传统反病毒产品丧钟响起

淡淡体味

传统反病毒产品丧钟响起

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：2691 回复：0

反病毒产品开发人员必需在实验室运行恶意代码，才能找到并建立恶意代码的识别信息（签名）。如果无法运行恶意代码，将发生什么情况呢？

传统反病毒产品的开发者需要以下前提才能顺利开发反病毒产品：

· 能够在实验室运行恶意代码。

· 能够自动对恶意代码进行分析。

如果没有这样的前提，会怎么样呢?

为什么必需要这两个前提?

传统反病毒软件的客户端需要不断将截获的代码与数据库中保存的恶意代码识别标志进行比对，才能发现恶意代码。建立恶意代码识别标志的数据库需要对恶意代码进行分析。如果无法对恶意代码进行分析，无法获取恶意代码的特征，反病毒软件就没有用武之地了。

另一个问题是，如今网络犯罪分子活动猖獗，每天新出现的恶意代码超过5万个。而对恶意代码进行分析是一个劳动密集型的工作，因此反病毒软件厂商将分析流程进行了自动化设计，以便能够提高分析速度，让恶意代码特征数据库保持最新。

如果无法对恶意代码样本进行自动化分析，新出现的恶意代码数量将会迅速让反病毒软件厂商的恶意代码特征库与时代脱节。

坏消息

“我们经过技术测算，如果恶意代码在地下大范围扩散，将会对自动化恶意代码分析带来致命的打击，恶意代码分析将变得毫无效率和实用性。”

以上言论摘自乔治亚理工学院信息安全中心的Chengyu Song和Paul Royal所作的论文。在论文结尾，他们是这样总结的：“Flashback使用被感染系统的独特硬件特征(UUID)作为密钥的方法，意味着恶意代码编造者已经开始通过本文所述的方法保护自身代码了。”

我想大家可能还记得Flashback。它是苹果Mac系统上第一款真正的恶意代码。更重要的是，它使用了具有开创性的加密技术。

德州大学的Daryl Ashley在自己的文章中解释了Flashback 恶意代码是如何利用被感染电脑硬件UUID(Universally Unique Identifier)将其自身部分加密的细节。虽然加密技术并不新，但是将加密技术与特定电脑的特征结合用来模糊或伪装恶意代码，就很新鲜了。