主持人:
我们知道映像劫持可以把反病毒软件或者安全工具劫持,那可不可以反过来利用这个劫持技术保护计算机呢?
李铁军:
可以,正常的计算机也能用。如果观察有两个可疑程序,我也使用映像劫持技术让你不能启动,这是可以的。这个办法也不错,但是也有风险,假如说映像弄错了,可能系统就进不去了。这种情况安全模式可能都进不去,这就需要第三方的工具来恢复正常状态了。所以还是有风险的。
主持人:
假设说我已经看出这两个进程是有问题的,都可以写到映像里,这样下次启动的时候就起不来了。
李铁军:
这样做来的更容易一些,比暂停更好。因为有时候不知道该暂停哪一个,工具的使用不像初期来的那么直接。
主持人:
还有其它技术可以实现这种映像劫持的功能吗?
李铁军:
目前用的比较多的就是这个,非常有效。应该还会有其它的技术,病毒利用的技术应该会越来越多。
主持人:
我们希望这种技术不会被人发现。
李铁军:
总会有人发现新的技术,可能早已深藏在系统的某一个角落里。
主持人:
反病毒公司可不可以提前做预防呢?
李铁军:
反病毒厂商也在分析系统可能存在的已知的弱点,然后进行一些防范措施。比如说我们现在4.2版本专杀工具就劫持、保护这个系统的相关键不被修改,这种情况下系统安全就提升一些。但是未来会不会有新的东西,肯定会有新的东西,在没有被病毒技术广泛使用之前,杀毒软件公司通常不会做相应的预防,发现威胁越来越强的时候杀毒软件公司才会做技术处理。
主持人:
如果两年前发现映像劫持被利用,我们也未采取了措施,一方面是因为造成的危害不是很大,但还有什么其他原因呢?
李铁军:
主要是风险,我们做了一定的修改以后可能会影响用户使用电脑。像SSM类的软件、主动防御类的软件,都可能是进行了先期防护。易用性和安全性始终是矛盾的,什么东西都是越简单越好,但是越简单就越容易被不法分子和技术所利用。
主持人:
我记得你经常写博客文章,有篇关于映像劫持技术的文章,当时是说帮助别人清除这类病毒,能说一下当时的实际经历吗?
李铁军:
因为我是在论坛呆着,有天比较晚的时候,有一个朋友说他的网络不好,分析现象是AV终结者,让我帮他分析找原因,我就通过QQ远程上去了。QQ还可以远程协助,说明本地的电脑基本没受什么影响。我连过去之后发现了这个现象,通过手工找到病毒,把病毒样本找到然后把病毒删除掉。
主持人:
同时把病毒样本也保留了下来?
李铁军:
对,我们首先做的就是保留样本。不仅仅是保留样本,还是为了防止万一弄错了还有机会还原,我们做的时候会给用户留一些还原的机会。
主持人:
今天很感谢铁军帮我们详细讲解了映像劫持技术以及预防的措施,再次感谢大家前来赛迪嘉宾聊天室!(责任编辑:李磊)
