| 摘要:本文介绍的检测和防护模式是一个极其吸引人且能够轻易为普通用户理解的计算机安全概念。 |
再者,程序代码或输入的优劣没有全球性的唯一定义。将防病毒程序确定为恶意程序代码的依据最终由防病毒供应商确定,而不是使用软件的用户。这一原则不同程度地适用于所有检测模式解决方案(甚至是开放社区维护的解决方案),因为此类解决方案的多数信赖者也只不过是它们的用户而已。
防病毒产品的工作原理
数年前,我曾尝试了解防病毒产品真正的工作原理。从官方来源根本得不到什么信息,这一点充分说明此行业不够透明。还好,有不少人愿意私下提供答案。其中最有趣的一个答案是防病毒先锋AlanSolomon博士1提供的,他介绍了一个最初为了自己的防病毒引擎而创建的四步过程。第一步是在五个不同位置检查两个字节,以确定可执行文件是否未受到感染。此过程是在15年以前执行的,只是一个目的很明确的检查过程。它查找任何病毒都不收费,甚至根本没打算收费。
客户看不到将在预定的一组情况下工作的简单产品与他们想要看到的对该产品所进行的“些许改进”之间的区别,他们只希望跨过无形的屏障进入被证实不可能发生的领域内。由于客户教育尚未成为企业销售软件许可证的一项成功策略,因此供应商选择满足客户的这种愿望,因为这一策略能带动下一个版本的销售。
一位防病毒软件开发人员在最新发表的一篇评论中,对从仅检测大家熟知的码图到可检测所有病毒的全能产品的这一发展过程做了精彩描述:“多数现代引擎可能有大约20到50个主要的解析、编码、解码、模拟、模式匹配组件,其中只有两个或两个以上的组件用来检测指定的恶意软件片段。”他进一步指出,“在大量不断变化的希望、憧憬与祈盼的鞭策下,这些组件大多数令人厌恶,具有难以理解的古代码段,并伴随着妥协和主观臆测性。”这一评论与我在查看防病毒代码时的切身感受完全吻合。
某些(如果并非全部)防病毒公司的基础知识库在变为公司条款后明显跟不上代码库的发展速度,自第一个人编写某些简单的检测程序以来,代码库就在不断壮大。业内公开承认不能对恶意软件实施通用命名方案这一事实更加表明了上述评论可能比我们知道的情况更加真实。如果基于清楚明确的决策树进行检测,那么每个防病毒供应商都能够列出可以检测到“恶意软件X”的准确特征,并且每位业内人士均可为同一组特征指定同一个名称。
记住下面这个有关四个编程状态的经典笑话:
•最好的情况是程序可以工作,您知道原因
•第二好的情况是程序无法工作,您知道原因
•一般情况是程序无法工作,您不知道原因
•最糟糕的情况是程序可以工作,您不知道
原因很明显,防病毒技术主要处于最糟糕的状态。
防病毒产品攻击面
如果您不十分清楚软件的工作原因,那么您也不会了解它的工作原理。因此,您的代码不可能有在更改破坏某些内容时会发出警报测试情况。某些开发人员简单地运行针对大量已知的受感染文件构建的防病毒产品,并确认在将其出售给客户之前不会发生崩溃。这就是整个测试过程。
从攻击者的角度看,检测技术是最有希望攻破的目标。当您寻找二进制代码中的漏洞时,首先要查找非常复杂的数据格式的解析器。几乎所有解析代码都需要检测,这样困难就增加了,不能简单地基于格式上的破坏来分析数据,因为数据格式可能是一种检测程序无法识别、但最终用户应用程序可以处理的新格式。这一困难使得我们现在已不再将所有的防病毒、入侵检测系统(IDS)和入侵防御系统(IPS)规避技术视为漏洞,因为这些技术会使任何漏洞数据库的大小超过限制。
在如今的企业网络中,所有不受信任的文件和外部网络数据包都会经过防病毒软件和IDS/IPS软件的分析。此外,虽然不彻底(由于规避技术),但这些文件和数据包保证会经过分析。加上这些安全产品的劣质软件,这种组合提供了理想的攻击面。
请考虑以下思维实验。尝试指定一款用于处理重要协议(例如,HTTP或DNS)的服务器软件或用于处理重要文件格式(例如,JPEG或MicrosoftOffice文档)的客户端软件,在该软件的整个生命周期内,分析代码中从未出现过内存损坏漏洞。您会发现,这样的软件真的很少。但如果正确执行单个协议或文件格式太过困难,何不使用一种自身从未出现过漏洞的防病毒产品(支持数百种文件类型)或IDS/IPS解决方案(支持数千种协议)来同时解析所有协议或文件格式?
总结:这些安全产品经常会暴露出自身存在的一些严重问题,攻击者会采用一种直接的、可预见的方法来接触并攻击这些产品。
评论表单加载中...
