七月 1st, 2019

攻击电脑的恶意软件代码的概念最初出现在1981年,当时出现了一种针对苹果电脑的病毒。到上世纪80年代中期,计算行业中一些不太健康的成员开始大规模攻击大型计算机和MS-DOS操作系统——当时的Windows操作系统。雅达利和微软等公司开始开发杀毒软件,做出回应。于是,一场猫捉老鼠的游戏就这样开始了,一直持续到今天,尽管游戏的赌注要高得多,角色也要多样化得多。

尽管保留了原来的标题,杀毒软件现在预计要解决的不仅仅是破坏计算机代码的问题。它还必须识别蠕虫——使用网络连接来攻击其他计算机的自我复制程序,它需要防止间谍软件和广告软件——分别用来监视用户活动以及用广告轰炸他们。杀毒软件还必须清除特洛伊木马文件,解决rootkit的有害威胁等等一系列问题。总之,它被认为是一个不可穿透的盾牌,可以抵御所有已知的威胁。它甚至必须判断新发布的威胁(称为零日恶意软件)是否具有恶意软件的特征。显然,做出这样的判断非常复杂。杀毒软件包从来没有像今天这样经过精心设计,或者像现在这样需要大量资源。为了平衡安全性和性能,用户正在逐渐减少使用软件设置和禁用关键功能。尽管一个经常使用的文件或应用程序被反复扫描令人沮丧,但谨慎对待前所未有的恶意软件水平是至关重要的。

那么杀毒软件是如何工作的呢?

每一个恶意软件都是由计算机程序员设计,或由一段现有代码变异而来的。因此,它将具有某些区别于合法软件的特征。例如,Microsoft Office文档几乎肯定包含一个宏,在打开文件时启动。没有宏的Word或Excel文件应该是安全的,相反宏文件会引起杀毒软件包的开启。杀毒工具使用了许多技术来识别和阻止恶意软件:

一般的检测。 包括寻找蠕虫和其他具有可识别代码签名的基因可识别序列。相关阅读可以了解一下 怎样检测服务器的安全及查找漏洞

具体的检测。一些恶意软件具有特定的风险,因此这些特定的签名将被主动捕获。

探索的检测。这是一个更模糊的过程,使用机器学习来尝试和发现可疑的文件或不合理的行为。

探索的检测是最具挑战性的方面,因为它涉及到对行为是否可疑做出经过深思熟虑的判断。试图访问计算机上每个文件的新安装的程序应该引起注意,立即尝试复制自己的新下载的文件也应该引起注意。然而,探索的检测是容易出错的—— 杀毒工具在试图删除自己的代码之前,会将自己的行为识别为可疑。其他误报主要集中在谷歌浏览器,甚至Windows本身。最终,识别和删除(或隔离)rogue agents的过程依赖于一个最新的代码签名列表,以及一个已知威胁的不断增长的数据库。这就是为什么杀毒工具需要不断更新。零日攻击通常会在发布后的几个小时内造成混乱,这样它们可以很容易从任何一款已经有一段时间没有更新的杀毒软件的网络中溜走。现有恶意软件的突变也需要通过个人设备上的反病毒数据库进行反馈;一些被称为服务器端多态性的代码使用加密和自修改来避免与已知的威胁匹配。

一些关于恶意软件的讹传已经形成,其中没有一个经得起推敲。例如,苹果设备也不能幸免于攻击——macOS恶意软件去年几乎增长了两倍,而iOS系统正受到越来越多的广告软件应用程序和漏洞的攻击。此外,还有说被感染的设备很容易被识别:一些恶意软件导致硬件运行缓慢或显示大量弹出窗口,木马和间谍软件在将敏感信息传递给骗子之前会谨慎地记录下来。最后,不要认为只有在硬盘中包含重要或敏感数据时才会有风险。分布式拒绝服务攻击(旨在破坏网站)将数百万台计算机聚集到一个由远程主谋控制的从属网络中。

为了确保所选择的杀毒软件包以最佳的方式运行, 授予它在后台运行的权限——即访问扫描或实时保护。定期(默认为夜间)进行全面扫描,以识别休眠或历史威胁。最后,确保包可以在任何必要的时候进行更新,使它有最好隔离新的恶意软件以及正确识别流氓代码的机会。恶意软件有多种形式,因此杀毒工具必须永远保持警惕。更多相关内容可以参考阅读 网络程序中哪些数据缺陷会影响到网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注