一剑封毒:云鉴定技术揭秘

时间:2011-12-05 17:06来源:未知 作者:数据恢复

对杀毒软件而言,云鉴定技术的出现是有里程碑式的纪念意义,它让杀毒软件摆脱了长期被动防御的尴尬境地,开始了主动反制病毒的新纪元。云鉴定技术的精髓是什么?云鉴定技术是如何运作的呢?请看董师傅的云鉴定技术揭秘。


  云鉴定的前身是在线查毒系统
  董师傅:早些年,杀毒软件总是被病毒肆意“欺负”,用户怨声载道——为什么杀毒软件老是斗不过病毒。董师傅不得不说,当时的杀毒软件反制病毒的手段比较落后,主要是收集病毒特征码,然后更新病毒库,整个操作流程需要消耗一定的时间,所以用户感觉杀毒软件永远比慢半拍。


  此外,一些病毒老是禁用杀毒软件,让安全厂商非常郁闷。为了给用户提供更多的帮助,一些安全厂商设计 了在线查毒系统,用户登录网站后利用该系统可以查找电脑中的病毒。后来,出现了一种集合了多款杀毒软件引擎的在线扫描网站,成为用户对抗病毒的好帮手。


  这些在线查毒系统,其实就是云鉴定的前身。看到这里,有网友可能不同意董师傅的观点,认为它们明明是两个不同的安全体系,为什么说它们有继承关系?如果大家仔细想想,就会发现在线查毒系统的运行机制就是安全厂商收集病毒特征码和提供远程病毒鉴定,这跟云鉴定的运行机制是一样的——通过云端的鉴定器来鉴定病毒并从系统中上传病毒特征码。


  董师傅打一个比喻,在线查毒系统一把老式的猎枪,打一发子弹就需要手动再上膛一发,现在安全厂商打造了新式猎枪,全自动不说还能进行扫射,威力大增。进化而来的云鉴定技术,在不同安全厂商手中有一些不同,它们的区别在哪里呢?

 


金山的在线查毒系统跟变为了云安全的一部分 

 

  两种云鉴定模式
  董师傅:目前,云鉴定主要有两种模式,一种是先本地杀毒,再进行云鉴定,另外一种是本地杀毒和云鉴定同时进行。下面董师傅来剖析一下两种模式并进行一下病毒测试。


  模式不同各有优势
  有的杀毒软件,例如360杀毒,再进行病毒查杀时本地杀毒引擎和云引擎是同时工作的,所以有时会看到这样的现象,有的病毒是被本地杀毒引擎查杀的,有的是被云鉴定发现的。有的杀毒软件,例如金山毒霸,是先用本地杀毒引擎查杀文件的,再将一些不确定的可疑文件交给云鉴定来进行深入的分析。


  两种模式各有好处,第一种模式云鉴定的范围比较大,有可能查杀更多的病毒,但缺点是会影响扫描速度;第二种模式云鉴定的范围较小,可以做到有的放矢,效率更高,但缺点是有可能会出现漏杀的情况。

 

  病毒测试 
  安全厂商认识到这两种模式的优缺点,都进行了云鉴定技术的升级,这两种模式有了融合的趋势。那现在它们的鉴定效果一样吗?做一个实验就知道了。董师傅准备了100个文件,其中50个是特制的免杀病毒(该病毒只是为了实验而制作,没有用于传播),50个特殊文件(这些文件本身没有恶意行为,但有的用了容易被误杀的编程语言,有的会善意的修改特定文件),然后用360杀毒和金山毒霸扫描文件包(这两款产品很具有代表性),测试的结果是两款杀毒率和误杀率都相差无几,360多误杀了2个文件,不过也在可以接受的范围之内。

 

360杀毒是云鉴定和本地杀毒同时进行


  云鉴定会成为主导力量
  董师傅:从测试结果来看,云鉴定技术已经比较成熟了。要知道在早期云鉴定技术仅仅是被用来收集病毒特征码的,根本没有立即鉴定病毒的功能,如今云鉴定技术可以几秒内发现一种新病毒,大大遏制了病毒的传播和压缩了病毒的生存周期。


  董师傅预计,未来围绕云鉴定,安全厂商之间的竞争会更加激烈在,云鉴定会取代本地杀毒成为杀毒软件的主导力量,到那时杀毒软件的体积不会动不动就上百MB,而是小巧的云软件,且不会影响用户的正常操作。

金山毒霸支持主动云鉴定 

 
  小贴士:曾经杀毒软件将反制病毒的希望寄托在主动防御身上,可惜主动防御没有挑起这份重任。董师傅曾经就研究过绕过主动防御的方法,可以说在免杀技术面前,主动防御不堪一击。 


一剑封毒:云鉴定技术揭秘 www.jdcok.com/anli/5/1537.html
------分隔线----------------------------
分享到: