网络犯罪分子如何企图绕过反病毒软件防线

在当今世界，反病毒软件是为个人用户和大型组织的计算机和服务器等各个端点提供安全保护的关键防线。反病毒软件是抵御网络威胁的重要工具，但并非无懈可击。网络犯罪分子会利用各种技术绕过反病毒软件并规避反恶意软件。

反病毒软件的工作原理

反病毒软件能够检测文件是否为恶意文件，而且必须快速完成这一检测，以避免影响用户的体验。反病毒软件解决方案通过两种广泛使用的方法来搜寻恶意软件，即启发式扫描和基于特征码扫描：

• 启发式扫描检查文件的功能，借助算法和模式来确定是否有软件在执行可疑操作。
• 基于特征码扫描检查文件的形式，查找与已知恶意软件样本相匹配的字符串和模式。

恶意软件 创建者可以用两种方式与反病毒软件交互，一种是在磁盘上，另一种是内存里。如果是在磁盘上，常见例子就是用一个简单的可执行文件。反病毒软件有更多的时间扫描和分析磁盘上的文件。如果是加载到内存里，反病毒软件的交互时间比较短，而恶意软件更容易执行成功。

反病毒软件的局限性

虽然反病毒软件是保持系统安全的推荐方式，但终究不能确保设备无懈可击。典型的反病毒程序使用恶意软件特征码数据库，其中包含先前检测出的恶意软件。每当发现新的恶意软件样本时，都会创建相应的数字签名并将其添加到数据库中。这意味着从新的恶意软件开始传播到反病毒程序更新完数据库的这段时间里是存在一段漏洞时期的。就是在这段时间里，恶意软件有可能造成严重破坏。因此，虽然反病毒软件提供了一层额外的保护，但它们并不能完全缓解威胁。

此外，用于编写恶意软件且独立于操作系统 (OS) 的语言越来越多，这意味着单个恶意软件程序有可能对更广泛的用户产生影响。由于网络威胁正变得越来越复杂，反病毒程序必须与时俱进。随着黑客不断改进绕过反病毒程序的技术，当今的网络安全形势日趋严峻，这已经成了一个棘手的问题。

反病毒软件规避技术

为了达到目的，网络犯罪分子开发了一系列规避技术。这些技术包括：

代码加壳和加密
大多数蠕虫和木马都是加壳和加密的。黑客们还设计出了专门的加壳和加密工具。我们发现，每一个使用 CryptExe、Exeref、PolyCrypt 及其他一些工具处理过的互联网文件都是恶意的。为检测出加壳和加密的蠕虫及木马，反病毒程序要么必须添加新的脱壳和解密方法，要么就要为每一个恶意程序的样本添加新的签名。

代码变异
网络犯罪分子通过混合木马病毒的代码和“垃圾邮件”指令，试图伪装他们的恶意软件。这种情况下，代码会改头换面，但木马仍保留了它原有的功能。有时，代码变异会实时发生——在所有或者说几乎所有情况下，木马都是从受感染的网站下载的。Warezov 邮件蠕虫使用的就是这种技术，对用户造成了严重影响。

隐身技术
Rootkit 技术通常为木马所用——能拦截和替换系统功能，令操作系统和反病毒程序无法发现受感染文件。有时，它们甚至会隐藏木马进行注册的注册表分支以及其他系统文件。

阻止反病毒程序和反病毒软件数据库更新
许多木马和网络蠕虫会在被感染的计算机上的活动应用程序列表中主动搜索反病毒程序。之后，恶意软件会试图：

• 阻止反病毒软件
• 损坏反病毒软件数据库
• 阻止反病毒软件更新进程的正确操作

为抵御恶意软件，反病毒程序必须控制自身数据库的完整性，并针对木马隐藏其进程，来为自己建立防线。

在网站中屏蔽代码
反病毒软件公司将能快速得知包含木马病毒文件的网站地址， 然后，病毒分析人员便能研究这些网站的内容，并将新的恶意软件添加到数据库里。然而，为试图对抗反病毒软件扫描，网页可能会受到篡改。这样，当反病毒软件公司发出请求时，下载的将会是一个非木马文件，而不是木马。

海量攻击
在海量攻击中，大量新版本的木马程序会在很短时间内散布到互联网中。这样，反病毒软件公司就会收到数量极多的新样本待其分析。网络犯罪分子希望这些花在大量样本分析上的时间会给他们可趁之机，用恶意代码入侵用户计算机。

零日威胁

您的反病毒程序会定期更新。这种做法通常是为了应对零日威胁。零日威胁是一种恶意软件规避技术，网络犯罪分子会利用软件或硬件漏洞，然后在反病毒程序完成修复之前实施恶意软件攻击。

无文件恶意软件

这是一种比较新的手段，不需要在目标计算机上存储任何文件，就能运行恶意软件。无文件恶意软件完全在计算机的内存中运行，以便绕过反病毒扫描程序。访问受感染的网页不会直接传递恶意软件。但它会利用相关程序中的一个已知漏洞，引导计算机将恶意软件下载到内存区域，然后在内存里执行。无文件恶意软件的危害在于，一旦恶意软件完成任务或重置计算机，内存里的相关数据就会被擦除，不会留下犯罪分子安装了恶意软件的证据。

网络钓鱼网络钓鱼是网络犯罪分子用来窃取信息的最常见的手段之一。在网络钓鱼攻击中，攻击者会假装是可信或已知的来源，从而欺骗受害者。如果用户点击了恶意链接或下载了受感染的文件，攻击者就可能获得用户网络的访问权，然后窃取敏感信息。反病毒软件只能检测出已知的威胁，而不能完全有效地防御新变体。

基于浏览器的攻击

反病毒软件无法访问操作系统，这使得基于浏览器的攻击可以绕过它们。这些攻击通过使用恶意脚本和代码来感染您的设备。为了阻止这些攻击，一些浏览器会内置防御工具，但必须一直正确使用才能有效。

对有效负载进行编码

让恶意软件绕过反病毒扫描程序的另一种手段是对有效负载进行编码。网络犯罪分子通常使用工具手动执行此操作，当恶意软件投送完成并被激活时，它会被解码并造成破坏。这个过程一般是通过一个附加在编码病毒前面的小标头程序完成的。反病毒扫描程序不会将此程序视为威胁，反而以为编码病毒只是数据。因此，当标头被触发时（比如通过嵌入现有可执行文件），它会将恶意软件解码到内存区域，然后将程序计数器跳转到该区域并执行恶意软件。

如何防范恶意软件规避技术

反病毒软件应该是您整体网络安全战略的核心部分，但正如本文所述，企业不能仅仅依靠它来保护网络。为了达到最理想的安全防护水平，最好采用多层次的网络安全方法。您还可以使用其他工具来防止网络犯罪分子入侵您的网络，其中包括：

设备加密

对设备进行加密可以确保在没有正确的密码或密钥的情况下，任何人都无法访问设备中的数据。即使设备被盗或感染了恶意软件，适当的加密也可以阻止未经授权的访问。

多因素身份验证

多因素身份验证要求用户必须输入多条信息才能访问帐户，例如具有时效性的验证码。相比单纯地依赖密码，这种方法提供了更高的安全性。如果您的设备或帐户上存有敏感或个人信息，使用多因素身份验证就更为重要了。

密码管理器

密码对于保证帐户和网络安全非常重要，而每个帐户使用唯一的强密码 是至关重要的。强密码应该有至少 15 个字符（越多越好），且包含大小写字母、数字和符号。密码管理器可以帮助您跟踪密码。它们是安全的唯一密码保管库，保护这些密码免受黑客攻击。

网络安全意识培训

随着网络犯罪的增加，企业应向员工宣传与网络攻击相关的风险，以及在发生网络攻击时如何应对。通过对用户进行网络威胁形势方面的科普，您可以帮助他们识别可疑活动，如网络钓鱼电子邮件等。

端点检测和响应 (EDR)

EDR 解决方案监控网络和端点的行为并存储这些日志。EDR 技术可以为安全人员提供了解网络攻击性质所需的数据，自动发出警报并执行端点修复。

网络犯罪分子通常不会只使用一种反病毒软件规避技术。相反，恶意软件能够应对不同的情况，将成功几率最大化。所幸的是，安全领域的专业人员保持警惕，不断学习新的反病毒软件和恶意软件规避技术，开发出新的防御方法。

相关文章：

• 什么是端点安全？它是怎样运作的？
• 恶意软件如何入侵系统
• 社交工程
• 恶意软件分类
• 选择反病毒解决方案

相关产品：

• Kaspersky Endpoint Security