8月14日,魔鬼波蠕虫被截获仅几小时后,其变种魔鬼波B便诞生,再次疯狂攻击互联网。金山毒霸(http://db.kingsoft.com/)反病毒专家称这是2006年以来的第一高危病毒。该病毒可以修改注册表信息进而降低系统安全等级,连接黑客指定的IRC频道,控制用户电脑,使之沦为“肉鸡”。“魔鬼波变种产生的速度之所以如此快”,该专家介绍说,“主要是因为‘加壳’技术的泛滥。”
据《金山毒霸2006年上半年度安全报告》显示,以往依靠增加新功能、改变字符串等手段的“病毒升级”方式,越来越多地让位于专业的“加壳”技术,从而导致各种病毒变种批量的大规模涌现。“壳”技术的广泛运用,如同瞬间多出了许多副不同的“马甲”,大量老病毒可以借此摇身一变成为传统杀毒软件无法识别的新病毒。对此,陈旧的特征码技术已经难以为继,唯有与“加壳”针锋相对的“脱壳”技术,才能真正做到 “御敌于国门之外”。此次,金山毒霸便利用国内领先的专业脱壳引擎,迅速更新了病毒库,让看似猖狂的魔鬼波变种B无所遁形。按金山毒霸事业部总经理王全国先生的说法,“无论病毒穿多少层‘马甲’,金山毒霸都能把它揪出来!”
金山安全报告指出,除“马甲”泛滥外,病毒另一个显著的发展趋势,就是以牟利为目的的各类风险程序,开始取代以往单纯以侵害软件硬件为目的的病毒,成为主流信息危害源。通过包括广告软件、木马和各类流氓软件在内的风险程序,窃取用户上网账户、网游、网上银行等网络资产的保密信息,进而盗取用户财产的恶劣行为,已经成为当前危害网民生活的最大公害。配合前面提到的“加壳”技术,换了“马甲”的病毒和风险程序就可以瞒过传统杀毒程序,轻易的占领用户电脑,盗窃甚至强抢用户财产,其破坏力之强不能不让人忌惮。
“初期,加壳算法比较少,反病毒软件往往针对某种壳算法进行特殊的处理”,金山毒霸技术专家解释道,而这种类似增加特征码的方式对于当下“加壳”技术的泛滥显然无能为力。“随着‘壳’的种类越来越多,国际先进的反病毒软件都开始独立出一个模块,专门负责脱壳,这样脱壳引擎便应运而生”。
病毒制造者给病毒穿“马甲”,就会有专业的反病毒企业站出来扒“马甲”。金山毒霸负责人王全国介绍说,“拥有先进成熟的‘脱壳’技术,使毒霸在查杀病毒时,超越逐一增加特征码的‘加法’杀毒方式,转而采用‘脱壳’+行为判断+特征码的‘乘法’模式来查杀病毒。这样做的效果自然要比单纯用特征码的方式更高效、更快速、更安全,对用户网络资产的保护也更到位。”
其实,所谓“马甲”实际上是一种特殊的数学运算方法,随着算法的研究和具体操作人员的不同,“马甲”即“壳”的种类也会越来越多。因此,作为反病毒企业,“脱壳”引擎所覆盖“马甲”品种的数量,就成为衡量一个杀毒软件品质和技术程度的核心标准之一。据悉,金山毒霸在“脱壳”技术方面,拥有国内延续时间较长的投入和技术储备。作为金山软件领导者的雷军,是中国第二代程序员最著名的代表之一,从上世纪90年代就已经是“加壳”和“脱壳”技术领域的资深专家。在其领导下,金山毒霸目前拥有国内领先的研发团队。金山毒霸的研发部门在2002年就开始了对脱壳引擎的研究工作,目前已拥有国内同类企业中脱壳数量最多和能力最强的脱壳引擎。
“到年底,我们将能脱掉更多种类的壳”,王全国说道,“这样先进的脱壳引擎,使得金山毒霸杀毒更快、准、狠,且不会占用更多的系统资源。一个很简单的例子,大家会很容易发现,金山毒霸的安装包在国内来说是相对较小的。”在新一轮网络病毒的“马甲”风潮愈演愈烈的今天,金山毒霸以其脱壳技术之强、脱壳数量之多,为广大网民的财产安全提供了充分的保障。
