虚拟机与启发式应用已经很长时间了，不能算是下一代防毒技术。其中虚拟机技术在对付加壳病毒较为有效，“刺破”外壳后根据原有的病毒特征值进行判断并查杀，但对去壳之后病毒库没有样本的病毒束手无策。启发式则是收集病毒的广谱特征，根据“DNA”来判断族群病毒，达到查杀的目的。但对形式灵活的木马查杀效果并不理想。虚拟机和启发式主要还是使用特征值分析，并没有摆脱传统杀毒模式的套路。目前流行的免杀技术都可以使其失效。

    主动防御是大势所趋

    电脑报：在下一代防范病毒的技术中，主动防御占据怎样的位置？主动防御是否已经成为安全厂商的救命稻草？

    刘旭：说到下一代技术，顺便提一下之前我国安全行业经历了两个阶段。

    第一个阶段是91-95年的防病毒卡阶段，借助PCI扩展槽添加硬体防毒设备，通过程序行为分析的方式解决DOS下的病毒。随着Windows 95的出现慢慢被人们废弃。

    第二个阶段是94年至今的传统杀毒软件时代，从用户上传可疑程序中获取病毒特征，升级病毒库对旧有病毒起到防范作用。随着呈几何式增长的新病毒数量，这种模式也已经走到了尽头。

    即将到来的第三个阶段我认为将是主动防御阶段，结合防病毒卡的行为分析手段与传统杀软的特征码识别，以行为分析判断为主，以特征码识别为辅，以静制动，达到防范效果。从微点主动防御软件来看，已经可以识别并清除99％以上的未知病毒。这一点，是当前杀毒软件望尘莫及的。

    目前，国际上的麦咖啡、诺顿，国内的瑞星等安全厂商都在积极推广旗下的所谓的主动防御产品。但在我看来，这些产品还处于概念阶段。举一个很常见的例子，在使用某款号称具有主动防御功能的产品时，经常会遇到“有程序正在向您的计算机设置全局挂钩，是否允许”之类的提示，什么叫全局挂钩？一般用户可能不理解，也就无从选择。用户使用杀毒软件，就是将杀毒防毒的工作交给软件，现在反而要自己进行判断，这是不合理，更是不负责任的。所以现在的杀毒软件越来越像“高手”专用的，表面上是易用性和亲民性不足，实际上是这些安全软件还没有真正成熟的主动防御技术。仅对单一程序动作报警，而没有对程序动作进行关联分析，并不是真正的主动防御产品。而微点的安全产品对程序的一系列动作通过逻辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实现对病毒的自主识别，明确报出、自动清除，让安全软件更加易用，这也有赖于深层技术的支持与保障。

[1] [2] [3] [4]