就现在来看,瑞星的木马防御无法完美支持64位操作系统,首先说明一下,这个问题是正常的。
出于安全考虑,微软给32位系统开放的的api比64位的要多很多,因此你基本见不到64位的病毒,因此从这个地方来看,瑞星64位的木马防御高强度支持从目前来讲是没有必要的。而且,既然病毒都无法利用系统相关函数执行恶意操作,杀毒软件就更不可能对相关的点进行防御。没有公开的api函数是无法调用的,更别提什么修改函数地址实现hook拦截等等的了。
为了方便理解,更为了多数人能看懂,我使用易语言做个例子。
系统目录%systemroot%\system32\下有很多的dll,实现各种功能的函数就封装在这些dll中。
现在我手动写一个dll,演示公开和不公开的区别。
首先我设置公开属性编译一个动态链接库:
运行测试:
可见运行正常。
但是如果我将动态链接库的公开属性去掉后再编译调用:
很明显,报错了。即使这个函数,或者说子程序是存在的,但由于没有编译出去,在生成的dll中这个函数并不存在,只能提供给这一个dll中的其他命令调用这个函数,是私有的外部不能使用的。
举个例子便于大家理解。一家超市卖很多东西(超市就是一个dll),但是它偏偏把方便面下架(方便面就是其中的一个函数,也可以说是一个子程序、一个api),库存起来,因此只有这家超市的老板和员工可以取出来自己吃(老板就是微软,员工就是这个dll中子程序),外面的人连找都找不到,完全不能买(瑞星和其他程序就是外面的人),即使外面的人知道这个方便面的名称,老板和员工也会告诉他这个叫“方便面”的商品不存在,更别说吃了。
因此一个都根本不能使用的函数,也无法实现监控和防御;就算用了某种手段实现了监控,由于病毒无法调用,监控了也只是白白浪费系统资源。
有人会说,瑞星自己编译一个dll不就行了?我只能说这种人说话根本没经过大脑思考,难道瑞星要监控一个自己的、病毒不会调用的dll吗?
这时还有人会说,360用核晶技术实现了64位防御,我只能说那个防御强度是远远低于32位的。况且只能在装有Inter CPU的计算机上使用,局限性很大。
当然还有人会说,火绒不是也实现了64位防御,并且和32位防御强度相当吗?如果一个杀毒软件主动防御32位和64位的强度是相等的,只能证明它32位的防御强度本身不高,很多点都没有防御到。或者只是一些文件操作、注册表操作、网路操作综合分析,再好点的也只有非常小部分的API调用监控。
好了关于64位系统的主动防御就说这么多。总之当32位主动防御发展到一个很高的阶段的时候,是无法与64位主防强度对等的。
因此最后我给瑞星提一个建议:64位主防当然是要开发,但是瑞星应当提供两套模板,一套针对32位,一套针对64位。当安装时检测到系统是32位的时候,大可放心,使用32位的(即现在)行为分析库即可,勾住相关的函数,同时建议恢复2011的防御强度。但是如果安装时检测到系统是64位的,就启用64位的行为分析库,只勾64位系统提供的一些函数,实现主动防御。同时建议内核加固的官方规则也这么做,这样的话既可以不断增强防御强度,又不用担心在64位系统上无法正常使用。另外,建议瑞星杀毒软件和瑞星个人防火墙联动,在未知木马行为分析中加入网络操作分析的部分,而不是现在的仅仅分析文件、注册表和API调用。用户系统信息:Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko