解读金山网盾3.5 0day漏洞免疫技术

解读金山网盾 3.5 0day漏洞免疫技术

关键字：金山网盾 0day漏洞 Pwn2Own黑客大会 沙箱

第三届Pwn2Own黑客大会 上 ，Apple's Safari, Mozilla's Firefox和Microsoft's Internet Explorer 8 相继被黑客攻破。证明，所谓的安 全 浏览器本就不存在。

浏览器是那样容易被入侵，其中有个很重要的原因是0day漏洞不断被发现和利用。 攻击者蓄意制造一个页面，将其嵌入到正常的 网页中，用户使用浏览器访问这些页面，攻击代码就可能随 之入侵。这是 2008年以前，绝 大部分病毒 木马入侵用户 电脑的方式。

对付这种攻击，以前，只能等待相关厂商发布补丁 程序。在0day被公布利用到厂商发布补丁，再到用户安装补丁程序，有太长的危险暴露窗口期。 在此期间，用户的电脑非常容易被入侵。

金山安全实验室的工程师们希望找到一种新的机制， 这种机制可以识别0day漏洞的普遍特 征，并尝试将有害代码成功过滤。工程师们设计了四层过滤器： 行为识别 ； 脚本引擎 ； 漏洞攻击代码精确识别 技术和网址云安全，这是国内应用最早的浏览器安防体系。

 

 

相对于其它产品采用沙箱技术来说，金山网盾的四层 防御更简洁，因为无须在沙箱中运行可疑脚本，这会造成卡浏览器和性能降低。并且采用沙箱技术的，只是个别浏览器，而金山网盾的防御机制则通用于 IE 浏览 器、遨游浏览器、TT浏览器、搜狗浏览 器，以及Firefox、Chrome浏览器 。当然金山网盾比纯依赖恶意网址收集的防御工具更有效，因收集类的安防产品，总比攻击要慢一 拍。并且，这里最大的问题是，不能即时更新。比如，某个网站因为被黑客攻击而挂马， 管理员及时发现并解除了攻击，而依赖网址收集的防御工具 还会拦截用户去访问已经正常的站点，而金山网盾就不存在这个问题。

截止目前， 金山毒霸安全实验室还没有证实任意一种网页挂马可以突破 金山网盾的拦截机制。2009年 前后 出现 的 多个 被 用于挂 马攻击的0day漏洞 （ DirectShow 0day 、 Flash 0day 、Adobe 0day、IE 极光0day漏洞等 ），金山网盾不做升级即可拦截成功。