無意中看到英國的安全愛好者Graham Sutherland的一篇舊文《The anti-virus age is over》,盡管是一年前所寫,但仍舊可以以“呵呵”的態度一覽作者之AV觀: .
就目前我的關注,我認為反病毒系統已然是強弩之末。或者,如果反病毒系統還沒有沒落,那也正走在即將終結的路上。
基於特征碼的分析技術,包括靜態分析(比如SHA1、哈希)和啟發式(比如模式匹配)對於多態病毒都顯得毫無用處,如果你知道編寫病毒生成器是多麼的容易,就明白這是個大問題。當從具體的多態引擎中找到特定的模式時,壞家伙們早已編寫出了新的多態引擎。當你想到絕大多數浏覽器腳本語言都具有圖靈完備性,那麼很明顯,只需要開發人員的小小努力,相同的惡意代碼行為便可以通過無限多種手段重寫。行為分析或許可以提供一種低成功率的檢測方式,但是至多也是一種弱標志。 .
在過去幾年中,我們也看到APT(Advanced Persistent Threat)模式中的攻擊潮。這些威脅有特定的目標或對象,而非隨處拿軟柿子捏。APT模式下的攻擊涵蓋社會工程學、自編寫惡意軟件、自發掘漏洞利用工具及平台以及未披露的0-day漏洞——反病毒方案確是面臨相當棘手的威脅。 .
另外一個問題是內存駐留惡意軟件。對於AV(anti-virus)廠商來說監視程序內存非常難,更別說在系統中精確檢測內存問題。如果惡意軟件不觸及硬盤,大多數AV軟件將永遠也不會發現它。在趨勢科技高級研究員Robert McArdle的報告“HTML5-A Whole New Attack Vector”中,談及用HTML5編寫的駐留在浏覽器標簽頁中的僵屍程序和惡意軟件。假設浏覽器不在硬盤上建立緩存,那麼可以在不利用浏覽器漏洞的前提下感染內存駐留惡意程序,如此很容易迷惑用戶,並且具有網絡連接能力。另外一方面,浏覽器中的任意可執行代碼均可以作為槓桿加載可執行代碼到進程內存中。在浏覽器中或者在系統常規進程內存中駐留惡意代碼如此相當簡單。此外阻止內存頁面交換也是可能的,最終便可以阻止惡意代碼被交換到硬盤存儲中。這對於AV軟件和取證分析來說簡直是夢魇一般!
.