《PC技术发展到今天,杀软与防火墙的重要性已无须多言,现分而析之,谈谈其各自的缺陷》由会员分享,可在线阅读,更多相关《PC技术发展到今天,杀软与防火墙的重要性已无须多言,现分而析之,谈谈其各自的缺陷(2页珍藏版)》请在装配图网上搜索。
1、PC 技术发展到今天,杀软与防火墙的重要性已无须多言,现分而析之,谈谈其各自的缺陷。 先说杀毒软件,就目前来看,各类杀毒软件均以“特征码判断”为主要依据来判断一个文件是否病毒而辅 之以“虚拟机技术”进行行为判断,但由于虚拟机技术往往会占用大量系统资源,因此为了寻求安全和性 能的平衡,杀毒软件主要还是采用特征码技术来扫描病毒,总体上说存在一定的滞后效应。以 NOD32 、 VBA32 为代表的启发式技术实际上是虚拟机技术的简化版,本质上属于传统病毒解决方案的折衷,而从实 际使用的情况来看存在一定的误判误杀,这一点往往需要事后进行修补,呈现出一定的滞后性。因此光凭 一款杀软来维持系统的安全可以说风
2、险依旧很大。 再来说说网络防火墙。传统的规则型防火墙通过默认规则用户自定义规则(基于默认规则)来完成对网 络的监控。默认规则一般分成全局规则和程序规则,全局规则还可进一步细分成不同的全局子规则。全局 规则一般是一些背景型的设定,比方说 NETBIOS 限制啊、 ICMP Style 限制啊等等;程序规则则是对申请 网络连接的程序进行端口、 协议的限定, 以保证这些程序在访问互联网时本机的安全性。 随着技术的发展, 越来越多的防火墙穿透技术出现在世人面前,其中就包括著名的线程注入技术。应用这一技术可以将某些 执行代码插入到安全线程中去,从而通过防火墙的程序监控实现瞒天过海的阴暗目的。事实上,防火
3、墙测 试中的 LEAK TEST 就利用了线程注入技术。虽然当前包括 AGNITUM (OUTPOST )在内的众多防火墙生 产商都已经在自己的产品中加入了线程监控功能, 但在更高版本的 LEAKTEST 面前, 这一功能便显得过于 简陋了。 综上所说,除了适合自己的杀软与防火墙之外,我们还需要选择一些安全辅助软件,他们能够在不给系统 增加过多负担的基础上带来更大的安全性。这些安全辅软通常具有以下一些功能: 文件保护。不管病毒代码、流氓技术怎么变,其中总还是有一些规律可循的。比方说病毒通常喜欢将与自 身功能相关联的动态链接库文件存放到 ROOT:System32 文件夹下。假设我们可以对这一文
4、件夹进行监控, 那么病毒的鬼祟行径不就大白天下了吗? 线程监控。某些病毒会以隐蔽的方式在后台被激发并运行,比方说利用文件捆绑机将一段病毒代码和一段 日用程序代码捆绑到一起,用户在运行日用程序时便会不自觉的激活病毒代码怎么办?线程监控可以 解决这个难题,不管病毒是通过何种方式被激活的,只要它一被激活,相关的线程信息便会被线程监控软 件捕获呈现在您的面前,而您只需要点击 BLOCK 中止可以线程的运行即可避免染毒。 注册表监控。注册表是操作系统的心脏,包括随机启动在内的众多功能只需往注册表中添加几个键值便可 轻松做到,故此凡是病毒没有不想通过入侵心脏这一最直接的方法来完成其胡作非为使命的,这益发体
5、现 出注册表监控的至关重要。 聊了这么久,到底有哪些安全辅助软件可供我们选择呢? PG (ProcessGuard)。傻瓜型线程监控软件,简单易用,它能够保护 Windows 进程免受其它进程,服务,驱 动程序,以及系统上的其它形式的可执行代码的攻击。除此之外, PG 能够停止未被用户许可的程序运行, 停止在后台静静运行的恶意蠕虫和 trojans,也包括许多其它攻击,甚至还可以停止击键记录程序和 leak. 最新版本: 3.30Beta4 SSM( System Safety Monitor)SSM 基本上可以视为 PG 的加强版,尽管在使用上 SSM 要比 PG 复杂不少。 除了对访问物理
6、内存、线程注入这类的底层活动进行监控之外, SSM 还能够监控可执行代码对注册表重要 键值的修改,因此也算得上是个多面手了。最新版本:不想说了,更新太勤,俺怕话一出口又出新版本啦! GSS( Ghost Security Suite )。包含 RD ( Regdefend 注册表监控)和 AD ( AppDefend 线程监控)两大模块。 RD 可以监控任何针对注册表所进行的操作, 包括键值的添加、 更改和删除; AD 则可以对目标程序的执行、 网络连接、线程修改等多种行为展开监控并采取相应的操作。最新版本: 1.110beta 版。 WINPOOCH 。可以监控文件、 注册表的读取写入, 监
7、控网络连接, 使用带的规则后, 连灰鸽子也无法感染。 它可以根据用户制定的规则对系统进行监控,控制文件的读,写及执行,监控注册表项,键的添加及键值 的修改,监视网络连接等等;和其它同类软件比较: winpooch 的设置比 system safety moniter(SSM) 要简单, 而且更具有人性化,比 Winpatrol 的反应速度要快,更适合实时监控,而且 winpooch 还具有同类软件所欠 缺的网络连接控制功能最新版本: 0.5.10 当然除了上述几位朋友之外, 安全辅助软件这个大家族还有很多其他的成员, 比如 Winpatrol 、AntiHook 等 等,称得上是人丁兴旺了。在
8、这里限于篇幅不再一一累述,以免打击大家阅读的积极性。感兴趣的朋友可 以自行去了解,也欢迎你们和我一起展开讨论。 最后不能不提到的是,随着安全技术的发展,越来越多的杀软及防火墙已经突破传统概念的范畴将文件保 护、线程监控及注册表监控这一类的功能集成到自身上来, 如 Mcafee 企业版集成了文件保护功能, 最新的 KAV6.0 集成了注册表监控,而 Tiny这款全功能防火墙更是做到了集各类安全技术之大成! 诸位可以根 据自己的需要灵活选择和补充,谨记一句话即可:只选对的,不选贵的,适合自个儿的,就是最好的! For personal use only in study and research; not for commercial use
PC技术发展到今天,杀软与防火墙的重要性已无须多言,现分而析之,谈谈其各自的缺陷
