主动防御遇敌必杀!瑞星技术先锋0922期

　　开卷语:趁着天没下雨，先修缮房屋门窗，趁着还没“中招”，先想到一切所想，对于一款好的反病毒产品来讲，能做到这点才能真正获得用户肯定，因为绝大多数病毒，实际上一旦发作，就很难进行有效恢复和彻底查杀，所以，抢先检测，赶在病毒没发作之前，将其“干掉”或“拿下”，才是安全防护的关键所在，而这一技术，它们的专业名称，就是很多厂商一直在热炒的“主动防御”……

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

主动防御遇敌必杀!瑞星技术先锋0922期（ZOL:刘晶晶）

　　在上一期技术先锋《网络陷阱知多少？瑞星技术先锋21期》中，为大家介绍了在不同模式和环境下，我们在上网购物、交易时应该预防的陷阱内容，而在本期栏目中，恰逢瑞星全功能安全软件、杀毒软件、个人防火墙软件的2010版本发布，所以将拿出约5期的篇幅，为您带来2010版本的相关技术知识，包括本期的，新版产品在“主动防御”方面的详细改进。

　　一、何为主动防御？

　　很多朋友，可能不太理解“主动防御”的实际意义，而通俗来讲，其就是全程监视进程的行为，留意系统核心内容的一些变动，一但发现“违规”、比如存在意外举动，就会立即通知用户，或者直接终止进程、阻拦当前程序的联机或运行，防止其出现异变，从而对系统造成破坏。而结合现实角度，这一技术也类似于警察判断潜在罪犯、潜在犯罪行为的技术，一旦发现有某些嫌疑人，存在如“性格孤僻，有暴力倾向，自私自利，对现实不满、经常发表奇怪言论”等征兆，就会对其进行一定程度上关注和警示，当然并非存在异样的行为，都表明其可能会有危险行为，但至少有所防范，避免出现意外。

　　二、主动防御的技术意义（资料来源于网络）：

　　（1)创立动态仿真反病毒检测系统：

　　对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。

　　（2)自动准确判定新病毒：

　　分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。

　　（3)程序行为监控并举：

　　在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。

　　（4)自动提取特征值实现多重防护：

　　在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护

　　三、智能防护的效果和益处

　　对于各类威胁行为的抢先判断，使得我们可以有效避免病毒的后续发作，而通过哪些方法，可以对威胁程序进行智能判断，又借助哪些模块，能够实现未雨绸缪呢？或者说，当大家都在热炒主动防御时，具备了哪些技术，才可以真正成为具备了这一功能的优秀产品呢？下面，笔者便为大家介绍主动防御体系组成，以及其实际带来的效果和益处。

　　“主动防御”主要包括两个方面。一是在未知病毒和未知程序方面，通过先进的“行为判断”技术，提供“危险行为监控”、“行为自动分析和诊断”等检测和监控服务。这些技术可以从动态和静态两个角度来判定程序的行为特征，识别大量暂未被截获的未知病毒和变种。同时除识别未知病毒和变种之外，强化了系统漏洞管理模块，包括对于零日漏洞的攻击防护等等。使得在相应的病毒乃至攻击代码出现或即将大规模爆发之前，就成功丰富了其的传播和攻击渠道。二是先进的智能分析系统，将对漏洞攻击行为进行监测，防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的植入等等。

具备主动防御的功能的安全软件，可以提前判断病毒威胁

基于主动防御技术的产品，可对木马行为作出准确判断

　　而真正具备此功能的软件产品，则切实具备了对于病毒的提前判断和前线预知功能，这样，及时您在不知情的模式下，有木马试图在后台进行运作，那么包括瑞星全功能安全软件在内的产品，也会第一时间做出预警提示，提示您有行为试图执行联机等操作，方便您进行判断和做出决策。

　　四、瑞星主动防御的相关模块

　　作为最受用户喜爱的安全产品，瑞星系列安全软件同样具备领先的“主动防御”技术，可以轻松实现快速判别和智能决断，其中包括木马行为的级别判定等选项，方便我们根据自己的实际需要，或是选择最高等级，享受最大限度的安全保护（但会一定程度上占用资源信息）、或是选择推荐模式，利用瑞星强大的启发式检测技术，轻松完成对木马威胁的判定。另外木马入侵拦截选项，还为用户提供了包括针对高级、中级用户等不同的解决和处理方案，方便我们进行快速切换。

瑞星全功能安全软件2010版“木马防御”选项

瑞星全功能安全软件2010版“木马入侵拦截”选项

　　同时，瑞星还具备有其出色的“系统加固”模式，使得我们可以充分根据自己的实际需要，进行个性定制，包括定制规则类型，选择安全访问的信息，设置相关设备的访问控制选项，已经对系统文件的保护措施等等，当然这需要您对相关模式有所了解，以更好的对软件功能进行定制。

瑞星全功能安全软件2010版“系统加固”选项

　　借助上述实用功能，我们就可以在安装瑞星软件后，真正置于瑞星系列产品的全面保护之下，切实保护系统安全，实现全方位的安全保护，下面则是一组上周的威胁提醒和下周的安全播报信息。

　　据瑞星“云安全”系统统计，本周瑞星共截获了200万个挂马网址。本周挂马网站主要针对金融、健康等网站。“四川新闻网”、“37度医学网”、“中华语文网”、“中国金融网”、“飞华健康网”的部分页面被黑客挂马。

　　重型病毒来袭“QQ尾巴综合蠕虫”轰炸好友和同事

　　据瑞星“云安全”系统统计，本周瑞星共截获了200万个挂马网址。本周挂马网站主要针对金融、健康等网站。本周瑞星截获了一个综合性蠕虫病毒“QQ尾巴综合蠕虫”，该病毒具有QQ尾巴、蠕虫下载器等病毒的综合能力，发送伪装成艳照的病毒文件攻击用户。

安装瑞星全功能安全软件可有效防范网络攻击

　　本周关注的被挂马网站：

　　“四川新闻网”、“37度医学网”、“中华语文网”、“中国金融网”、“飞华健康网”的部分页面被黑客挂马。黑客利用微软最新视频漏洞和服务器不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

　　本周关注病毒：

　　“QQ尾巴综合蠕虫（Worm.Win32.Agent.awk）”警惕程度★★★★

　　这是一个蠕虫病毒，中毒后具有“QQ尾巴”病毒特征，像好友发送病毒文件将并文件名伪装为“张柏芝最新靓照”引诱用户打开。利用MS08-067漏洞，向同网段的电脑发送病毒。并连接黑客服务器读取最新信息，随时对传播的病毒进行更新；而且还会更改用户浏览器首页，并根据黑客服务器上的信息对要修改的主页网址进行随时更新。

　　防范方法：

　　1、使用“瑞星全功能安全软件2009”，有效阻挡通过网页挂马方式传播的病毒，用户可以升级到最新的21.62版；

　　2、安装卡卡上网安全助手6.0自动修复漏洞；

　　3、同时可拨打反病毒急救电话010-82678800或登录http://help.rising.com.cn使用在线专家门诊免费寻求帮助。

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，为大家介绍了主动防御的相关知识，同时诶大家介绍了瑞星系列安全产品在这些方面的优势所在。作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。