簽名的局限性

在定位惡意軟件時，傳統的模式中存在著一個問題。從歷史上看，這種模式依賴于基于簽名的方法來查找受害人計算機上惡意軟件的特征。但在惡意軟件與反惡意軟件的較量中，惡意軟件的架構已經發生了巨大的變化，因而，基于簽名的檢測方法的有效性就大打折扣。

特別是由于代碼的隨機化改變了惡意軟件的行為方式，使得惡意軟件看起來不再像簽名模式所描述的那樣，因而簽名模式就更加無法識別惡意代碼了。

這是基于簽名的檢測方法的一個致使弱點。為了使簽名可用，開發人員需要找到新惡意軟件的某個版本，然后，對其實施逆向工程，找到可以唯一識別它的特征。確認了唯一性的元素，開發人員需要將此結果編碼到簽名中，然后發布給眾多的服務器和客戶端用于檢測。

基于行為的檢測

不管其感染載體或簽名是什么，所有形式的惡意軟件的最終目標都是為了實現有限的幾個目標。贏利是當今惡意軟件的首要目標，其它的目標包括如下這些方面：

1、數據刪除：批量刪除系統上的數據。

2、數據泄露：這包括泄露個人或金融信息，用戶名及口令，或為了竊取數據而對用戶數據進行配置。

3、重定向：改變一個系統或應用程序的行為，執行其它功能，如將用戶轉到一個經精心設計的網站。

4、監視：為實現上述目標，監視用戶的活動。

由于惡意軟件的安裝和處理機制復雜多變，而其目標卻很有限，所以業界就需要一種不同的惡意軟件確認機制。基于行為的檢測就是另外一種架構。

不妨思考一下企業環境中的反惡意軟件產品。其配置可以不斷地掃描系統和正在運行的進程，查找疑似的惡意軟件。其簽名每天或每小時都要更新。如果對這種軟件進行配置，使其可以查找系統上的任何動作行為，其效果又將如何

在這種情況下，為反惡意軟件客戶端進行編碼，查找某些類型的行為就更簡單了。不管惡意軟件的變化如何試圖逃避檢測，在它試圖完成其任務時，其惡意活動都會被客戶端發現并阻止。同樣地，客戶端也可以跟蹤非法活動的源頭，并進行移除等修復活動。由于犯罪過程容易識別，所以客戶可以很快地將其阻止和清除。如果受害系統上沒有啟動適當的行為中止和清除過程，盡管客戶端會抑制惡意行為，但計算機僅會受到局部保護。

多管齊下

雖然基于行為的方法對于確認和防止惡意行為非常出色，但基于簽名的方法對于真正確認和清除特定的惡意軟件類型和實例也許更好。綜合多種方法的反惡意軟件產品可以更深入地探查服務器和桌面。因而，系統架構師、軟件設計師和安全管理者還應當考慮下面這些可以更深入地確認和移除惡意軟件的技術。

內核級保護

從軟件的層次來看，反惡意軟件產品越接近內核，就越有能力確認惡意軟件活動。在惡意軟件(如rootkit是一個很好的例子)成功地將自已在反惡意軟件引擎和內核之間隱藏起來時，反惡意軟件產品就很難掃描并定位惡意代碼。相反，在反惡意軟件產品直接在內核上層工作時，就有能力監視所有的輸入和輸出。例如，最新版本的Windows就具備此特征。

預啟動掃描

rootkit(根瘤)將自身入侵到文件系統中的方式非常隱密，所以對其清除也很困難。在所有其它的方法都失效時，找到系統中已安裝的rootkit的一種解決方案，是從兩個不同的角度查看系統。第一個角度是從文件系統自身。第二個角度是從該文件系統的一個卸載實例來看。首先，分別查看這兩種角度的不同掃描結果，如果發現了任何的不同點，都可以認為這涉及到惡意軟件試圖掩藏其自身的代碼。這種掃描可以更有效地查找和清除惡意軟件。

可執行層防火墻

以Windows為例，默認情況下，它并沒有什么邏輯來決定哪些進程是否該執行。因此，任何試圖贏得處理器計算能力的進程都可以被運行。許多環境中所需要的是一種基于可執行層的防火墻。這種防火墻可以使管理員確認系統上應當被運行的進程，不屬于環境的進程都被阻止運行。這種系統“防火墻”有助于防止某些類型的惡意軟件的執行，還可以防止雖合法但不適當的以及有潛在風險的應用程序的運行，如一些文件交換程序、游戲及其它可能導致感染的應用程序。

小結

當今的反惡意軟件工具必須站得更高，并且要更加精密，因為惡意軟件自身正變得日益復雜。對于使用了傳統的診斷工具和肉眼，“成功”檢測和清除惡意軟件的系統來說，在新形勢下必須引入新工具來防止惡意軟件的發生。非常重要的一點是，要使用多種選擇、多種機制來查找惡意軟件，以便于從整體上保護IT環境，這需要軟件開發、軟件管理、系統維護和管理、安全管理等多個方面的共同。