信息安全新观点 敦科尔克大撤退

核心提示：新一代的后门变得愈发难以检测，微软研究实验室创建了一个基于虚拟机的后门原型——SubVirt，信息安全新观点 敦科尔克大撤退(6)，SubVirt实现了在操作系统下底层构建一个虚拟机监视器，其可以使得木马本体在宿主操作系统中不可能被发现，Postni从2002年元月起开始的一项调查表明，垃圾邮件

新一代的后门变得愈发难以检测。微软研究实验室创建了一个基于虚拟机的后门原型——SubVirt。SubVirt实现了在操作系统下底层构建一个虚拟机监视器，其可以使得木马本体在宿主操作系统中不可能被发现，因为其运行状态根本不可能进入宿主操作系统的安全软件监控之中。

图：界面如此友好的木马

软件是尽最大可能利用现有防病毒软件基于签名、特征的检测机制弱点进行衍生与传播，这是无法根除恶意软件的原因之所在。从技术角度上而言，基于签名的检测机制首先要求能够有能力以最快的速度维护并扩充一个包含每一种新的恶意攻击行为的信息库。攻击以及其传播的速度远远超过补丁的发布与部署速度。2001年著名的“红色代码”蠕虫每分钟感染创记录的2000台电脑。加州伯克利分校的Nick Weaver曾经提出过一种可以超高速进行传播的蠕虫“Flash Worm”，其理论上可以实现15分钟之内感染互联网上几乎所有存在相应漏洞的计算机，甚至构造优良的Flahs Worm其传播速度可能以秒为数量级来计算。另一种绕过基于签名的检测机制的技术方法是类似Torjan.Mdropper.B以及Trojan.Riler.C这类针对一个特定公司或者行业的自定义的木马程序，其利用到了尚未公开的一些漏洞以及底层核心技术，而轻松绕过防病毒软件的检测与监控。这种方法也呈现出一定的增长趋势，必须要引起进一步的重视。

垃圾邮件

地球上连续12年最富有的人——Bill Gates微软首席软件架构师曾经预测2006年Spam——垃圾邮件会消失，然而他错了。Postni从2002年元月起开始的一项调查表明，垃圾邮件的活跃程度增长了65%，直至2006年4月份的报告显示互联网中70%以上的邮件：也就是说每14封邮件中有10封属于包含各种商业小广告、色情内容等的垃圾邮件。