51Testing软件测试论坛
标题:
瑞星2008主动防御技术的实际价值尚难确认
[打印本页]
作者:
51testing
时间:
2007-11-27 17:08
标题:
瑞星2008主动防御技术的实际价值尚难确认
瑞星发布了新的杀毒软件瑞星2008版,将“主动防御”列为和查杀毒相并列的主要核心功能。
易观分析
易观国际研究认为,目前全球范围内还没有任何一家安全厂商做到了真正完全的主动防御,且黑客攻击和病毒的变化也会导致主动防御从技术上难以完全实现。瑞星的主动防御技术更多还是依赖特征码监测的方式,并没有实现真正意义上的主动防御。
首先,主动防御技术的核心内容是对病毒行为的监测,由于新病毒的不断出现导致其行为特征的多变和不断出新,且行为监测技术对正常软件的误报也会大大提升。瑞星将行为监测和病毒特征码监测结合的方式并不能从根本上解决新病毒无法查杀和正常软件误报的问题。
其次,从瑞星采用的技术上分析,瑞星将ZwCreateThread、ZwWriteProcessMemory、ZwLoadDriver、ZwSetValueKey、ZwDeleteKey等函数挂钩以阻挡远程线程注入、拦截SCM的驱动加载、拦截注册表操作等。这只能在一定程度上防范病毒和黑客的攻击,且监测的不全面导致了漏洞的出现,例如没有拦截ZwSaveKey、ZwRestroeKey等方式写入注册表、没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术,这给病毒和木马的制作者留下很多后门。
综上所述,瑞星的主动防御技术对用户安全的帮助有限,且监测的不全面导致了众多漏洞的出现,其主动防御的实际价值并不明显。
易观建议
针对行业用户:
1.对众多宣称具有主动防御技术的安全产品谨慎对待,目前所有的主动防御技术只能做到局部的,并没有完全具有主动防御技术的产品出现。
2.对于进程相关方面知识欠缺且安区要求相对较低的用户不必选择主动防御产品,主流的杀毒软件及时升级可以应对一般的安全风险。
针对瑞星等安全厂商:
病毒行为特征是不断动态变化的,通过病毒行为监测的方式防御未知病毒并不是最有效的方式,在目前的形势下应扩大自身后台的升级带宽和服务器响应能力,采取对用户端及时升级的方式来防范病毒的大规模扩散。
作者:
岁月童话
时间:
2007-11-27 17:10
帮楼主顶一下
现在关心OA测试的人很少
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2