X宝盒

        一年前,当熊猫烧香肆虐互联网的时候,恐怕没人想到熊猫烧香会成为杀毒软件的分水岭,没人会想到08年是杀毒软件主动防御年,没有人会想到熊猫烧香催生特征码集体转向主动防御,没人会想到熊猫烧香改变了杀毒软件的历史.

        在熊猫烧香之前,使用特征码技术的传统杀毒软件活得很滋润.但不凑巧,特征码这回遇到了熊猫烧香.特征码是一种很有疗效的杀毒方式,其工作原理是：有一杀一,只要病毒库里有记录,马上就会药到病除,顶多偶尔闹个小误报.但是特征码的缺点也恰恰在于病毒库,病毒库里有的样本就可以杀,病毒库里没有的样本就杀不了.而特征库的收集要完全依赖于有人先中毒,中毒把病毒上报,反病毒工程师分析后提起病毒特征码,随即升级病毒库之后杀毒软件才能杀毒.
        如果熊猫烧香没有变种,那么特征码技术对付它完全不费吹灰之力.但是李俊同学这把完全打破了以往的游戏规则,玩儿得太狠了,第一次大批量规模化的生产病毒,弄得特征码杀毒措手不及.昨天的特征码还没有更新,今天的新变种就又出现了.叱诧风云十数载的特征码杀毒,被熊猫烧香累得气喘吁吁.

        其实,“熊猫烧香”是一个传染型的DownLoad,使用Delphi编写,从技术上来说它并没有什么创新之处,却借鉴很多经典病毒,木马甚至是流氓软件的技术优点.综合成了一个拥有可爱的图标却让人闻之色变的病毒.它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,”添加注册表启动项“,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的病毒技术.但就是这些“不算最新”的病毒技术却在全国上下揭起了一股“烧香”热潮.
        优胜劣汰,适者生存.达尔文的进化论同样适用于病毒和反病毒.李俊用频繁编写变种的手法彻底击溃了特征码,那么很必然就会有另一种技术站出来取代特征码而遏制李俊的熊猫烧香.这就是主动防御技术.

       可以说主动防御恰恰是李俊和熊猫烧香的克星,李俊用变种和免杀肆意摧残杀毒软件的手法,遇到了主动防御一下就现了原型,无论李俊绞尽脑汁如何变化,始终无法突破主动防御.原因也很简单,主动防御是行为杀毒,黑客所使用的免杀手法其实都是换汤不换药,只给病毒换了件衣服而对病毒最本质的行为则保持不便.李俊使用的那些成熟得发俗的病毒行为早就在主动防御的掌控之中,即使李俊晚几天被抓,再出上他一万个熊猫烧香变种,一样还是逃不出如来佛的手掌心.熊猫烧香最后烧出了个主动防御年,恐怕李俊本人也没有想到.