，同時，在專業(yè)性反病毒論壇里，越來越多的評測開始關注對驅動病毒的防殺功能。許多用戶也開始把選擇殺毒軟件的標準從原來的無目的跟風消費，轉變?yōu)楝F(xiàn)在的重視殺毒能力的本質上來。殺毒軟件市場正在悄然發(fā)生著一場消費革命，種種被廣告渲染的表象下，技術的厚重開始越來越顯示出它原來的份量。