生活中有許多的漏洞很影響人們的使用�,有了掃描器可以很大程度的減少漏洞出現(xiàn)���,方便人們更加方便的使用�。
漏洞掃描器和病毒掃描器沒什么不同。兩者的目標都是在目標中發(fā)現(xiàn)異常的東西�。病毒掃描器會掃描電腦里的本地資源和本地存儲來發(fā)現(xiàn)潛在惡意軟件。漏洞掃描器掃描一些目標找出潛在的有漏洞的軟件���。兩者都是使用類似的技術�����。
基于指紋掃描
掃描器查找可識別的特征��,這些特征由掃描器制作者提供或從公共數(shù)據(jù)庫獲取��。比如
- 一個病毒掃描器會查找惡意執(zhí)行文件才存在的字節(jié)序列����。如果它發(fā)現(xiàn)這串序列,就認為發(fā)現(xiàn)了一個惡意文件
- 一個網(wǎng)絡掃描器會檢測一定的服務響應���,來識別服務器使用的確切版本���。這種方式可以非常簡單,如響應直接攜帶版本信息���,也可能非常復雜,如只能從特定行為上識別�。
基于指紋掃描有如下優(yōu)點:
- 非常快����,因為除了序列匹配��,并沒有其它操作
- 它是非侵入式���,沒有什么副作用
- 實現(xiàn)簡單,不需要額外定制代碼����,同時也有公共指紋庫作為基礎來建立自身數(shù)據(jù)庫
但它也有缺點:
- 不準確,指紋不能確保發(fā)現(xiàn)結果是真實惡意
- 也沒有絕對證據(jù)證明上報結果是惡意�,因為只是匹配指紋,會有非常多誤報
- 局限于現(xiàn)有指紋�����,無法識別變種�����,或新惡意軟件
基于行為的掃描(啟發(fā)式掃描)
另外一種掃描惡意內容的方法是通過分析目標的行為���。這意味著掃描器需要清楚目標的工作模式���。比如:
- 一個啟發(fā)式病毒掃描器發(fā)現(xiàn)一個潛在執(zhí)行文件�。它會對執(zhí)行文件進行逆向分析來檢查代碼是干什么的(檢查它的動作是否惡意)或者在安全環(huán)境運行它來查看結果
- 一個web漏洞掃描器發(fā)現(xiàn)一個允許用戶輸入的標簽�����,它會嘗試發(fā)送一些意外數(shù)據(jù)來蒙騙目標�����,然后分析響應檢查是否成功
啟發(fā)式掃描有下列優(yōu)勢:
- 從理想層面���,它能夠發(fā)現(xiàn)任意威脅���,甚至是定制的0day或1day。這要依賴軟件的先進程度
- 它更準確���,因為它可以檢查假設是否正確���。有時它甚至可以提供POC
但有如下不足:
- 它比基于指紋的方式更占資源,需要的時間更長���。
- 制造一個這樣的掃描器非常困難,對人員要求高,需要對每種檢查寫專門代碼�����。
兩全其美的方案
很多專業(yè)掃描器都嘗試使用這兩種掃描方案��,但主要掃描方式依賴于進行的掃描目標:
- 病毒掃描器大多主要是基于指紋�����,一些高端會有基于行為�,但一般是可選。
- 網(wǎng)絡掃描器大多也是基于指紋��,它主要是用于發(fā)現(xiàn)過時軟件版本和不當配置
- web掃描器主要是啟動式�����,適當時候會用指紋
通過上面所說的我們對掃描器有了簡單的了解��,以后遇到相似的問題也可以通過使用掃描器來解決一些問題��。