全面解析Nod32独有ThreatSense技术

network

全面解析Nod32独有ThreatSense技术
认识防毒业界最新防护技术

我们常会听到「某某防毒品牌比其它品牌优胜」、「某品牌屡获权威测试机构最高评价」之类的宣传句子，但说到防毒品牌之间有何差异，却未必人人说得出来。事实上，优胜的防毒品牌采用了怎样的压倒性技术，让它在测试中傲视同齐？这些技术又有何革命性的意义，更周全地保护我们的计算机安全呢？在本篇文章中，我们将会深入剖析 NOD32 专利的 ThreatSense Technology 与崭新的 ThreatSense.Net 系统。

直至现时，几乎所有防毒软件还是主要透过病毒数据库里的病毒特征数据，以此与扫描中的档案们加以对照，从而把合乎条件的真正病毒区分出来。面对几乎每天都有新病毒或变种出现，各防毒软件也唯有不断进行特征更新 (Signature Update) 与壮大自己的病毒数据库，确保在最短时间内把最新的病毒特征数据收录其中。

这种处理方法看似简单妥善，但网络世界里出现过的病毒种类高达 7 万多种，即使是仍活跃的品种数目也达到数千种以上；若病毒数据库要一口气全数收录，数据库体积必然非常庞大，就是在扫描系统时进行逐笔数据对照，过程也极为费时。因此，像 NOD32 等较先进的防毒程序，已逐渐改变这种特征检测 (Signature-based Detection) 的防毒方式，进化成采用较新型的普遍特征 (Generic Signature) 检测技术。

所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，及后经由其它病毒作者修改或自行演化，最后变化出数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种也制作一笔独立的特征数据；而较新的普遍特征检测，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的品种普遍特征。

在进行系统扫描时，由于采用较少笔数的特征数据项已能检测同样庞大的病毒种类，因此进行对照工序时便能大大缩短时间。同时，对于由同一品种源头变化出来的新变种，只要吻合该族群的普遍特征条件，即使未更新病毒数据库亦很有可能成功进行拦截。因此，NOD32 更新数据库需时极短，每次更新不过下载 20KB 至 50KB 不等，绝不会加重网络与硬盘的负担。

不少使用过 NOD32 的用户，都会惊讶它体积纤巧与速度惊人，其中一个成功之处在于 NOD32 采用综合性防护架构 (Integrated Protection)。NOD32 利用单一 ThreatSense 引擎处理病毒、蠕虫、广告软件、木马、间谍软件、网络钓鱼等各类恶意程序，大大简化工序与执行效能。

某些防毒品牌利用多套独立软件处理不同的恶意程序，整套套件容量高达数百 MB 之巨，这样不单加重了系统负担，复杂的架构也造成管理困难，甚至在重迭的防护机制里造成保安漏洞。相比之下，根据 Virus Bulletin 的测试指出，NOD32 的综合性防护架构的扫毒速度往往比其它防毒品牌快 2 倍至 5 倍，表现非常出众

network

高级启发式技术

互联网的普及，让新病毒能在极短时间内迅速散播至世界上的每一个角落；恶意程序的作者们在撰写新的病毒、蠕虫与间碟软件时，也致力于如何绕过防毒软件的法眼，包括利用各种组合与包装技术来伪装，好让自己的「大作」可侵入系统大肆破坏。即使采用普遍特征 (Generic Signature) 检测技术，若遇上并非由已知病毒变种而来的新病毒品种，也就是说病毒库内并无有关特征数据，防毒软件还是无法将新病毒辨认与进行拦截。为了更迅速应对危机，防毒品牌无不强调更新病毒数据库之快；但即使行动有多迅速，在病毒首次现身与用户成功更新数据库之间，还是存在一段时间差，这段时间差可由数分钟到长达数天不等，视乎防毒品牌的效率而定。

那么，计算机系统在这段时间里不就宛如出现缺口，任由病毒肆虐？针对这种状况，NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外，亦加入了更卓越的先进启发式技术 (Advanced Heuristics Technology)，有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术，它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并在虚拟的仿真系统环境里执行它，以观察是否包含任何具危险性的恶意行为。

该技术可说与普遍特征检测技术互相补足，构成完美的保安防线。例如，在 2005 年 9 月出现的 Win32/Bagle.DC 与 Win32/Bagle.DD 蠕虫病毒，特性是透过电子邮件方式感染，当时则以每小时 2000 封电邮的速度向外散播；它在设计上故意避开了依靠特征检测系统，使绝大部分依靠特征更新的防毒软件无法作出实时响应。而 NOD32 的 ThreatSense 引擎则迅速发现该入侵，显示了主动式与实时防护的重要性。事实上，在国际权威的主动式防护测试里，ThreatSense 引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus)，表现超卓。

为了强化 ThreatSense 引擎的准确性与效率，NOD32 在最新版本里加入了崭新的 ThreatSense.Net 预警系统。该系统可说是把 ThreatSense 的优秀病毒分析能力，由个人计算机范围拓展至全球性规模处理；每当客户端的 NOD32 遇到疑似病毒的档案时，便可自动或手动地将该档案压缩加密，并经由电邮寄送到 sample@eset.com，快速地交由 ESET 原厂的相关人员进行分析研究；一旦发现确定为病毒，厂方便可尽快进行后续的处理动作。