病毒攻擊已確實成為IT安全的頭號威脅廣告行銷應用。它們不僅導致經濟損失，更帶來其他種種的安全威脅，例如機密資訊盜竊與針對敏感性資料的未授權存取。因為這些威脅，反病毒業界推出許多新方法，用以保護IT基礎建設--舉少數為例，包括主動防御技術、疫情爆發時的緊急更新、更加頻繁的反病毒資料庫更新等。本文屬于一系列文章中首先公布者，將就反病毒公司所采用的最新技術提供更進一步的資訊，并幫助使用者更客觀地判斷這些技術的有效程度。在本文章中，我們將專注于主動防御技術。

　　 病毒攻擊造成巨大的損失，與此具備相同嚴重性的，則是惡意程序碼的種類與數量正加速增長廣告行銷應用。在200*年，惡意程序數量呈現爆炸性的成長：據卡巴斯基實驗室統計，截至該年底為止，每月檢測到的平均病毒數量已達****種。與上一年度的9*%比較起來，年度整體上漲率高達117%。

　　 同樣的，威脅本身的本質業已改變廣告行銷應用。惡意程序不但變得更多，也變得比以前更加危險。為回應此種挑戰，反病毒業界采用一系列的新方法，包括主動防御技術，更快速的回應可能爆發疫情的新威脅，以及更加頻繁的更新反病毒數據庫。本文提供主動防御的詳細分析，主動防御常被廠商稱為對抗所有現存的、甚至是未來病毒的萬靈丹。

　　主動防御技術概論

　　 當代反病毒產品使用兩種主要方法檢測惡意程序碼--以病毒碼為基準的分析，與主動防御/探索式分析廣告行銷應用。第一種方法相當簡單，將使用者電腦上的物件與已知病毒的范本（例如病毒碼）作比較。此種技術牽涉到新型惡意程序的持續追蹤，并根據其性質建檔，包含于病毒碼資料庫中。因此，反病毒公司應擁有追蹤及分析惡意程序碼的有效服務（亦即反病毒實驗室）。評估病毒碼方法有效程度的主要標準，包括新威脅的回應時間、更新頻率及檢測率。

　　 以病毒碼為基準的方法有幾項明顯的缺點廣告行銷應用。主要的缺點就是在應對新威脅上會出現延遲。病毒的出現與病毒碼釋出之間，必定存在有延遲時間。而當代的病毒可以在非常短的時間內感染數百萬臺電腦。

　　 因此，主動防御/探索式的病毒檢測方法逐漸普及廣告行銷應用。主動防御方法不需要釋出病毒碼。相對的，反病毒程序會分析掃描到的物件程序碼，及/或啟動的應用程序行為，并根據預先設定的規則，判定軟件是否為惡意軟件。

　　 理論上，此種技術可用于檢測未知的惡意程序，因此許多反病毒軟件開發者爭先恐后的宣傳主動防御方法是對付新型惡意軟件的萬靈丹廣告行銷應用。但事實不然。如果要評估主動防御方法的有效程度，以及其是否可獨立于以病毒碼為基準的方法之外單獨使用，我們必須先了解主動防御技術所根據的原理。

　　 主動防御可通過數種方法達成廣告行銷應用。在此我們將探討其中兩種最普遍的方式：啟發式分析器與行為攔截工具。

　　啟發式分析

　　 啟發式分析器是分析物件程式碼的程序，使用間接方式判定物件是否具有惡意廣告行銷應用。不同于以病毒碼為基準的方法，啟發式分析器可以檢測出已知和未知的病毒（亦即在啟發式分析器寫成之后才問世的病毒）。

　　 分析器通常會先由掃描式碼開始，尋找具備惡意程序特征的可疑屬性（命令）廣告行銷應用。此方法稱為靜態分析。舉例說明，許多惡意程序會搜尋執行檔，然后開啟找到的檔案并加以修改，啟發式分析器檢視應用程序之程序碼，并在找到可疑命令時增加該應用程序的可疑指數。若檢查完全部程序碼后的指數值超過預設的標準，該物件即歸類為可疑物件。

　　 此方法的優勢包括便于實施，以及具備高效能廣告行銷應用。然而，此方法對新型惡意程序碼的檢測率較低，而誤判率也較高。

　　 因此，在目前的方病毒程序中，靜態分析會與動態分析并用廣告行銷應用。此種綜合型方法背后的概念，是讓應用程序實際在使用者電腦上執行前，先在安全的虛擬環境（又稱模擬緩沖區或“沙磐”中進行模擬。在廠商的行銷資料中，亦稱作“虛擬PC模擬”。

　　 動態啟發式分析器會將應用程序的程序碼部分復制到反病毒程序的模擬緩沖區中，并使用特別的“技巧”模擬其執行廣告行銷應用。若在此“模擬執行”中檢測到可疑的動作，該物件將歸類為惡意物件，且該物件在電腦上執行時將遭封鎖。

　　 由于以動態方法為基準的分析須使用受到保護的虛擬環境，此方法因此比靜態方法需要更多的系統資源，而應用程序在電腦上執行時，也將因為完成分析所需的時間量而造成若干延遲廣告行銷應用。然而，比起靜態方法，動態方法提供較高的惡意軟件檢測率，誤判率也比較低。

　　 反病毒產品使用啟發式分析器已有相當的歷史，因此，目前所有反病毒解決方案所采用的啟發式分析器，或多或少都是為進階的版本廣告行銷應用。

　　行為攔截工具

　　 行為攔截工具是在應用程序執行時分析其行為，并封鎖任何危險活動的程序廣告行銷應用。不同于在模擬模式中追蹤可疑動作的（動態）啟發式分析器，行為攔截工具乃是在實際的環境中運作。

　　 第一代行為攔截工具并不太成熟廣告行銷應用。每當檢測到潛在危險的動作時，使用者便收到提示，詢問是否封鎖該動作。雖然此種方法在許多場合中有效，但正常的程序有時也會執行“可疑”的動作（包括作業系統本身），而未必熟悉此類過程的使用者，常無法理解系統的提示。

　　 新一代的行為攔截工具分析的對象是一連串的作業，而非個別的動作，這代表在判定應用程序行為是否具危險性時，根據的是更加純熟的分析廣告行銷應用。如此有助于大幅減少系統提示的出現次數，并增加檢測惡意軟件的可靠度。

　　 如今的行為攔截工具可監控系統中各式各樣的事件廣告行銷應用。其主要目的在于控制危險的活動--亦即分析所有執行于系統中的處理程序行為，并將所有對檔案系統與登錄檔作出變更行為資訊儲存。若應用程序執行危險的動作，使用者會收到警示，指出處理程序帶有的危險性。封鎖工具亦可攔截任何企圖將程序碼注入其他處理程序的行為。此外，封鎖工具可檢測到Rootkit--此種程序會隱藏惡意程序碼對檔案、資料夾與注冊機碼的存取，并導致使用者無法發現程序、系統、服務、驅動程序與網絡連線。

　　 行為攔截工具另一項特別值得一提的功能，便是其控制應用程序與MicrosoftWindows系統登錄檔完整性的能力廣告行銷應用。就后者而言，封鎖工具會監控針對注冊機碼所進行的變更，并可定義不同應用程序對注冊機碼的存取權限規則。因此便可在檢測到系統中危險的活動，或甚至當未知的程序執行惡意活動后，恢復變更，借以還原系統至感染前的狀態。

　　 不同于現代反病毒程序普遍使用的啟發式分析器，行為攔截工具較為少見廣告行銷應用。包括于卡巴斯基實驗室產品中的Proactive Defense Module（主動防御模塊）便是有效的新時代行為攔截工具之其中一例。

　　 該模組包含上述所有功能，以及同樣重要的，一套便利的系統，可通知使用者任何與檢測到的可疑動作有關的危險性廣告行銷應用。任何行為封鎖器都需要使用者某種程度的輸入，因此使用者也必須具備相當之能力。實際上，使用者通常不具所需之知識，因此資訊支援（實際說來，應是決策支援）是任何當代反病毒解決方案皆不可或缺的一部分。

　　 總結上述的討論，行為攔截工具可預防已知及未知（亦即封鎖工具開發完畢以后才寫成的）病毒擴散，這是此類防護方式毋庸置疑的優勢廣告行銷應用。但另一方面，即使是新時代的行為攔截工具也有重要的缺點：部分正常程序的動作可能遭辨識為可疑動作。此外，決定應用程序是否具有惡意，尚需要使用者輸入，這代表使用者必須具備足夠的知識。

　　主動防御與軟件的缺陷

　　 部分反病毒廠商在其廣告與行銷資料中聲明，表示主動/探索防護是對新威脅的萬靈丹，不需要更新，因此隨時可以封鎖攻擊，甚至可以對付尚未存在的病毒，更甚者，在手冊與資料單中，不但常把這類的宣稱套用到利用已知弱點的威脅上，更包括了所謂的“零時差”攻擊廣告行銷應用。換句話說，根據這些廠商所言，他們的主動防御技術甚至可以封鎖利用應用程序中未知缺陷（尚未有修補檔）的惡意程序碼。

　　 不幸的是，這些宣傳資料的作者若不是有意欺騙，便是根本還不了解此技術，具體而言，與惡意程序碼對抗的戰爭可說是病毒寫作者與自動化方法（主動防御/探索）間的戰爭廣告行銷應用。在實際生活中，則是人與人之間的戰斗--病毒寫作者對抗反病毒專家。

　　 上述之主動防御方法（啟發式分析器與行為攔截工具）乃植基于惡意程序典型可疑動作相關的“知識”廣告行銷應用。然而，這套“知識”（亦即一組與行為有關的規則）原是反病毒專家借由分析已知病毒行為所取的，并輸入程序中。然而，針對那些在規則開發完畢以后才問世的、使用全新方法滲透并感染計算機系統的惡意程序碼而言，主動防御技術可說是無用武之地--這就是零時差危險的真相。此外，病毒寫作者不斷努力找出新方法，借以避開現存反病毒系統使用的行為規則，如此始終將導致主動防御方法的有效性大打折扣。

　　 反病毒開發者別無選擇，只能更新他們的行為規則，并升級啟發式分析器，以回應新威脅的崛起廣告行銷應用。比起病毒碼（程序碼范本）的更新頻率，此類更新在頻率上當然不會那樣頻繁，但仍需定期執行，隨著新威脅的數量增加，這類更新的頻率也將無可避免地隨之上升。因而，主動防御將發展為病毒碼方法的一系分支，只不過它所根據的并非程序碼模式，而是“行為”。部分反病毒廠商向使用者隱瞞更新主動防御的需求，事實上就是在欺騙其企業與個人客戶以及媒體。結果導致大眾在主動防御技術的能力方面擁有不太正確的概念。

　　主動防御vs.病毒碼方法

　　 盡管有其缺陷，主動防御式方法的確能在相關病毒碼發行前檢測到部分威脅廣告行銷應用。以反病毒解決方案針對稱為Email-Worm.Win*2.Nyxem.e (Nyxem)的蠕蟲，所采取的回應之道為例。

　　 Nyxem蠕蟲 (亦稱 Blackmal、BlackWorm、MyWife、Kama Sutra、Grew 及CME-2*)可在使用者開啟內含色情圖片、色情網站或者檔案連接（存于公開網絡資源上）的電子郵件附件時滲透電腦廣告行銷應用。病毒只需極短時間便能刪除硬盤中的資訊。影響所及的檔案格式多達11種（包括Microsoft Word、Excel、PowerPoint、Access、Adobe Acrobat）。病毒會以無意義的字元組復寫一切有用的資訊。Nyxem另外一項特征是只在每個月三號發作。

　　 Magdeburg大學的研究團隊(AV-Test.org)所進行的一項獨立研究，評估不同的開發者在Nyxem出現時的反應時間廣告行銷應用。結果有數種反病毒產品能在病毒碼發行前，使用主動防御技術檢測到蠕蟲：

021yin.com/detail/*2/*1**7*.shtml