Wednesday, January 31, 2007

 

从熊猫烧香看国内外反病毒厂商的差距



目 前国内用户所使用的反病毒产品大多是金山、瑞星、江民、趋势国内产品和卡巴斯基、Symantec、 Mcafee. J0ker还测试过,或者正在用一些在国内比较罕见的反病毒产品,比如Bitdefender、 AVG 、 CA eTrust 、 Nod32 、F-secure、Avast 等.J0ker无意把这个小文写成一个反病毒软件评测文章,仅从技术角度和部署情况来聊下国内外反病毒引擎和技术的比较,兼聊下国内外杀毒厂商的经营理念.

国内杀软和国外杀软没有可比性

按反病毒软件部署的目标来分类,可以分为:

1) 单机/个人用户: 金山、瑞星、江民、趋势(Pccillin)、卡巴斯基、Bitdefender、Nod32、Symantec、Avast

2) 服务器: Mcafee、 F-secure、AVG、 Symantec

3) 办公网络环境:Symantec、Mcafee、 CA eTrust、 趋势(Officescan)

国内的瑞星、江民也推出了网络版的反病毒产品,但是笔者没有接触过,就不敢妄加评论了.

评 价一个反病毒产品的性能好坏、不能单纯的从它在测试中的排名、或者测试中杀毒数量的多少来进行比较,必须是按照其产品定位,将其部署到生产环境中,才能看 出产品的优劣.很显然,在一个办公网络环境中部署、管理单机版的反病毒产品将是管理员的噩梦,而在个人用户机器上部署服务器版的反病毒软件也会有机器性能 和保护效果的损失.

国外的反病毒厂商的反病毒方案产品线大多包含了服务器版和网络版,个人版的杀毒软件只是产品线中的一环,并不是大部分 业务收益的来源.而国内的反病毒厂商则把大部分精力放在个人反病毒产品上.这种产品定位的区别可以从技术积累和目标市场的成熟程度上得到答案.国外的信息 化和信息安全重视程度远比国内的高,因此对反病毒产品的要求并不单是能杀病毒那么简单,而是要求反病毒产品成为信息安全体系中坚固的一环,并对整个信息安 全体系的稳固性产生积极的影响.而在国内,因为信息化程度和信息安全立法等大环境的不成熟,市场的需求还是以个人用户的病毒防护为主.因此,从这个角度来 说,国内的杀毒厂商和国外的杀毒厂商是不具备比较条件的.

Mcafee、Symantec与国内厂家的不同之处

举 个例子,Mcafee 的 Virusscan Enterprise版本本身的杀毒能力中规中距,在各杀毒评测中的评比一直是徘徊在中上水平,其查杀国内木马病毒的能力也比国内的反病毒产品为弱,但是 Virusscan Enterprise部署的环境是定位为企业环境下的网络安全防护产品,它预定义的访问保护规则和缓冲区溢出防护,再加上Mcafee ePO的支持,就能够满足企业的需要,构成整个企业信息安全体系中的中坚.Symantec的部署体系、趋势Officescan的网络威胁快速反应,也 是所属厂商所独有的.而国内的反病毒软件只做到其中反病毒的一项功能,其初级的访问控制能力在现在的0day 漏洞大潮中对用户毫无保护能力.

再 举个例子,非本土厂商的反病毒产品的设计目标是满足用户的部署需求,在满足部署需求的前提下,某项性能的轻微损失是可以接受的—— Symantec 和趋势的杀毒能力在众多杀毒测试中是落后于国产反病毒产品的,但是Yahoo选用Symantec、Hotmail选用趋势就很能说明问题,在大数据流量 的环境下,能过滤95%病毒的高速过滤和部署后业务的低影响才是用户的部署需求.Symantec和趋势都有对应的邮件反病毒网关,拥有为大规模邮件系统 特别设计的负载平衡、高速过滤等功能,就是国内反病毒厂商的技术能力所望尘莫及的.

从市场效益上看,服务器产品、网络产品和定制产品方案的收益是远超个人安全产品的,遗憾的是本土的反病毒厂商一直被排斥在这几类高端业务之外,显然和经营理念、发展战略是分不开的,单纯努力的增强自己技术力量并不能从根本上解决这个问题.

从反病毒的技术方面分类,反病毒产品也可以分为:


1) 基于特征码的反病毒引擎:除Nod32、瑞星(不确定)之外的大部分反病毒软件

2) 基于虚拟机的反病毒引擎:Nod32、瑞星(2007版本)

基 于特征码的杀毒引擎占据了反病毒市场的绝大部分份额.因为从功能实现的技术难度、针对已知病毒威胁和升级的难易程度来说,都要比使用虚拟机内核的反病毒产 品来说要容易的多,而且使用虚拟机内核的反病毒产品本身的杀毒机理是根据扫描目标的行为或操作来定义是否病毒.因此一个不完善的虚拟机内核反病毒产品很容 易漏掉在其行为特征库里面没有定义的病毒.在这次熊猫烧香病毒风波中,Nod32的表现就很不令人满意,原因也在于此.

因此市面上的大部分反病毒产品引擎都选择了更稳妥的特征码检测方式,某些反病毒产品还使用了多套反病毒引擎作为备份,以多套病毒特征码保证对病毒的变种检测能力.

从 病毒样本反汇编的结果看,卡巴斯基和江民的病毒特征码的定义都定位在样本的代码段,而卡巴斯基更喜欢定位在样本的关键代码处,相对来说对付病毒变种是要比 江民要强一点,因为非关键代码的改动要比关键代码容易不少.而江民的注册表、键盘记录控制和卡巴斯基的主动防御则各有千秋.其他厂商的特征码定位则有点偷 懒的意思,偶尔会有定位在目标样本数据段数据、甚至是只根据样本长度来判断的情况出现.对于进行加壳的样本来说,现在的大部分反病毒产品的解决方案都是附 带一个脱壳引擎,并建立常见壳的特征库,进行相应的脱壳操作后再进行杀毒扫描,新推出的瑞星2007就以脱壳能力为其一个卖点.

对于能够进行自加密和动态加密的病毒来说,单纯的脱壳/特征码扫描机制是无法检测的,使用虚拟机内核进行目标样本的动态分析才是更好的解决方案,但是高速高效的虚拟机内核引擎本身对反病毒厂商的技术开发能力要求也是很高的,从这点上看技术门槛也不低.

总结

由 于国内信息安全形势的畸形,网游木马、银行木马的流行程度远比国外要严重得多,国内反病毒厂商纷纷以此为卖点来销售自己的产品.从某种程度上来说,这是机 遇,更是对国内反病毒厂商的伤害,在做应用层面的产品的同时,国内反病毒厂商放在基础技术研究的精力也就要相应减少,再继而开发不出高端的产品,没法对自 身实力的增强产生积极影响,如此便形成了一个恶性循环.

这次熊猫烧香病毒风波的口水战,便是国外反病毒厂商看不起国内厂商的技术水平引起,国内厂商对此也要负一定的责任.作为市场的竞争对手,对方怎么看不重要,只有自己的技术和实力提升上去才能让对方闭嘴,国内反病毒厂商的技术增强和经营理念的转变显然还任重而道远.


咖啡是需要自定义的,熊猫我们宿舍中了,但我用咖啡,加了些自定义规则,虽然我中了,但是病毒压根没法发作,最后那个病毒的来源文件删掉,天下太平,上面说咖啡不能防木马,这的确是,但如果你加好规则,木马和流氓软件根本就没法下载到你机器里,规则网友有上传,很容易找到的。当然,仅限于企业版,个人版没有自定义。。。。。总之,咖啡是款防患于巍然的杀软,配置好了不用升病毒库照样不中毒
——by 舜子


Comments: Post a Comment



<< Home

This page is powered by Blogger. Isn't yours?