什么是木马,为什么难以清除
什么是木马?
木马是一种破坏性程序,通常不进行复制,但会危及电脑安全。它经常伪装成有用或有趣的程序进行传播。木马在电脑上运行后将执行恶意操作,为黑客提供远程控制能力,盗取用户的网银、网游帐号或个人隐私等信息。木马程序为了尽可能好的隐藏,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、更改名称或自我销毁等。
传统反病毒技术为何难以彻底清除木马?
许多用户都抱怨木马或流氓软件杀不干净。究其原因,主要是杀毒软件的反木马技术远未成熟,而在现阶段采用反病毒技术来对付木马存在着诸多问题。
反病毒技术的第一种手段就是特征码识别,可以干掉病毒的大部分变种,但对木马作用有限,因为木马制作者是为追求经济利益,而并非象病毒那样追求大范围传播。木马是针对特定地区、特定用户(比如某款网络游戏)造成危害,是采用手工投放的方式,而且制作者为了逃避打击和欺骗用户会频繁地修改程序,特征码作为一种静态识别技术对付木马效果较差。
第二种手段是启发式搜索,它更多是基于人工智能分类,基于过去对病毒数据的累积和学习来进行推理,这就要求查杀对象技术具有相似形。但是木马采用各种欺骗、伪装措施,没有固定的技术特点,难以界定,所以启发式搜索对木马识别率较低。
第三种手段是虚拟机,虚拟机技术更多进行的是模拟代码执行的作用。同一段代码只有一个结果,采用虚拟机可以取得变形病毒展开以后的情况。但是木马程序比病毒的体积大得多,现有的虚拟机技术会严重影响查杀的效率。
现阶段“主动防御”存在哪些缺陷?
现阶段的主动防御即是恶意行为识别,其技术对用户干预的要求都很高。造成这一问题的主要原因是木马的技术不可判定性,判定一个程序是不是木马,不单要依靠技术手段,还要判别该程序主观是否有害。通过设定程序规则审核恶意行为,一是受限于当前的AI(人工智能)的水平,面对千差万别的实际应用,会将大量的判断工作交给用户去做,无疑给普通用户带来很大困扰,二是如果将本地的代码写的很庞大,必将严重影响查杀的效率,这是当前提高主动防御技术实用性的最大瓶颈!
1
2
下一页>>
