現在那多的惡意軟件,讓我們頭痛不已,如何清除企業環境中這些不斷演化的“臭蟲”是我們最關心的事情。由於惡意軟件的編寫者其目的是為了掠奪金錢,與以往相比,管理者更需要將其從系統中趕走。
簽名的局限性
在定位惡意軟件時,傳統的模式中存在著一個問題。從歷史上看,這種模式依賴於基於簽名的方法來查找受害人計算機上惡意軟件的特征。但在惡意軟件與反惡意軟件的較量中,惡意軟件的架構已經發生了巨大的變化,因而,基於簽名的檢測方法的有效性就大打折扣。
特別是由於代碼的隨機化改變了惡意軟件的行為方式,使得惡意軟件看起來不再像簽名模式所描述的那樣,因而簽名模式就更加無法識別惡意代碼了。
這是基於簽名的檢測方法的一個致使弱點。為了使簽名可用,開發人員需要找到新惡意軟件的某個版本,然後,對其實施逆向工程,找到可以唯一識別它的特征。確認了唯一性的元素,開發人員需要將此結果編碼到簽名中,然後發布給眾多的服務器和客戶端用於檢測。
基於行為的檢測
不管其感染載體或簽名是什麼,所有形式的惡意軟件的最終目標都是為了實現有限的幾個目標。贏利是當今惡意軟件的首要目標,其它的目標包括如下這些方面:
1、數據刪除:批量刪除系統上的數據。
2、數據洩露:這包括洩露個人或金融信息,用戶名及口令,或為了竊取數據而對用戶數據進行配置。
3、重定向:改變一個系統或應用程序的行為,執行其它功能,如將用戶轉到一個經精心設計的網站。
4、監視:為實現上述目標,監視用戶的活動。
由於惡意軟件的安裝和處理機制復雜多變,而其目標卻很有限,所以業界就需要一種不同的惡意軟件確認機制。基於行為的檢測就是另外一種架構。
不妨思考一下企業環境中的反惡意軟件產品。其配置可以不斷地掃描系統和正在運行的進程,查找疑似的惡意軟件。其簽名每天或每小時都要更新。如果對這種軟件進行配置,使其可以查找系統上的任何動作行為,其效果又將如何
在這種情況下,為反惡意軟件客戶端進行編碼,查找某些類型的行為就更簡單了。不管惡意軟件的變化如何試圖逃避檢測,在它試圖完成其任務時,其惡意活動都會被客戶端發現並阻止。同樣地,客戶端也可以跟蹤非法活動的源頭,並進行移除等修復活動。由於犯罪過程容易識別,所以客戶可以很快地將其阻止和清除。如果受害系統上沒有啟動適當的行為中止和清除過程,盡管客戶端會抑制惡意行為,但計算機僅會受到局部保護。