论文部分内容阅读
摘 要: 在木马、病毒横行网络的当代,谁都不愿意成为下一个网络黑客的受害者,安全软件成为了每一台计算机必备的软件之一。但是,安全软件的兼容性问题就像一颗定时炸弹,时刻威胁这用户数据甚至是操作系统的安全。主要针对安全软件兼容性问题出现的原因进行探讨,并提出一些现阶段容易实现的临时性解决方案,尽量避免在用户电脑上发生杀毒软件兼容性问题。
关键词: 安全软件;主动防御;兼容性
1 背景
病毒、木马的出现和发展促成了安全软件的诞生,安全软件伴随着病毒、木马的发展而更迭。但兼容性一直是安全软件厂商的核心困扰之一,由于安全软件使用了大量的内核技术、驱动,其一般在系统中具有一般软件所没有的高级权限,一旦出现兼容性问题,其所造成的影响,会远远严重于其他应用软件。同时安全软件为了对抗某些高级病毒的自我防护机制,也会使问题的处置变得比较复杂,不同安全软件之间冲突引发的不兼容问题要比和其他软件冲突后果更加严重。安全软件兼容性问题主要体现在两个方面:第一,安全软件自身产生的兼容性问题,主要表现在杀毒误报、主动防御过当、入侵检测抢用系统资源等等;第二,不同安全软件间的兼容性问题,主要表现在互抢资源、互报、互相限制对方功能等等,这种现象在主动防御技术普及的今天尤为突出。
2 安全软件自身产生的兼容性问题
安全软件作为系统权限的第三方应用,其兼容性问题也比一般的应用软件影响要打的多。传统安全软件一般采用通过不断增加监控点的方式来应对新的安全威胁,但随着监控点的增加,杀毒软件的稳定性遭遇了极大的挑战,对安全软件进行全面测试的难度也不断增大。因此安全软件自身的稳定性压力呈现几何级数增长,兼容则变得更加困难。
2.1 病毒扫描产生的兼容性问题
病毒扫描是安全软件提供的最基本的功能,主要是针对文件存储系统的监控。可以说从安全软件诞生之初,文件监控就一直的安全软件的核心功能之一。其主要的兼容性问题体现为误报。
病毒扫描的核心工作原理就是病毒特征表,无论是最早的特征码扫描,还是后来的行为特征扫描,以及现在的云扫描,都是依赖已知病毒的特征所建立的病毒特征表。如果这个病毒特征表收入的特征不当,就很可能导致正常文件的的误报。误杀的如果是重要的系统文件,则会造成系统崩溃无法正常启动。如2006年5月17日,赛门铁克(Symantec)误杀中文XP系统两个系统DLL文件,导致Windows XP系统蓝屏崩溃。
2.2 主动防御产生的兼容性问题
主动防御系统是最近十年才出现的新技术。虽然其在理论层面上已近日益成熟,但在实际应用上仍然存在不少问题。主动防御主要是监控文件的实时操作(例如文件创建、读取、关闭、调用)。
现在主动防御系统主要采用的ring0级的HOOK技术监控系统主要的API函数,分析系统内存中程序的各类行为,对新进入内存的程序,有的时候甚至会修改该程序需要调用的API函数入口地址,使文件先在虚拟环境中模拟运行一遍确保安全后才允许其进入真实内存中运行。但是由于不同程序实现跳转的方式多种多样,很难保证多个软件共存时前一软件修改后不影响到后一软件,而且很可能导致相关进程崩溃。其这种不兼容性很可能导致系统API无法正常工作,导致系统蓝屏。
2.3 入侵检测技术产生的兼容性问题
家庭用户级的入侵检测技术也是现在安全软件发展的方向,从早期的防火墙,到现在的浏览器保护技术。都从某一个病毒最易入侵的渠道,保护着系统的安全。
目前安全软件大部分使用单机防火墙技术来过滤出入数据,应对来自网络的威胁。其主要兼容性问题表现在和windows的系统防火墙间的兼容,在windows系统防火墙开启的情况下,很多单机防火墙都无法起到实际作用。
浏览器保护技术先在主流采用的是ring3级的API-HOOK技术,虽然ring3级的HOOK不易导致系统崩溃,但如果发生争抢同一个API的现象,那么浏览器就会无响应或者响应缓慢,严重影响用户体验。即使有的时候用户没有察觉,但是安全软件在对网页进行行为分析的时候,由于多了一层HOOK实际调用,所以系统的堆栈也会比正常增加一层,对其他软件调用浏览器堆栈会产生无法估计的影响。
3 不同安全软件间的兼容性问题
如果用户在计算机上安装两款不同公司的安全软件,不同的安全软件之间有时也会产生误报,不仅可能造成其他安全软件失效,也会严重影响用户对该款安全软件的信心。但绝大多数情况下,安全软件之间出现的兼容性冲突问题,往往是技术与协调的问题,不可避免。
3.1 文件监控系统的重复工作
这个问题从安全软件诞生之初就一直伴随着它,由于安全软件在扫描到可疑病毒文件后,为了最大程度上减少误杀重要数据的几率,往往采用在隔离区备份病毒的方式。但是如果机器上还安装有其他公司的安全软件,则这种备份病毒的行为,就会被另一款安全软件监视,甚至会“闯入”对方安全软件的病毒隔离区中,查杀病毒。而安全软件试图对一种安全软件的隔离区实施反病毒操作的行为,会遭到该隔离区的“所有者”的全力阻拦,两种安全软件之间因此就有可能产生了“拉锯战”,不停的提示用户有病毒需要查杀。
3.2 系统资源的抢夺
多种安全软件共存时,用户往往会明显感觉到开机时间变慢,系统反应时间延长,进程长时间未响应等等。是因为不同安全软件对系统资源和CPU时间片的占用不是简单的叠加,而是出现非线性的急速性能恶化。例如用户计算机上同时安装有A、B两款安全软件,A要进行安全操作的时候,B就是去监视A的全部操作并记录,反之A也会去监视B监视自己的行为。系统资源就在这样互相的监视下被消耗了。
3.3 相互猜忌内斗
安全软件为了对抗病毒,往往有着系统级的自我保护机制。这些保护机制有时和某些高级病毒采用的原理又是一致的,很容易导致同一台机器上的其他安全软件的怀疑,由于安全软件的某些行为和恶意软件具有形似,在多款安全软件共存的情况下,很有可能一款安全软件被另一款报为病毒。特别是主动防御系统出现后,这种现象就更为突出了,也成为安全软件兼容性问题中最大的问题。这种兼容性表现在三个方面: 第一个方面,主动防御系统出于安全角度考虑,不会允许后进入系统的程序直接调用被HOOK的原始API,这种行为会导致其他软件在分析恶意行为时,无法正确的获得API的入口,进而造成对程序行为的误判,最终导致行为分析误报或者漏报,跟严重的是如果多款安全软件分别锁定了部分原始API,会导致主动防御系统双双“失明”,为病毒入侵行为视而不见。
第二个方面,安全软件的主动防御系统一般都会保护自己的监控点不其他程序修改。一旦发现自己的监控点被修改,则会对监控点进行修复。如果在同一台机器上的其他安全软件对监控点的处理使用的是采用自己的代码实现并完成该监控点应有的功能的方法,那么两款安全软件就会出现,你修改我修复,我修改你修复的内斗,直接导致进程死锁,最终导致系统卡死甚至是蓝屏。
第三个方面,即使同一台计算机上的多款安全软件间有着良好的互信机制,但安全软件本身为了保证自身进程的行为不被重复记录或者对行为分析产生影响,其可能会对特殊API的调用参数含义进行修改,增加自身需要的表示,而这些表示可能会造成后续的监控产生不可预约的行为,最糟糕的情况就是导致系统蓝屏。
4 解决方法的探讨
安全软件自身的兼容性问题,主要是程序员的责任,可以企业内部的得到解决,但不同安全软件的兼容性问题就没有那么容易解决了。
在安全软件主动防御技术在windows体系下刚刚出现时,能够提供相关机制的厂商不多,兼容性引起的问题也很少。但随着越来越多的厂商的加入,以及监控点越来越统一,安全软件间的兼容性问题也越来越严重,甚至不同安全软件厂商间经常会产生冲突,水火不容,而解决相关问题的复杂度也已经超出每个厂商的能力。现阶段,比较容易实现的解决方案大致分为两类:
第一类,共享病毒扫描引擎与病毒库。这要建立在规模相当且互信的安全软件厂商之间,通过共享病毒扫描引擎和病毒库,实现只需安装一款安全软件,就可实现多款不同安全软件的平面查杀能力,由于不同引擎在同一款软件的协调下运行,其抢占资源等行为能得到最大程度上的控制。但由于主动防御系统的未共享,又确保了不同安全软件之间的个性区别。最终的结果会导致,今后用户在选择安全软件时更多的考虑主动防御功能是否符合自己的实际需要,而病毒查杀只是附带的统一的“赠品”。
另一类,就是从安装环节就保持互斥的方法,即“后卸前”原则。其具体操作是,在安装时检测用户系统中是否有其他安全产品,如果有则提示用户可能的冲突后果,并提示用户卸载,如果用户不卸载,则明示用户共存后果,或者选择自身不予安装。原先被装在到主机上的安全产品,不能恶意阻止其他安全产品的安装行为。这种方法虽然影响到了一定用户让多种反病毒产品共存的意愿,但其形成了一个单项的逻辑,即后安装的有告知和卸载的主动权,先装入主机的接受用户的选择。
安全软件的兼容性问题要从根本上解决,必须要有一个更高的权力部门,来协调不同安全软件间的配合,取长补短,将病毒拒之“门”外。
关键词: 安全软件;主动防御;兼容性
1 背景
病毒、木马的出现和发展促成了安全软件的诞生,安全软件伴随着病毒、木马的发展而更迭。但兼容性一直是安全软件厂商的核心困扰之一,由于安全软件使用了大量的内核技术、驱动,其一般在系统中具有一般软件所没有的高级权限,一旦出现兼容性问题,其所造成的影响,会远远严重于其他应用软件。同时安全软件为了对抗某些高级病毒的自我防护机制,也会使问题的处置变得比较复杂,不同安全软件之间冲突引发的不兼容问题要比和其他软件冲突后果更加严重。安全软件兼容性问题主要体现在两个方面:第一,安全软件自身产生的兼容性问题,主要表现在杀毒误报、主动防御过当、入侵检测抢用系统资源等等;第二,不同安全软件间的兼容性问题,主要表现在互抢资源、互报、互相限制对方功能等等,这种现象在主动防御技术普及的今天尤为突出。
2 安全软件自身产生的兼容性问题
安全软件作为系统权限的第三方应用,其兼容性问题也比一般的应用软件影响要打的多。传统安全软件一般采用通过不断增加监控点的方式来应对新的安全威胁,但随着监控点的增加,杀毒软件的稳定性遭遇了极大的挑战,对安全软件进行全面测试的难度也不断增大。因此安全软件自身的稳定性压力呈现几何级数增长,兼容则变得更加困难。
2.1 病毒扫描产生的兼容性问题
病毒扫描是安全软件提供的最基本的功能,主要是针对文件存储系统的监控。可以说从安全软件诞生之初,文件监控就一直的安全软件的核心功能之一。其主要的兼容性问题体现为误报。
病毒扫描的核心工作原理就是病毒特征表,无论是最早的特征码扫描,还是后来的行为特征扫描,以及现在的云扫描,都是依赖已知病毒的特征所建立的病毒特征表。如果这个病毒特征表收入的特征不当,就很可能导致正常文件的的误报。误杀的如果是重要的系统文件,则会造成系统崩溃无法正常启动。如2006年5月17日,赛门铁克(Symantec)误杀中文XP系统两个系统DLL文件,导致Windows XP系统蓝屏崩溃。
2.2 主动防御产生的兼容性问题
主动防御系统是最近十年才出现的新技术。虽然其在理论层面上已近日益成熟,但在实际应用上仍然存在不少问题。主动防御主要是监控文件的实时操作(例如文件创建、读取、关闭、调用)。
现在主动防御系统主要采用的ring0级的HOOK技术监控系统主要的API函数,分析系统内存中程序的各类行为,对新进入内存的程序,有的时候甚至会修改该程序需要调用的API函数入口地址,使文件先在虚拟环境中模拟运行一遍确保安全后才允许其进入真实内存中运行。但是由于不同程序实现跳转的方式多种多样,很难保证多个软件共存时前一软件修改后不影响到后一软件,而且很可能导致相关进程崩溃。其这种不兼容性很可能导致系统API无法正常工作,导致系统蓝屏。
2.3 入侵检测技术产生的兼容性问题
家庭用户级的入侵检测技术也是现在安全软件发展的方向,从早期的防火墙,到现在的浏览器保护技术。都从某一个病毒最易入侵的渠道,保护着系统的安全。
目前安全软件大部分使用单机防火墙技术来过滤出入数据,应对来自网络的威胁。其主要兼容性问题表现在和windows的系统防火墙间的兼容,在windows系统防火墙开启的情况下,很多单机防火墙都无法起到实际作用。
浏览器保护技术先在主流采用的是ring3级的API-HOOK技术,虽然ring3级的HOOK不易导致系统崩溃,但如果发生争抢同一个API的现象,那么浏览器就会无响应或者响应缓慢,严重影响用户体验。即使有的时候用户没有察觉,但是安全软件在对网页进行行为分析的时候,由于多了一层HOOK实际调用,所以系统的堆栈也会比正常增加一层,对其他软件调用浏览器堆栈会产生无法估计的影响。
3 不同安全软件间的兼容性问题
如果用户在计算机上安装两款不同公司的安全软件,不同的安全软件之间有时也会产生误报,不仅可能造成其他安全软件失效,也会严重影响用户对该款安全软件的信心。但绝大多数情况下,安全软件之间出现的兼容性冲突问题,往往是技术与协调的问题,不可避免。
3.1 文件监控系统的重复工作
这个问题从安全软件诞生之初就一直伴随着它,由于安全软件在扫描到可疑病毒文件后,为了最大程度上减少误杀重要数据的几率,往往采用在隔离区备份病毒的方式。但是如果机器上还安装有其他公司的安全软件,则这种备份病毒的行为,就会被另一款安全软件监视,甚至会“闯入”对方安全软件的病毒隔离区中,查杀病毒。而安全软件试图对一种安全软件的隔离区实施反病毒操作的行为,会遭到该隔离区的“所有者”的全力阻拦,两种安全软件之间因此就有可能产生了“拉锯战”,不停的提示用户有病毒需要查杀。
3.2 系统资源的抢夺
多种安全软件共存时,用户往往会明显感觉到开机时间变慢,系统反应时间延长,进程长时间未响应等等。是因为不同安全软件对系统资源和CPU时间片的占用不是简单的叠加,而是出现非线性的急速性能恶化。例如用户计算机上同时安装有A、B两款安全软件,A要进行安全操作的时候,B就是去监视A的全部操作并记录,反之A也会去监视B监视自己的行为。系统资源就在这样互相的监视下被消耗了。
3.3 相互猜忌内斗
安全软件为了对抗病毒,往往有着系统级的自我保护机制。这些保护机制有时和某些高级病毒采用的原理又是一致的,很容易导致同一台机器上的其他安全软件的怀疑,由于安全软件的某些行为和恶意软件具有形似,在多款安全软件共存的情况下,很有可能一款安全软件被另一款报为病毒。特别是主动防御系统出现后,这种现象就更为突出了,也成为安全软件兼容性问题中最大的问题。这种兼容性表现在三个方面: 第一个方面,主动防御系统出于安全角度考虑,不会允许后进入系统的程序直接调用被HOOK的原始API,这种行为会导致其他软件在分析恶意行为时,无法正确的获得API的入口,进而造成对程序行为的误判,最终导致行为分析误报或者漏报,跟严重的是如果多款安全软件分别锁定了部分原始API,会导致主动防御系统双双“失明”,为病毒入侵行为视而不见。
第二个方面,安全软件的主动防御系统一般都会保护自己的监控点不其他程序修改。一旦发现自己的监控点被修改,则会对监控点进行修复。如果在同一台机器上的其他安全软件对监控点的处理使用的是采用自己的代码实现并完成该监控点应有的功能的方法,那么两款安全软件就会出现,你修改我修复,我修改你修复的内斗,直接导致进程死锁,最终导致系统卡死甚至是蓝屏。
第三个方面,即使同一台计算机上的多款安全软件间有着良好的互信机制,但安全软件本身为了保证自身进程的行为不被重复记录或者对行为分析产生影响,其可能会对特殊API的调用参数含义进行修改,增加自身需要的表示,而这些表示可能会造成后续的监控产生不可预约的行为,最糟糕的情况就是导致系统蓝屏。
4 解决方法的探讨
安全软件自身的兼容性问题,主要是程序员的责任,可以企业内部的得到解决,但不同安全软件的兼容性问题就没有那么容易解决了。
在安全软件主动防御技术在windows体系下刚刚出现时,能够提供相关机制的厂商不多,兼容性引起的问题也很少。但随着越来越多的厂商的加入,以及监控点越来越统一,安全软件间的兼容性问题也越来越严重,甚至不同安全软件厂商间经常会产生冲突,水火不容,而解决相关问题的复杂度也已经超出每个厂商的能力。现阶段,比较容易实现的解决方案大致分为两类:
第一类,共享病毒扫描引擎与病毒库。这要建立在规模相当且互信的安全软件厂商之间,通过共享病毒扫描引擎和病毒库,实现只需安装一款安全软件,就可实现多款不同安全软件的平面查杀能力,由于不同引擎在同一款软件的协调下运行,其抢占资源等行为能得到最大程度上的控制。但由于主动防御系统的未共享,又确保了不同安全软件之间的个性区别。最终的结果会导致,今后用户在选择安全软件时更多的考虑主动防御功能是否符合自己的实际需要,而病毒查杀只是附带的统一的“赠品”。
另一类,就是从安装环节就保持互斥的方法,即“后卸前”原则。其具体操作是,在安装时检测用户系统中是否有其他安全产品,如果有则提示用户可能的冲突后果,并提示用户卸载,如果用户不卸载,则明示用户共存后果,或者选择自身不予安装。原先被装在到主机上的安全产品,不能恶意阻止其他安全产品的安装行为。这种方法虽然影响到了一定用户让多种反病毒产品共存的意愿,但其形成了一个单项的逻辑,即后安装的有告知和卸载的主动权,先装入主机的接受用户的选择。
安全软件的兼容性问题要从根本上解决,必须要有一个更高的权力部门,来协调不同安全软件间的配合,取长补短,将病毒拒之“门”外。