一年前,没有人想到熊猫烧香会成为杀毒的分水岭,没有人会想到08年是主动防御年,没有人会想到熊猫烧香催化特征码集体转向主动防御。
熊猫烧香病毒
特征码是一种很有疗效的杀毒方式,有一杀一有二杀二,只要病毒库里有记录,马上就会药到病除,顶多偶尔闹个小误报。但是特征码的缺点也恰恰在于病毒库,病毒库里有的样本就可以杀,病毒库里没有的样本就杀不了。而特征库的收集要完全依赖于有人先中毒,中毒把病毒上报,反病毒工程师分析后提起病毒特征码,随即升级病毒库之后杀毒软件才能杀毒。在熊猫烧香之前,使用特征码技术的传统杀毒软件活得还很滋润。但是不凑巧,特征码这回遇到了国宝熊猫烧香。
“熊猫烧香”是一个传染型的download,使用delphi编写,从技术上来说它并没有什么创新之处,却借鉴很多经典病毒,木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,”添加注册表启动项“,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用ie浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的病毒技术。但就是这些“不算最新”的病毒技术却在全国上下揭起了一股“烧香”热潮。
如果熊猫烧香没有变种,那么特征码技术对付它完全不费吹灰之力。但是李俊同学这把完全打破了以往的规则,玩儿得太狠了,第一次大批量规模化的生产病毒,弄得特征码杀毒措手不及。昨天的特征码还没有更新,今天的新变种就又出现了。叱诧风云十数载的特征码杀毒,被熊猫烧香累得气喘吁吁。
优胜劣汰,适者生存。达尔文的进化论同样适用于病毒和反病毒。李俊用频繁编写变种的手法彻底击溃了特征码,那么很必然就会有另一种技术站出来取代特征码而遏制李俊的熊猫烧香。这就是主动防御技术。
可以说主动防御恰恰是李俊和熊猫烧香的克星,李俊用变种和免杀肆意摧残杀毒软件的手法,遇到了主动防御一下就现了原型,无论李俊绞尽脑汁如何变化,始终无法突破主动防御。原因也很简单,主动防御是行为杀毒,黑客所使用的免杀手法其实都是换汤不换药,只给病毒换了件衣服而对病毒最本质的行为则保持不便。李俊使用的那些成熟得发俗的病毒行为早就在主动防御的掌控之中,即使李俊晚几天被抓,再出上他一万个熊猫烧香变种,一样还是逃不出如来佛的手掌心。
李俊虽然被抓了,但是李俊把熊猫烧香的源代码卖给了不少人,甚至在网络上就可以随意到熊猫烧香的源代码。然后呢,数不清的小李俊、小浩雨后春笋般站了出来。一个李俊抓了起来,千万个熊猫预备烧香,特征码真的要顶不住了。杀毒软件永远都是必需品,特征码虽然不行了,好在还有主动防御。08年已经是主动防御年了,铺天盖地的主动防御广告也算是一件好事,毕竟主动防御让杀毒软件的防护能力大步提升。熊猫烧香最后烧出了个主动防御年,恐怕李俊也没有想到。