反病毒软件在客户端网银交易的安全解决方案

　　在网银交易中，各国都把反病毒软件都作为保护客户端网银交易的重要保护手段之一。由于网银木马种类繁多，技术多样。本篇文章中，以江民KV反病毒软件为例，介绍解决方案。

基于行为的主动防御机制

    包括网银木马在内的绝大多数恶意软件，都有一些共同特征。
例如：
* 创建注册表键值，使自己可以在系统启动时自动运行；
* 创建自动加载的服务；
* 将自己设置为BHO插件或运行钩子等，依附于浏览器等常用进程启动；
* 创建远程线程，把代码注入到IE等进程，用以躲避防火墙；
* 采用Rootkit技术，用以隐藏和保护自己；
等等……

　　江民杀毒软件利用注册表监控、远程线程监视、反Rootkit、系统监控等技术，实现了对这些敏感行为的监控，能够在木马实现这些操作之前进行拦截防御，并提示用户。
　　在没有病毒库支持的情况下，主动防毒体制能够拦截绝大多数未知病毒。

　　同时，进行敏感操作的可疑程序会被发送到江民公司的病毒收集服务器，供反病毒工程师分析。新的升级病毒库可以在很短的时间内制作完成，供所有用户下载升级。

　　江民反病毒软件主动防御机制工作原理图示如图3。

图3

　　将窃取的用户资料通过网络发送出去，是几乎所有木马的共有行为。江民反病毒软件具有隐私保护功能，可以让用户设置自己的隐私数据，比如银行帐号密码、游戏帐号密码等。所有从用户计算机发送出去的网络包都要经过隐私保护模块的过滤，那些包含隐私数据的网络包将被拦截。这样，即使用户的隐私数据已经被木马成功窃取，也无法轻易发送出去，避免了用户的损失。

隐私保护示意图见图4。

图4

江民“密保”——密码保护利器

    针对以网银木马为代表的盗取密码类恶意软件，江民公司在原有隐私保护模块的基础上，增加了若干系统监控模块和可疑程序分析模块，设计出独立的密码保护产品——“江民密保”。

　　“密保”主要针对网银交易的特点设计开发，可以对网银、网游、即时通讯软件等几乎所有账号、密码进行有效保护。在模拟测试中，“密保”对盗号木马的拦截率达到100%。

“密保”工作示意图见图5。

图5

强劲的杀毒能力

　　很多恶意软件运行后具有自我保护能力（如采用Rootkit技术），来对抗反病毒软件的查杀。江民公司的对策是给KV反病毒软件增加了BOOTSCAN功能。BOOTSCAN可以在系统没有完全启动时加载运行，对磁盘文件进行扫描和清除。因为BOOTSCAN抢在绝大多数恶意软件之前运行，所以不会受到它们自我保护功能的影响，杀毒效果非常好。

    江民公司的软件正在为中国上亿网络用户提供网络安全保护。凭借优秀的防毒、查毒、杀毒能力，江民公司很早就与汇丰银行（HSBC）中国总部成功达成OEM合作。汇丰银行向其中国网银用户推荐江民反病毒软件用来保护客户端用户的安全网银交易。