主动防御遇敌必杀!瑞星技术先锋0922期

　　开卷语:趁着天没下雨，先修缮房屋门窗，趁着还没“中招”，先想到一切所想，对于一款好的反病毒产品来讲，能做到这点才能真正获得用户肯定，因为绝大多数病毒，实际上一旦发作，就很难进行有效恢复和彻底查杀，所以，抢先检测，赶在病毒没发作之前，将其“干掉”或“拿下”，才是安全防护的关键所在，而这一技术，它们的专业名称，就是很多厂商一直在热炒的“主动防御”……

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

主动防御遇敌必杀!瑞星技术先锋0922期（ZOL:刘晶晶）

　　在上一期技术先锋《网络陷阱知多少？瑞星技术先锋21期》中，为大家介绍了在不同模式和环境下，我们在上网购物、交易时应该预防的陷阱内容，而在本期栏目中，恰逢瑞星全功能安全软件、杀毒软件、个人防火墙软件的2010版本发布，所以将拿出约5期的篇幅，为您带来2010版本的相关技术知识，包括本期的，新版产品在“主动防御”方面的详细改进。

　　一、何为主动防御？

　　很多朋友，可能不太理解“主动防御”的实际意义，而通俗来讲，其就是全程监视进程的行为，留意系统核心内容的一些变动，一但发现“违规”、比如存在意外举动，就会立即通知用户，或者直接终止进程、阻拦当前程序的联机或运行，防止其出现异变，从而对系统造成破坏。而结合现实角度，这一技术也类似于警察判断潜在罪犯、潜在犯罪行为的技术，一旦发现有某些嫌疑人，存在如“性格孤僻，有暴力倾向，自私自利，对现实不满、经常发表奇怪言论”等征兆，就会对其进行一定程度上关注和警示，当然并非存在异样的行为，都表明其可能会有危险行为，但至少有所防范，避免出现意外。

　　二、主动防御的技术意义（资料来源于网络）：

　　（1)创立动态仿真反病毒检测系统：

　　对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　（2)自动准确判定新病毒：

　　分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。

　　（3)程序行为监控并举：

　　在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。

　　（4)自动提取特征值实现多重防护：

　　在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护