无论是企业还是个人,杀毒软件已经成为了电脑用户不可或缺的应用。虽然市场可观,但由于技术上的限制,很多反病毒厂商都存在不同程度的问题。
积累是主要问题
无疑,反病毒是一个需要高技术积累的行业,不论国内国外,不论评价高低,所有的圈内厂商都受到研发的推动、激励甚至是拖累。这导致了很多厂商在病毒样本的收集、病毒特征分析的技术上差异较大。特别是一些国内厂商起步较晚,这方面与国外先进技术相比仍有差距。
令笔者感受颇深的是,当年国内某杀毒厂商,在产品中集成了自己的引擎和俄罗斯的著名杀毒软件Dr.web引擎,这种双引擎战术的确不错,客观上避免了自己引擎的不成熟。再加上网络推广的成功,获得了良好的效果。
但要指出的是,这种策略无法长久。事实上,后来由于种种原因,该厂商和Dr.web的集成没有继续下去。直到今年,韩国的驱逐舰杀毒也靠着Dr.web的引擎再次进攻我国市场,但前景依旧令人担心。
关于病毒样本的问题,各家厂商的差异就更大了。一些国外的老牌厂商在这方面做得比较好,因为凭借着较为宽广的市场开发领域,收集样本的能力还是比较强的。这点必须给国产厂商指出来,因为反病毒的全球化早已刻不容缓,国外一个新病毒从爆发到传播至我国,最快的仅仅用了四分钟。无疑,反病毒全球化不是普通的市场问题,而是关系着企业未来生存发展的根基。
其实,业内所有的厂商都在病毒库和病毒样本上不断努力,但客观地说,仍旧赶不上病毒爆发的速度。目前的反病毒引擎还是以特征码为主的杀毒形式,据悉,一些样本较弱的厂商,已经在最近的VB100%测试中失利。
根据笔者的调查,为了提高病毒库的丰富程度,很多国际上的新兴杀毒厂商之间采用了交换病毒库的方式。这一点同样体现出了反病毒技术的全球化趋势,一些国内厂商也已经参与其中。据悉,今天Top Ten REVIEWS排名第一的BitDefender病毒库就是采用这种方法,逐步积累到了50多万样本之巨!
引擎之痛
反病毒技术的核心就是各家厂商的杀毒引擎。这有点类似于汽车和飞机的发动机,标志着一个国家相关的技术实力。
无论是国内、国外的杀毒软件,每年推出新版本的时候,都提出自己新版本的杀毒引擎是第N代,技术有多么先进,杀毒能力有多大的进步。但很多情况下,一到具体运用,就发现杀毒能力还是老样子。
比如,有一家知名反病毒厂商的监控一直是用DLL注入的方式,原理和很多病毒木马相同,这导致了监控的时候占用系统资源巨大,脱壳能力也非常糟糕,只能脱掉UPX壳,病毒和木马只要一加其他的壳就没办法对付了,不是查不出就是不停地跳杀。
而当年与Dr.web搞双引擎的那家反病毒厂商,由于受到了俄罗斯风格的影响,其杀毒软件的系统资源占用则很小,杀毒速度也很快。但遗憾的是,它根本没有杀带壳病毒的能力,结果造成了在杀毒的时候跳杀非常厉害。
另一家较为著名的反病毒厂商,由于当初开发的杀毒引擎有独到之处,在监控和杀毒方面都有不错的表现,在杀壳方面除了杀掉UPX和ASPack壳之外,还可以杀一些比较流行的壳。据说其杀毒引擎在一定程度上借鉴了卡巴斯基的引擎,但是杀壳的能力比卡巴斯基就差多了,可是扫描和监控的速度比卡巴斯基强不少。
笔者无意去评论每家公司的引擎之短,但很多情况下,笔者对国内同行们的引擎技术有些担忧。事实上,一些国产的引擎技术现在已经落后于时代的主流。当前国际上杀毒软件的发展非常迅速,虽然有卡巴斯基和BitDefender这样把特征码杀毒几乎做到极致的软件,但是这种杀毒技术已经逐渐日落西山。
相反地,以NOD32、Dr.web、Avira等为代表的启发杀毒已经逐渐成熟,只要启发设置的合理,几乎可以发现所有的未知病毒和变种病毒,这也是 NOD32在病毒库并没有一些国际巨头全的情况下,可以创造43次参加VB 100%测试,而仅仅3次失手的神话的秘密武器之一!
目前在反病毒业界,行为杀毒是新兴起的技术。顾名思义,行为杀毒就是在杀毒软件的监控系统发现威胁行为时就报警并提示杀毒的技术。目前卡巴斯基6.0在一定程度上集成了行为杀毒的能力,这样就大大提高了它对未知威胁的处理能力。
较为遗憾的是,在一些主流杀毒软件的最新版本中,目前这两大新技术都没有使用,所以造成了它们在对付当前互联网时代病毒的时候,处于疲于奔命的状态。哪怕是已经被发现的病毒或木马,只要加一个偏门的壳,或者稍稍变种一下,一些主流杀毒软件就全部放行。而这也正是已经肆虐了半年多的“维金”病毒,还是在国内到处危害的原因(变种不断出现)。
未来的希望
笔者此前分析的都是事实,也许感觉比较沉重,但做技术的同行不应气馁,毕竟勇于迎接挑战才是最重要的。此外,笔者也想谈谈未来的希望。
2007年杀毒软件市场还有不少新的亮点,一些国产反病毒厂商已经勇敢地参与了VB100%的测试。虽然结果并不够理想,但是拿到测试报告后,厂商可以明白和国际顶尖反病毒技术对比,找出自己的差距在什么地方。笔者赞成所有的厂商都来参加测试,这会令技术人员开阔眼界,更有针对性地改进反病毒产品。笔者相信他们的产品在下个版本中会有重要的进步。
另一个值得欣喜的是,一些国产反病毒厂商已经在引擎上取得了一定突破,比如启发杀毒和虚拟机脱壳技术的加入,这是可以极大提升杀毒能力的技术。此外,另一些厂商已经在引擎上集成了HIPS功能,这种主机型IPS技术在去年的NSS报告中曾受到重视,毕竟其在一定程度上接近行为杀毒技术,加强了系统的主动防御能力。
国产的中流砥柱
笔者发现,国产杀毒软件厂商在2006年非常努力,功能虽然和国际一流产品还有些差距,但是按照目前一些发展的趋势,各种先进的杀毒技术在国内被逐渐引进,引擎和病毒库的完善也在和不断的对外交流中逐渐得到提高。
据悉,国内的一些主流杀毒软件正在逐渐形成自己的技术特色,并拥有自己的一些关键技术。要知道,不少国际顶尖杀毒软件都是靠自己的一些特色技术和其他功能的完善来闯荡江湖的。
其实,如果要是真的追求快速发展,目前国产杀毒软件的两大软肋也是可以比较快地解决的。引擎的问题在自己的引擎不断完善的基础上,可以和国外一些著名的杀毒软件谈判,集成他们先进的引擎。
笔者认为,用国内病毒库来和国外著名厂商交换也是一种双赢的选择。病毒库的完善也可以用类似的办法,正如上面所说的,一些新兴地域性厂商就是这样完善自己的病毒库的。
