病毒靠“防”不靠“杀”

病毒数量在正在呈爆炸式的增长，病毒更是变种层出不穷，再加上网上越来越多的所谓“免杀”病毒的出现，仅仅依靠快速升级病毒库的方法并不能彻底根治。电脑用户更需要一种能防范于未然的方法，一种能够在未升级病毒库的情况下也可以有效防范和处理病毒的技术和产品。

　　面对市场上的形形色色“主动防御”产品，记者认为可自动识别、明确报出未知病毒并自动清除才是真正的“主动防御”产品。似是而非、含糊不清的监控报警系统，肯定不是用户需要的“主动防御”产品。用户购买反病毒产品的目的就是需要它自动分析文件或程序究竟是不是病毒，如果是病毒应自动清除。如果反病毒产品不能解决这个问题，反而要用户自己判断、自己回答，那用户购买这样的“主动防御”产品有什么用？

　　主动防御未来趋势

　　未来几年主动防御市场会出现更多比以往防御更积极的技术，但随着不安全的事件比例增加，和各种应用的成熟与规范化，真正实现主动防御不在于识别不安全的信息如何发展，而在于如何准确的识别安全的信息，除了安全的信息之外的其他信息都是不可信的、不安全的。只有这样才是真正意义上的主动防御。但相当长的事件主动防御的思路和被动防御的思路是相互补充、长期共存的。

　　安全隐患的加重和人们风险意识的提升使得主动防御的需求飞速增长，基于快速反应技术的反病毒保护要求也越来越高。

　　作为反病毒厂商，从主动防御方向上面的努力，是值得欢迎的，毕竟能够为用户带来更安全的产品。但对于作为用户的您来讲，对于正在快速成长并充满各种尝试想象的安全厂商，一定保持好您的信任尺度，如果您不相信它们，不行，毕竟它们在保护您的安全;如果您过于信任它们，也不行，任何安全技术都不是包治百病的，如何选择他们，还是看功效。

　　12日

　　在瑞星、江民和金山几个正版付费杀毒软件中比对后，我个人喜欢江民。

　　江民价格便宜量又足；瑞星最贵但给我的感觉是花冤枉钱；金山在系统中毒提醒方面做的很出色。

　　前天看到微点这个东西，下载试用中。

　　13日

　　在一台健康的电脑上有意下载游戏外挂、免费商业软件等疑带病毒的程序，在解压或安装过程中，微点即提示发现木马或病毒，提醒删除该文件。删除后不留尾巴，系统无任何不良反应。

　　今天正巧遇上一台装有瑞星正版杀毒软件的机子，开机提示两个DLL文件找不到，根据经验感觉应是瑞星杀毒后残留有尾巴。也就是说某进程试图调用这两个文件，却找不到这两个文件。听说瑞星与微点会有冲突，卸载瑞星后安装微点90天试用版。

　　开机仍然提示这两个文件找不到，微点报出两个Torjar Downloader类型木马，提示删除该文件。执行删除操作重启仍有相同提示。

　　目前感觉微点在主动防御方面还是有一定优势，但对一个染毒平台的杀灭能力还是不够强大。

　　14日

　　进一步用360安全卫士来验证微点主动防御软件，在360安全卫士中有一项功能叫“查杀流行木马”。尽管我的这台家用电脑在使用中并无异状，以前用江民的时候全盘查杀也没有发现病毒，我还是选择了“全盘扫描”，发现每个盘的根目录下都有一个名为setup.exe的隐藏文件，安全卫士判定为W32.Mumawow.F这一类。我这才想起，它们应该是伴随autrun.inf进来的？以前autorun.inf被江民杀掉了，却把setup.exe这个尸体留在了我的电脑里？

　　出于对微点主动防御功能的好奇，我并没有直接用安全卫士查杀，而是双击setup.exe。这时微点动作了，提示我是否删除。当然要删啦！

　　但是微点没有对文件的扫描功能，希望把这种主动防御性的软件，与传统的杀软结合起来。

　　蜜罐技术发展历程

　　从蜜罐被提出到现在，欺骗技术经历了从简单到复杂、从单用途到多用途的三个发展过程:

　　(1)Sacrificial Lambs

　　发展初期的蜜罐。主要具有数据捕获功能，是一台用于被未授权访问、被攻击的目标主机，提供整个操作系统与攻击者交互，安装监控软件用于全方位地记录入侵行为。该蜜罐相对容易配置，能搜集整个主机上的入侵信息。但由于缺乏有效的数据控制，系统很容易被攻击者作为跳板去危害其他系统，具有较大的危险性。

　　(2)Facades

　　针对Sacrificial Lambs的高交互、高危险，Facades只提供应用层上的网络服务，并模拟一些漏洞作为诱饵，降低系统与攻击者的交互程度，从而降低了危险性。目前已有该类蜜罐被作为产品与传统安全产品进行捆绑销售，此时的蜜罐具有数据捕获和网络服务模拟功能。但其缺点在于低交互性所带来低信息捕获量，而且网络服务模拟的逼真程度一直是设计难点，一旦服务模拟失败而被攻击者发现，将会带来意想不到的后果。

　　(3)Instrumented Systems

　　作为该时期蜜罐的典型——蜜网(Honeynet) ，有机集成了多个蜜罐系统。根据目的和功能不同，这些蜜罐可以是Sacrificial Lambs，也可以是Facades，同时具有网络服务模拟、数据捕获、数据控制多个功能，因此它同时具备了高交互性和安全性。但由于有多个蜜罐和其他辅助设备，导致了蜜网难以部署、管理和维护。