解读金山网盾3.5 0day漏洞免疫技术
关键字:金山网盾 0day漏洞 Pwn2Own***大会 沙箱

第三届Pwn2Own***大会
Apple's Safari, Mozilla's FirefoxMicrosoft's Internet Explorer 8相继被***攻破。证明,所谓的安 全浏览器本就不存在。
浏览器是那样容易被***,其中有个很重要的原因是0day漏洞不断被发现和利用。***者蓄意制造一个页面,将其嵌入到正常的网页中,用户使用浏览器访问这些页面,***代码就可能随 之***。这是2008年以前,绝 大部分病毒******用户电脑的方式。
对付这种***,以前,只能等待相关厂商发布补丁程序。在0day被公布利用到厂商发布补丁,再到用户安装补丁程序,有太长的危险暴露窗口期。 在此期间,用户的电脑非常容易被***。
金山安全实验室的工程师们希望找到一种新的机制, 这种机制可以识别0day漏洞的普遍特 征,并尝试将有害代码成功过滤。工程师们设计了四层过滤器:行为识别脚本引擎漏洞***代码精确识别技术和网址云安全,这是国内应用最早的浏览器安防体系。
 
 
相对于其它产品采用沙箱技术来说,金山网盾的四层 防御更简洁,因为无须在沙箱中运行可疑脚本,这会造成卡浏览器和性能降低。并且采用沙箱技术的,只是个别浏览器,而金山网盾的防御机制则通用于IE浏览 器、遨游浏览器、TT浏览器、搜狗浏览 器,以及FirefoxChrome浏览器。当然金山网盾比纯依赖恶意网址收集的防御工具更有效,因收集类的安防产品,总比***要慢一 拍。并且,这里最大的问题是,不能即时更新。比如,某个网站因为被******而挂马,管理员及时发现并解除了***,而依赖网址收集的防御工具 还会拦截用户去访问已经正常的站点,而金山网盾就不存在这个问题。

截止目前,金山毒霸安全实验室还没有证实任意一种网页挂马可以突破 金山网盾的拦截机制。2009前后出现多个用于挂 马***的0day漏洞DirectShow 0dayFlash 0dayAdobe 0dayIE 极光0day漏洞等),金山网盾不做升级即可拦截成功。