主動防御，實現殺防一體化

近幾年，病毒發展和以往有了很大不同：感染型病毒減少，而木馬數量暴增；病毒與殺毒軟件公開對抗，免殺方法層出不窮；木馬呈現牟利化趨勢。其中牟利化是病毒發展核心原因，正因病毒研發目的由早期技術驗證轉向了謀取利益，促使黑客開發新木馬并主動研發免殺技術以躲避殺毒軟件的查殺，實現其經濟利益最大化目的。

特征碼技術作為上一代反病毒技術，曾發揮了重要作用，但面對當前黑客大規模制造各種以竊取商業秘密、虛擬財產、銀行帳號等為目的的木馬程序病毒發展新趨勢時，其已明顯力不從心。黑客為避免木馬被殺毒軟件發現，開發出多種簡單易行的病毒免殺技術，無須重新編寫病毒程序，只需經過簡單加殼、加花指令、定位并修改病毒特征值等技術方式處理，很短時間內可大批量制造出可逃避傳統殺毒軟件查殺木馬變種。更為嚴峻的是，已出現了自動加殼機和免殺機，甚至還實現了商業化，作者每天對其進行更新，升級速度超過了殺毒軟件。利用這類工具自動生成的木馬變種，往往能夠躲過最新版殺毒軟件的查殺。木馬生產的“工業化、自動化”導致木馬越來越難以被反病毒公司收集，更令用戶擔心的是，在反病毒公司收集到樣本并能升級查殺木馬之前，這些木馬已造成的損失如何處理？傳統殺毒技術落后于病毒技術的發展已是不爭事實，它已不適應當前反病毒需求。

熊貓燒香來了，熊貓到底在為誰祈禱我們不得而知。但給了特征碼技術致命一擊的，也正是這只燒香的熊貓。李俊僅僅靠頻繁變種這簡單的體力勞動，就輕易擊敗了某些殺毒軟件。只能跟在李俊屁股后面跑，李俊升級病毒，殺軟升級病毒庫，周而復始，反反復復，問題得不到解決。甚至有些反病毒公司公開掛出了白旗，“只要病毒作者不再升級，我相信任何一家安全軟件廠商都能輕松‘搞掂’。”

病毒“蓬勃發展”，反病毒技術必然也要升級。2005年提出的主動防御，在2006年底被熊貓燒香催化開來，反病毒產業醞釀轉型，特征碼退居次席，主動防御走上了前臺。2008，順理成章成了主動防御普及年。

雖然殺毒軟件防范已知病毒具有比較好的效果，但是對于未知病毒（殺毒廠商尚未捕獲到的病毒和新出現的病毒），傳統的殺毒軟件就顯露出致命的缺陷——幾乎完全沒有防范能力。近幾年，不斷肆虐的病毒就充分說明這一點，每當病毒大規模爆發時，我們不斷看到的現象是反病毒公司紛紛要求廣大用戶必須緊急升級殺毒軟件。因此，面對層出不窮的新病毒，如何有效防范未知病毒成了反病毒領域必須解決的首要問題。

其實主動防御并沒有那么神秘，主動防御和殺毒軟件同屬于反病毒軟件范疇，區別在于殺毒軟件只能處理已知病毒，而主動防御軟件則可以有效處理未知病毒，也就是說主動防御軟件其實就是新一代的可以處理未知病毒的反病毒軟件。反病毒軟件之所以被稱之為反病毒軟件，是因為其具有自動識別病毒、準確報出病毒和自動清除病毒三大基礎功能。主動防御軟件的“新”體現在主動防御可以準確自動識別未知病毒、準確報出未知病毒和自動清除未知病毒。

例如，我們定義這樣一條病毒判斷規則：如果MSN接收的某個文件運行后，模擬鍵盤或鼠標動作，自動點擊MSN的“發送文件”命令，把它或它的生成物自動發送給其他MSN聯系人，則這個文件就是MSN蠕蟲病毒。此規則可用于發現“性感燒雞”MSN蠕蟲病毒，以及所有采用這種傳播方式的MSN蠕蟲病毒，而不論該病毒是什么時候編的，也不論是已知的還是未知的。

當然，“主動防御”技術也不是萬能的，它也不能發現100%病毒，主動防御技術首先需要有前瞻性，同時也需要不斷發展、不斷創新。從實用的角度上看，我們并不需要“主動防御”技術能夠防范幾年后的病毒，只要能防范不遠將來出現的新病毒就可以了。即使“主動防御”產品不能防范某個具有重大創新的病毒，經升級后，可防范所有此類病毒，相比傳統殺毒軟件，“主動防御”極大提高了產品防范新病毒的能力。

從防病毒卡純粹的防御，到特征碼事后殺毒，再到如今主動防御實時監控、殺防一體化，反病毒技術一路走來。用戶無需知道技術的變革，但是會深切體驗到完備的安全技術帶給他們的方便與快捷。