主动防御 让新的未知病毒现原形

    二、主动防御  让新的未知病毒现原形

    我们知道，病毒和安全软件的关系总是先出现一种病毒，然后杀毒厂商根据这种病毒的特征加入病毒库之中来或写出程序来查杀病毒。在病毒产生并传播开到有相应的杀毒软件可杀是有一段时间的，因此传统的杀毒软件有一个“滞后性”这一弱点。也就是说，当反病毒厂商截获新病毒的时候，已经有部分用户被病毒侵害。

    因此，主动防御成了今年安全领域最热点的一个话题。主动防御是一种分析程序的行为特征、阻止恶意程序执行的技术。在这次新版的瑞星杀毒2008中，主动防御使其一大特色。

瑞星杀毒2008主动防御构架

    瑞星杀毒软件2008中采用的主动防御技术包含三个层次：

    第一层：资源访问控制层（即HIPS）

    它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的。

    第二层：资源访问扫描层（即传统的文件监控、邮件监控等）

    通过监控对一些资源，如文件、引导区、邮件、脚本的访问，并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。

    第三层：进程活动行为判定层（危险行为判定、DNA识别）

    进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。瑞星经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。无需用户参与，该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。

    主动防御的技术看上去似乎显得“复杂”，但是我们在瑞星杀毒软件2008使用中，还是比较简单直观的。

主动防御

    在默认状态下，瑞星2008都为用户设定好了主动防御的规则，我们不需要进行设置就可以拦截掉大部分的威胁。在应用程序保护中，我们可以对特定程序进行保护，免受病毒侵害。

应用程序保护

    可以说，瑞星2008的主动防御技术做的还是比较全面的，不但能够检测出恶意程序，还可以对恶意行为进行阻止。不仅功能强大，而且设置简单。