【赛迪网-IT技术报道】关闭杀毒软件,正在成为当今病毒的一个特征标志。比如“AV杀手”变种病毒运行后,能够利用恶意驱动程序强行关闭大量流行安全软件,大大降低了被感染计算机上的安全性。病毒会强行篡改注册表内容进行映像劫持,禁止近百种安全软件、安全辅助工具以及调试程序的运行,导致用户计算机系统毫无安全保障,严重威胁用户计算机的安全!
病毒的嚣张让普通电脑用户不寒而悚。更加可怕的是,这些病毒将上百种安全软件关闭后,向染毒电脑中下载大量的木马、后门等恶意程序,黑客可以为所欲为,盗号、窃密更是易如反掌。人们不禁要问,难道我们一直依赖的杀毒软件在病毒面前真的如此不堪一击吗?是病毒太狡猾,还是杀毒软件太无能?
魔高一尺,道高一丈,杀毒软件也正在用各种办法进行对抗。这里以“江民杀毒软件KV2008”为例,为大家展示反病毒软件与病毒的斗争。
据了解,计算机病毒目前已经进入了驱动内核级,而许多安全软件技术还停留在应用级,难怪会被病毒轻易结果了。病毒关闭杀毒软件经历了以下几个阶段。
早先病毒关闭杀毒软件,主要通过监测窗口标题的形式,一旦监测发现标题中包括有“杀毒软件”“安全软件”或其它病毒特定的杀毒软件品牌字样时,就会发送关闭消息,关闭杀毒软件进程。这种方法很轻易被杀毒厂商破解了,反病毒专家将窗口标题采用动态标题和进程保护技术,每次软件启动后,窗口标题出现都是无规律的,如“江民杀毒软件”,字与字之间会有随机空格,让病毒无法获取到特定的字样,这样也就无法触发病毒发送关闭消息,而进程保护技术通过提高进程和系统权限,防止被病毒关闭。
随着窗口监测技术被破解,病毒作者又利用了映象劫持技术,通过Windows映像劫持技术(IFEO)修改注册表,致使许多与安全相关的软件无法启动运行。针对这种技术,杀毒厂商拿出了反映象劫持技术。还是以江民杀毒软件为例,首先,江民杀毒软件KV2008对系统注册表进行了特殊保护,特殊系统关键键值被保护为只读,无法进行修改的。对于一些其它的非关键键值,如果病毒修改了注册表,江民杀毒软件会及时报警,并对这种行为进行阻止。而且,江民KV2008系统诊断功能中,能够对注册表键值进行扫描,并可以列出非正常的键值进行标记,便于用户进行删除和修改。
而进入2008年以后,病毒关闭杀毒软件的技术进入了内核驱动级。病毒通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改SSDT表等技术实现WINDOWS API HOOK,从而使得杀毒软件监控功能失效。至此,杀毒软件与病毒的较量已经进入了内核级,比拼的是谁对Windows操作系统底层技术把握的更精确、更独到,谁获得的系统权限更大、速度更快,比拼的是谁的经验更丰富,谁的技术积累更深厚。
病毒并不可怕,可怕的是杀毒厂商的集体失语。面对AV杀手这样的病毒,我们希望能看到更多杀毒厂商对抗“AV杀手”的技术。只有杀毒厂商全面的技术进步,才能够保障整个互联网的安全,才能够让所有的电脑用户放心使用杀毒软件。
(责任编辑:李磊)
