尼古拉斯·凱奇叔叔最新大片《先知》里面描述,一張50年前寫滿數字的紙片,經過解密后,所隱含的預言正在逐漸成為事實,事件的時間地點和受災人數都被悉數記錄在50年前這張紙片。于是,凱奇叔叔想盡辦法想去幫助大家避免接下來兩天將要發生的災難……雖然此片被譽為凱奇叔叔史上最爛的特技片,精湛的演技彌補不了劇本創作的硬傷,主角好不容易在一扇50年前的破門上解出來的終極密碼,卻沒有發揮任何作用,大概導演的本意是告訴群眾:未來可以被預知,但是無法改變。
春晚過后,解放區的天被兩片“祥云”地毯式籠罩著,一片是英文名為小損樣,中文名為小沈陽的轉王,另一片便是發型凌亂眼神魅惑的劉謙。對于祥云小沈陽,咱不多嘮叨,郭德綱講話:“好多人家里媳婦兒都跟著七八個人好著呢,他還有心思去關心小沈陽低俗不低俗?” 祥云劉謙同學高調扮先知,并從初一預言到十五,從中央預言到地方,從華爾街預言到主婦生活,先知還是魔術,劉謙用自己的巧手挑戰人民的智商。
凱奇大叔的“先知”是科幻,劉謙同學的“先知”是魔術,那么在安全防護軟件領域類似于暢游巡警這類的網頁防護軟件所謂的未知檢測到底是不是“先知先覺”呢?
對比傳統殺毒軟件,傳統殺毒軟件針對掛馬腳本都是基于病毒庫的匹配,檢測效率低,同時對更多的有害鏈接無法有效檢測。傳統殺毒軟件在匹配時有兩種做法:
一種是在瀏覽器瀏覽網頁時,IE會將網頁中的數據下載到本地磁盤的IE緩存目錄。殺毒軟件的監控驅動在文件下載完成時進行掃描。這是基于文件的掃描,大部分殺毒軟件都是這種方式。這樣在清除掛馬網頁時就是刪除了這個有害文件,但一部分殺毒軟件的監控處理不好,引擎處理速度有延遲,結果有可能造成雖然最后查出來掛馬腳本,但腳本已經被IE激活運行了,所以有用戶往往會發現,報出來有掛馬了,但同時也中招了,系統中被感染了木馬。
一種是個別殺毒軟件會過濾網絡SPI鏈中的數據包,對其中的代碼進行掃描,是基于數據包級別的掃描。這種檢測方式因為特征提取較難的原因,檢出率要低于上面的文件掃描,優點是可以比較早的報警。
傳統殺毒軟件基于病毒庫特征進行惡意網站匹配,但實際上目前掛馬呈現多種形式,對掛馬網頁都采用了各種加密方式,連專業人士解密網馬都存在一定的困難,因此在我們的統計中,傳統殺毒軟件對掛馬網頁檢測能力均十分有限。尤其是一些不具備腳本脫殼/解密能力的引擎。大部分殺毒軟件都對加密的掛馬網頁進行直接提取特征,對于數萬惡意鏈接,數百種加密變形腳本的測試中,傳統殺毒檢出率偏低,并且存在大量誤報。
暢游巡警是基于高級腳本分析引擎,該引擎大量采用成功的虛擬機脫殼引擎技術思想對腳本進行動態分析,檢測掛馬腳本,檢出率比傳統檢測方式高出幾倍。暢游巡警是在IE進行網頁瀏覽時,當IE接受到數據正在形成實體的文件之前,在這個過程中暢游巡警實時進行過濾查毒。是基于數據流的檢測,在流級別上實時過濾惡意代碼。流級別檢測的優點是報警較早,清除木馬時也不需要刪除文件,只對木馬腳本的數據流進行清除,這樣掛馬腳本根本沒有機會形成文件實體,也沒有機會被IE解釋執行。
所以,使用了暢游巡警后,就會發現,許多傳統殺毒軟件還沒查出來的惡意腳本,暢游就開始報警了。正因為如此,我們使用暢游成功發現多個未公開的0day漏洞。
解密完畢,凱奇的“先知”源于編劇的天馬行空,劉謙的“先知”源于夜以繼日的刻苦練習,暢游巡警的“先知”源于技術的積累和設計的前瞻。
共有條評論
