Tuesday, April 03, 2007

 

国产杀毒软件的致命缺陷

一、 积累之浅

  杀毒软件是一个需要高技术积累的行业,国产三强只有江民的历史比较悠久(目前在网络也是他评价较高,但是稳定一直是个问题),所以无论是病毒样本的收集还是和病毒分析的历史和国际一些老牌厂商是无法对比的。金山当年的崛起除了网络免费推广的作用外,还有集成俄罗斯的著名杀毒软件Dr.web引擎的双引擎战略的重要作用,虽然当时金山公司自己的引擎开发不是很成熟,但是有强悍的Dr.web引擎支持,当时的金山毒霸的杀毒效果还是很不错的。这两个战略的推广也一举奠定了金山国产杀毒软件三强的地位!可惜后来由于种种原因,和Dr.web的集成没有继续下去。直到今年,韩国的驱逐舰杀毒也靠着Dr.web的引擎再次进攻大陆市场……

  关于病毒样本的问题,由于国内厂商的市场开发区域比较狭窄,收集样本的能力没有办法和国外一些老牌的厂商比较。加上引擎还是以特征码为主的杀毒形式,这也是金山和光华这次VB100%测试失利的重要原因。对于病毒库,目前国际上的一些新兴杀毒厂商有交换病毒库的方式可以借鉴,今天TopTenREVIEWS排名第一的BitDefender病毒库据说就是这样积累到了50多万之巨!

  二、 引擎之短

  国内杀毒软件每年推出新版本的时候都提出自己的新版本的引擎是第N代先进引擎,杀毒能力有了多大的进步。但是一到具体运用,就发现杀毒能力还是老样子。

  瑞星的监控一直是用DLL注入的方式(呵呵,和很多病毒木马相同),造成了监控的时候占用系统资源巨大,脱壳能力也非常糟糕,只能脱掉UPX壳,病毒和木马只要一加其他的壳就没办法对付了,不是查不出就是不停的跳杀。

  金山估计是当年受Dr.web的影响,他的杀毒软件占用也很小,杀毒速度很快,但是他根本没有杀带壳的病毒能力,结果造成了在杀毒的时候跳杀非常厉害。

  江民由于当初开发的杀毒引擎有独到之处,在监控和杀毒方面都有不错的表现,在杀壳方面除了杀掉UPX和ASPack壳之外,还可以杀一些比较流行的壳。据说他的杀毒引擎一定程度借鉴了卡巴斯基的引擎,但是杀壳的能力比卡巴斯基就差多了,但是扫描和监控的速度比卡巴斯基强不少。

  国产三强的引擎发展技术现在已经落后于当前时代的发展,当前国际上杀毒软件的发展非常迅速,虽然有卡巴斯基和BitDefender这样把特征码杀毒几乎做到极致的软件,但是这种杀毒技术已经逐渐日落西山。以NOD32、Dr.web、Avira等为代表的启发杀毒已经逐渐成熟,只要启发设置的合理,几乎可以发现所有的未知病毒和变种病毒(这也是NOD32在病毒库并没有一些国际巨头全的情况下,可以创造43次参加VB 100%测试仅仅3次失手的神话的秘密武器之一!)。

  目前在杀毒软件界,行为杀毒是新兴起的技术。顾名思义,行为杀毒就是在杀毒软件的监控系统发现威胁行为时就报警并提示杀毒的技术。目前卡巴斯基6.0一定程度上集成了行为杀毒的能力,这样就大大提高他对未知威胁的处理能力。关于行为杀毒,中国的微点,美国的Cyberhawk(目前都在测试中)也有不错的表现,作为单独的主动防御模块,他们是一些优秀杀毒软件良好的补充。

  可惜在国产主流杀毒的当前版本中,目前这两大新技术都根本没有。所以造成了他们在对付现在互联网时代病毒时候处于疲于奔命的状态。哪怕是已经被发现的病毒或木马只要加一个偏门的壳,或者稍稍变种一下,国产的主流杀毒软件就全部放行……。这也是已经肆虐了半年多的维金病毒还是在国内到处危害的原因(变种不断出现……)。

  说了那么多的沉重,再谈谈希望。今年杀毒软件市场还有不少新的亮点,金山和光华勇敢的参与了VB100%的测试,虽然失败而归,但是拿到测试结果后我们可以明白和国际一流杀毒软件对比,自己的差距在什么地方。就会开阔眼界,更有针对性的改进自己的产品。相信他们的产品在下个版本会有重要的进步。

  瑞星杀毒软件2007版中,加入了启发杀毒和虚拟机脱壳的技术,这是非常令人欣喜的,杀毒能力肯定会有大幅度提升!瑞星最近也参加了欧洲的几个测试,排名还不错,也超过了一些老牌选手。江民2007上集成了HIPS功能(一定程度接近行为杀毒技术),加强了系统的主动防御能力。从去年开始测试的微点,依靠其先进行为杀毒技术,逐渐在网络上有了很多FANS,虽然由于种种原因,一直没有正式上市,相信他上市以后对中国当前的杀毒软件市场也会有一定的冲击。

  我们国产杀毒软件这两年也很努力,功能虽然和国际一流产品还有些不足。但是按照目前一些发展的趋势,各种先进的杀毒技术在国内被逐渐引进,引擎和病毒库的完善也在和不断的对外交流中可以逐渐得到提高,国内的一些主流杀毒软件正在逐渐形成自己的技术特色并拥有自己的一些关键技术(国际一些著名的杀毒软件都是靠自己的一些特色技术和其他功能的完善来闯荡江湖的)。有可能逐渐赶上当前那些领先者。

  其实如果要是真的追求快速发展,目前国产杀毒软件的两大软肋也是可以比较快的解决的。引擎的问题在自己的引擎不断完善的基础上,可以和当年的金山一样和国外一些著名的杀毒软件谈判,集成他们先进的引擎。(个人认为,用国内病毒库来和国外著名厂商交换也是一种双赢的选择)。病毒库的完善也可以用类似的办法,正如上面所说的,一些新兴地域性厂商就是这样完善自己的病毒库的。

Labels:


Comments: Post a Comment



<< Home

This page is powered by Blogger. Isn't yours?