摘要：或者，如果反病毒系統(tǒng)還沒有沒落，那也正走在即將終結(jié)的路上。但僅僅如此還不夠，純粹的技術(shù)對抗在未來勢必難上加難，反病毒技術(shù)及常識的普及對于廠商安全人員才是以柔克剛之策。

無意中看到英國的安全愛好者Graham Sutherland的一篇舊文《The anti-virus age is over》，盡管是一年前所寫，但仍舊可以以“呵呵”的態(tài)度一覽作者之AV觀：

  
就目前我的關(guān)注，我認(rèn)為反病毒系統(tǒng)已然是強(qiáng)弩之末?；蛘撸绻床《鞠到y(tǒng)還沒有沒落，那也正走在即將終結(jié)的路上。
  
  
基于特征碼的分析技術(shù)，包括靜態(tài)分析（比如SHA1、哈希）和啟發(fā)式（比如模式匹配）對于多態(tài)病毒都顯得毫無用處，如果你知道編寫病毒生成器是多么的容易，就明白這是個大問題。當(dāng)從具體的多態(tài)引擎中找到特定的模式時，壞家伙們早已編寫出了新的多態(tài)引擎。當(dāng)你想到絕大多數(shù)瀏覽器腳本語言都具有圖靈完備性，那么很明顯，只需要開發(fā)人員的小小努力，相同的惡意代碼行為便可以通過無限多種手段重寫。行為分析或許可以提供一種低成功率的檢測方式，但是至多也是一種弱標(biāo)志。
  
  
在過去幾年中，我們也看到APT（Advanced Persistent Threat）模式中的攻擊潮。這些威脅有特定的目標(biāo)或?qū)ο?，而非隨處拿軟柿子捏。APT模式下的攻擊涵蓋社會工程學(xué)、自編寫惡意軟件、自發(fā)掘漏洞利用工具及平臺以及未披露的0-day漏洞——反病毒方案確是面臨相當(dāng)棘手的威脅。
  
  
另外一個問題是內(nèi)存駐留惡意軟件。對于AV（anti-virus）廠商來說監(jiān)視程序內(nèi)存非常難，更別說在系統(tǒng)中精確檢測內(nèi)存問題。如果惡意軟件不觸及硬盤，大多數(shù)AV軟件將永遠(yuǎn)也不會發(fā)現(xiàn)它。在趨勢科技高級研究員Robert > McArdle的報告“HTML5-A Whole New Attack > Vector”中，談及用HTML5編寫的駐留在瀏覽器標(biāo)簽頁中的僵尸程序和惡意軟件。假設(shè)瀏覽器不在硬盤上建立緩存，那么可以在不利用瀏覽器漏洞的前提下感染內(nèi)存駐留惡意程序，如此很容易迷惑用戶，并且具有網(wǎng)絡(luò)連接能力。另外一方面，瀏覽器中的任意可執(zhí)行代碼均可以作為杠桿加載可執(zhí)行代碼到進(jìn)程內(nèi)存中。在瀏覽器中或者在系統(tǒng)常規(guī)進(jìn)程內(nèi)存中駐留惡意代碼如此相當(dāng)簡單。此外阻止內(nèi)存頁面交換也是可能的，最終便可以阻止惡意代碼被交換到硬盤存儲中。這對于AV軟件和取證分析來說簡直是夢魘一般！
  
  
如果說惡意軟件攻擊的技術(shù)方面大煞AV軟件的銳氣，那么從經(jīng)濟(jì)層面來說就是AV行業(yè)棺材板的釘子。根據(jù)PayScale的數(shù)據(jù)，印度軟件開發(fā)者的平均年薪是320,000盧比，大約是5700美元。相比之下，惡意軟件分析師或系統(tǒng)安全分析師在扣除保險金、養(yǎng)老金以及其他支出型成本之前的年薪是60,000美元。這意味著，AV公司每雇傭一個分析師，壞家門便可以雇傭10個軟件開發(fā)者。對于同時開發(fā)3到4個惡意軟件來說也相當(dāng)容易。如此便毫無爭議——壞家伙們相比之下可以用相對少的成本雇傭更多人為他們工作，而且他們不需要顧及雇傭標(biāo)準(zhǔn)和職業(yè)操守。結(jié)果是壞家伙們可以比AV公司分析師們更快、更有效、更顯著地創(chuàng)造和更新惡意軟件。
  
  
不要誤會，AV行業(yè)在信息安全世界中仍有一席之地——沒有它，系統(tǒng)管理員就不得不處理由腳本小子編寫的如洪水般的惡意代碼，但是，AV軟件已不是抵御大多數(shù)基本攻擊的利器。

Graham所說并非毫無準(zhǔn)備，上文是他研究了眾多AV引擎之后所寫。時至今日，盡管Graham對于上文中的內(nèi)容略有改觀，比如印度軟件開發(fā)人員不再是那么便宜，但其仍然認(rèn)為：AV產(chǎn)業(yè)正面臨窘境！之所以這樣說，是因?yàn)椋?/p>

對于平散列（flat hash）甚至CRC32的嚴(yán)重依賴來保持AV性能導(dǎo)致修改一個字節(jié)即可達(dá)到免殺效果。

在模糊哈希方面沒有真正的建樹。

I/O訪問優(yōu)化的止步不前。

對操作系統(tǒng)的不良修改，比如非ASLR動態(tài)文件被注入到進(jìn)程。

反內(nèi)核緩沖區(qū)溢出/堆噴射機(jī)制不再有效。

在文件、進(jìn)程、系統(tǒng)對象等等方面ACL的應(yīng)用貧乏。

脆弱而又易被攻擊的組件。

對于敏感數(shù)據(jù)的低效加密方式，比如：512位的RSA加密。

松散的QA管理，比如曾經(jīng)有篇文章名為《AV detescts itself as
malware,screws everyone"s boxes》。

相當(dāng)、相當(dāng)、相當(dāng)糟糕的用戶界面。

在白名單機(jī)制和“known good”列表上沒有實(shí)際的創(chuàng)新。

?Graham言下之意，是在新型安全威脅形勢下，AV廠商所面對的是新老問題共存，對AV抱有的是極其悲觀的態(tài)度。如果這僅是一家之言，不妨看看2007年高德納公司研究主管Anton Chuvakin的發(fā)現(xiàn)：

假設(shè)有人參與在一所美國著名的公共大學(xué)的受感染計(jì)算機(jī)上提取病毒樣本，并將這些樣本提交給VirusTotal，通過當(dāng)時主流殺毒軟件或類產(chǎn)品做檢測，猜猜檢測率有多高（比如一款病毒樣本被檢測、定義為惡意軟件）？
有以下答案供選擇：

100%

94%

90%

70%

50%

33%

22%

14%

2%

其他？

?答案是33%，所有AV產(chǎn)品中最高檢測率為50%，最低檢測率僅有2%。令人印象深刻且難以置信的是，你花錢買來（免費(fèi)下載）的殺毒軟件可能只有2%的效果，對于大多數(shù)惡意軟件可能根本無能為力！

有一臺Windows XP SP2系統(tǒng)的電腦，系統(tǒng)補(bǔ)丁已更新至最新，并采取以下措施保護(hù)該系統(tǒng)：

賽門鐵克企業(yè)版10.X反病毒軟件，并開啟所有保護(hù)措施，包括間諜程序/廣告程序檢測功能。

Windows Defentder 1.0版本，并設(shè)置每天更新且掃描，以及開啟所有保護(hù)功能。

ZoneAlarm 6.X免費(fèi)版防火墻，并配置了良好的出站策略，以及禁止了所有入站連接。

此外，該系統(tǒng)刪除了所有可能遭受攻擊和感染的Windows自帶協(xié)議（比如NetBIOS），停止了許多無關(guān)服務(wù)，配置IE瀏覽器禁用注入ActiveX等風(fēng)險項(xiàng)。

一天，這臺電腦的用戶發(fā)現(xiàn)ZoneAlarm報警有一系列企圖對外連接的請求，出于某種警惕性，這名用戶點(diǎn)擊ZoneAlarm彈出框上的“拒絕”按鈕，卻發(fā)現(xiàn)“拒絕”按鈕是灰色狀態(tài)，無法點(diǎn)擊。隨后這名IT人員Google了發(fā)起網(wǎng)絡(luò)連接的程序名：uvcx.exe，但仍不得不關(guān)閉了這臺電腦，直到Anton博士介入調(diào)查此事……

是的，Anton正是上面那個問題的參與者，由此他推論：多年來有不少安全產(chǎn)品一直在糊弄大眾，“主流”AV產(chǎn)品已死！

筆者也有類似遭遇，多年前筆者電腦遭受某種木馬下載者感染，本企圖借助殺毒軟件清除病毒，卻在先后試用國產(chǎn)兩款反病毒產(chǎn)品后以查無病毒告終，不得已還是以手動清除解決。但筆者遠(yuǎn)不如Graham和Anton博士那樣對AV產(chǎn)業(yè)悲觀，相反，在未來信息安全發(fā)展中AV產(chǎn)業(yè)及企業(yè)需要做適應(yīng)性轉(zhuǎn)型，且任重而道遠(yuǎn)！

計(jì)算機(jī)病毒從上世紀(jì)80年代中期發(fā)展至今，經(jīng)歷了惡作劇、報復(fù)心理、經(jīng)濟(jì)驅(qū)使以及當(dāng)下的政治因素誘導(dǎo)，制作技術(shù)愈加純熟，特別是在互聯(lián)網(wǎng)時代病毒制作技術(shù)已變地成本愈加低下。由此參與病毒編寫的人群不會減少，反而會越來越多，有需求便會有產(chǎn)業(yè)，這絕非是計(jì)算印度開發(fā)人員收入和反病毒工程師收入可以衡量趨勢的，好奇心、報復(fù)性、金錢誘惑、使命所為均會成為參與病毒編寫的驅(qū)使因素，想想?yún)⑴c黑產(chǎn)所獲得暴利吧！

多態(tài)病毒早在20多年前便已誕生，如今也早已不是什么新鮮話題，只是傳統(tǒng)的特征碼和啟發(fā)式技術(shù)對于此類病毒顯得捉襟見肘罷了！反病毒產(chǎn)品的功能主要有三部分：阻止、檢測、響應(yīng)，而如今主動防御也早已興起多年，沙盒技術(shù)也已逐漸在各大軟件廠商的產(chǎn)品（比如微軟Office 2012）中應(yīng)用，通過加密/解密變形的多態(tài)病毒的防御（虛擬機(jī)技術(shù)）也已不是問題。因此僅僅因?yàn)槎鄳B(tài)病毒的發(fā)展來否定AV的重要性是片面的。

AV產(chǎn)業(yè)真正面臨的困難，是病毒多平臺、多渠道、多技術(shù)的發(fā)展，比如移動設(shè)備、藍(lán)牙傳輸、與木馬技術(shù)混合，看似四面楚歌之勢，也是對于AV廠商的重大考驗(yàn)：既要應(yīng)對多態(tài)、rookit等，亦要應(yīng)對早已老掉牙的bat、vbs編寫的病毒（《伊朗：重新回到.bat病毒時代》），如此便有不同技術(shù)/平臺優(yōu)勢的AV廠商的出現(xiàn)以及不同AV引擎的結(jié)合，比如致力于智能手機(jī)病毒的Lookout公司、結(jié)合小紅傘和BitDefentder殺毒引擎的360安全衛(wèi)士。

在病毒數(shù)量不斷增長的趨勢下以及傳統(tǒng)特征碼存儲的尷尬境遇下，云查殺順勢而出，國內(nèi)某安全公司的安全產(chǎn)品甚至采取“非白即黑”的查殺策略。

而如今APT攻擊已然成常態(tài)，各類自編寫的特定惡意軟件則依然必須由AV廠商應(yīng)對及披露，盡管在阻止方面似乎仍然無能為力，正如筆者在《兵臨城下——信息安全的新挑戰(zhàn)》中所寫，震網(wǎng)、火焰病毒均是由AV廠商發(fā)現(xiàn)并公之于眾的。但僅僅如此還不夠，純粹的技術(shù)對抗在未來勢必難上加難，反病毒技術(shù)及常識的普及對于AV廠商、安全人員才是以柔克剛之策。以筆者所見聞，倘若普通民眾能夠在個人電腦、電子設(shè)備操作上養(yǎng)成良好習(xí)慣（比如甚訪問可疑網(wǎng)頁、注意軟件安裝所附帶插件/程序），并助以選擇合適且安全的軟件產(chǎn)品（比如甚用IE瀏覽器）以及安全產(chǎn)品，足以大大減少個人遭受惡意軟件侵害的可能性，比如筆者家中父母所用電腦便因隨意安裝各類軟件、插件而遭受木馬攻擊而不自知。

事實(shí)上，不僅AV產(chǎn)業(yè)，整個安全行業(yè)的趨勢中，人員的因素顯得愈加重要，所謂7分管理3分技術(shù)，安全更是如此：7分意識3分技術(shù)。因此，合作方能共贏是安全廠商發(fā)展之趨勢，安全意識培養(yǎng)方為個人信息之保障！

就在本文寫完后的第二天，筆者在網(wǎng)上看到，ESET公司（NOD32反病毒軟件和ESET智能安全產(chǎn)品所屬公司）市場和營銷專員Ignacio Sbampato對于AV行業(yè)所面臨挑戰(zhàn)的評論，他認(rèn)為：在商業(yè)層面上的挑戰(zhàn)來自于基于云計(jì)算的服務(wù)、社交網(wǎng)絡(luò)（AV產(chǎn)品無法觸及）以及免費(fèi)經(jīng)濟(jì)時代的軟件，此外還有智能手機(jī)應(yīng)用發(fā)展所帶來的挑戰(zhàn)，這不同于傳統(tǒng)的反病毒領(lǐng)域，在用戶行為層面上的挑戰(zhàn)來自于盜版軟件使用，這不僅影響AV廠商，也影響AV的保護(hù)層面和程度，比如盜版的Windows系統(tǒng)安裝盤很可能被植入有病毒程序。

via idf