杀毒软件最没有创新精神
杀毒理念的升级换代，杀毒软件功能的更新是随着病毒攻击特性的变化而变化的。有安全达人曾经讲过这样的话：“杀毒软件行业可能是最没创新精神的软件行业，谁都没办法准确预知新威胁用什么方式出现，杀毒软件只能根据现有的，已被发现的攻击手法做针对性的响应。”这是千真万确的事实。
一开始，杀毒软件是没有防御功能的，当感觉系统异常需要检查检查时，才拿出干净的启动盘开机做病毒扫描。这个理念至今影响着一部分人：他们认为，杀毒应该用干净的系统引导，需要断开网络，彻底杀干净再连机。他们认为，为了杀毒，系统是可以正事不干，一扫大半天是蒙骗老板不干活的好借口。
在感染型病毒越来越常见之后，就有了文件实时监控，也就是许多人分不清楚的所谓防火墙，用来对硬盘上正要访问的文件进行实时检查。Office宏病毒高发后，杀毒软件考虑在每打开一个office文档时进行特别检查。直到微软将office宏功能默认关闭，宏病毒的传播才逐渐减少。蠕虫病毒泛滥源于Windows漏洞频发，而且都很致命。杀毒厂商为此设计了防火墙（FireWall），中国杀毒软件还特别针对盗版严重的问题把修补漏洞做为重点突破口。蠕虫病毒也被成功遏制。邮件蠕虫依赖outlook和outlook express的安全漏洞传播，当微软的这两个软件变得越来越安全，邮件蠕虫很快就走了下坡路。随后WebMail和即时聊天工具的应用超越传统邮件的使用，客户端收到电子邮件蠕虫的可能性变小，杀毒软件将邮件监控剔除，也不影响防毒效果。
在病毒和杀毒软件大战若干年后，必须联网的后门、木马成为病毒的绝大多数，感染型、宏病毒、蠕虫虽未绝迹，均已相当少见。病毒的目的也由技术炫耀彻底转向经济获利，以获利为目的的后门、木马，必然需要联网才到达到其目的。而后门木马入侵之后 ，最主要的表现就是潜伏，尽可能不对系统运行产生负面影响，从而长时间潜伏，伺机盗窃。
在金山毒霸论坛上，看到过这张介绍病毒生命周期的示意图，比较清晰的看到杀毒软件和病毒之间的对抗。从图中看出，杀毒软件的本质，乃是尽可能缩短病毒的生命周期。


以上例子皆证明：
杀毒软件只能随病毒攻击技术的变化而变化，无法抢在病毒攻击手法的前面。而只能是亦步亦趋，见招拆招，用技术对抗来压缩病毒的生命周期。
道高一尺、魔高一丈
病毒木马最终都将被杀毒软件从电脑里清除掉，在清除掉之前，病毒作者会想出各种各样的坏招来逃避。在某一时期病毒作者占上风，杀毒软件狼狈不堪：比如，2007年前后，大量盗号木马利用IE漏洞挂马攻击，点击链接就会立刻中毒。杀毒软件在很长一段时间内处于疲于奔命的状态，加一个新特征很快就失效，病毒通过网页传播的速度非常快。直到某一天安全软件实在受不了折磨，搞出了类似金山网盾的防御工具，才控制了网页挂马泛滥成灾的局面。
随后，为了对付病毒层出不穷的变种通过其他渠道传播，安全厂商开始选择行为防御。拦截程序运行的行为，对系统主要启动点进行重点盯防，任何程序一动这些敏感点，立刻报警。为应对行为防御带来的高误报，杀毒厂商的另一只手在不停地为正常程序添加白名单。而白名单的不断增加却导致了另一种风险，后面的内容会对此作出说明。
金山就把重点心思放在搞文件鉴定上，试图把所有新生的文件全部分出黑与白，最早在云安全系统中打下坚实的基础。然后以庞大的黑白名单库为支撑，迅速推出K+防御平台，恶意软件偷偷篡改系统关键启动点、开机自运行的路基本被封堵。
在行为防御和云安全系统的联合绞杀下，在相当长的时间里病毒似乎无计可施。病毒开始放弃赤裸裸的盗窃，逐步走向灰色化、流氓化。变换各种花招篡改浏览器，在桌面创建一个商业网站的快捷图标，这些都使用了超常规的方法来实现，用户对这些篡改显得无可奈何。这些新的攻击方法普遍不再篡改传统的系统开机加载点，而是借助各种正常软件（白文件）的漏洞实现程序的间接加载。杀毒软件赖以自豪的行为防御，就这样又一次被病毒作者大量绕过，病毒作者成功摆脱杀毒软件主动防御系统带来的被动局面。
新防御模型
在前面的讲述中，已看到杀毒软件防御体系的演变：杀毒软件从单纯的病毒扫描器，到文件实时监控，再到主动防御，然后是云安全系统。主流安全厂商的产品改进大致遵从了这样的路线。最近关注金山毒霸论坛，清晰的观察到金山毒霸又一次不负众望，走在国内安全厂商的前面。
我们看到全新的金山毒霸重新设计了以下三个层面的防御体系，其核心仍是金山云安全系统。



最外层：以K+防御为核心的边界防御
囊括了边界防御、防黑墙、99秒云鉴定，这是金山毒霸2012的核心技术点，边界防御是系统入口点的第一道门户。在病毒可能到达用户系统的下载通道、聊天通道、浏览器通道、U盘通道等位置重点盯防。其拦截的效果，取决于云安全系统本身的响应速度。2011年，金山做到了99秒识别绝大部分EXE格式的可执行文件。
为网购用户量身打造的金山网购保镖很好地贯彻了边界防御的思想，在网购开始至结束的全过程进行监控拦截。结果令人振奋，声称用了金山毒霸的用户若网购被骗，就立刻赔付。迄今为止，金山毒霸2012仍然是国内唯一一个对消费者进行赔偿的安全软件，显然，这需要的不仅仅是勇气，还是一种自信心的表现。
金山毒霸的边界防御还包括对恶意网页的拦截过滤，内置的网盾防御模块，一样会把挂马网页挡在系统外面，一些提供恶意软件下载的黑链接、钓鱼网站，在没有到达桌面端就被过滤掉了。
金山毒霸防黑墙，则是为重点防御远程黑客对普通用户电脑进行远程入侵的一种方案，弥补了Windows防火墙的一些不足，同时，也没有传统防火墙对用户正常使用电脑的大量干扰。金山毒霸防黑墙意外的收获是抓住了最活跃的攻击源位置，可以进一步控制和减少恶意攻击的发生。

第二层：传统的文件扫描引擎
虽然边界防御的模型很理想，但不能仅指望在这一层就将所有威胁拦截完成，总会有意外发生。若病毒木马穿越了最外面的边界防御体系，刚在第二层由文件扫描引擎继续阻击。
毫无疑问，这仍然是云安全系统最核心的应用，云服务器自动处理样本的能力经受了一拨又一拨的考验。云端集成的沙箱和30余款鉴定器每天鉴定数以万计的新病毒样本，自动提取微特征，再发布到外网，整套系统做到7*24小时无人值守又高效运转。

第三层：KSC系统云启发引擎
最初的设计是有病毒穿过了前两层，对系统造成一定的损伤。怎样用一种更快速的响应机制来在及时响应。在找到这套机制之后，金山又将其和K+防御系统关联起来，迅速重新强化了系统边界。
在云安全系统的运行实践中，金山也发现云安全鉴定大的风险不是将正常软件误报为黑文件，因为这种误报往往有相应的厂商主动寻求解决，大的风险是将一些有害程序误鉴定为白文件。尽管这种情况发生率很低，但是确实存在，且是较大的风险。
而且，越来越多的病毒在利用正常软件实现间接加载，典型的例子在安全论坛中提到过多次，一个恶意软件利用了10来个正常软件实现了间接启动。病毒不再直接修改系统启动项，而只是在满足一些特定条件时触发，比如按了某个热键、切换了一个正常的功能。
传统的基于文件特征鉴定的方法不再很有效。工程师们经过长时间的跟踪努力找到了新的解决方案，就是KSC系统云启发引擎。
这套引擎本身是基于系统层面的，重点检查一些系统注册表键值的变化，所检查的范围远远超出了主动防御系统所保护的范围。只要KSC引擎发现系统关键启动点出现异常配置，就会记录下来分析，即使这个异常配置与鉴定为正常的白文件相关联。当白文件出现在不该出现的位置，就可能危及系统安全。这就好比某个合法公民突然出现在银行金库里，安保系统就同样会如临大敌。
KSC云启发引擎还拥有自学习的功能，能够自动对新出现的异常配置作出响应，在云端的KSC引擎库中记录了数以百万计的配置记录。在完全不依赖文件检查的情况下，KSC系统云启发式引擎也可以分析系统配置出现的异常，并将异常加以修复。
尽管最初的设计是以修复系统为主，但工程师们还找到了意外的惊喜：将KSC系统云启发式引擎和K+防御系统相结合，KSC系统云启发式引擎识别的防御点，可无限拓展K+防御系统。由此，最初设计的检测和修复，就和位于边界的K+主动防御实现了联动。

在这三层严密体系的保护下，病毒作者又该郁闷一阵子了，我们也期待国内其他安全厂商能与时俱进，继续打造更加严密的病毒防御体系。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！