网络电话 | 地铁 | 微信 | QQ |
 
关于我们 | 业务合作 | 联系我们 | 收藏本站
阅 读
您现在的位置:
首页 > 阅读
 
zhudongfangyu.exe是什么进程
文章类型:安全技术     原创:天诺时空
  最近有网友在问:zhudongfangyu.exe是什么进程?是木马或病毒吗?

  Zhudongfangyu中文全称是“主动防御”。

  zhudongfangyu.exe是360安全卫士的主动防御服务(ZhuDongFangYu.exe)进程。用来监控电脑系统,防止电脑病毒出现并阻止病毒或木马的安全进程。

  zhudongfangyu.exe进程是非常安全的进程,这个主动防御项为360用户提供实时保护、文件审计、主动防御、智能加速等功能,使360云查杀引擎的扫描速度提高了10倍,内存占用节省了80%,木马查杀效率也大幅提高,建议您不要关闭。

  我们以Windows XP+SP3为例进行说明:

  按Ctrl+Alt+Del键,弹出Windows任务管理器,可以看到ZhuDongFangYu.exe进程。

  
            zhudongfangyu.exe是360安全卫士的主动防御服务进程


  注意:关闭360主动防御进程将降低系统安全,建议用户不要关闭此项服务。关闭此服务可能会导致木马防不住、查不出,并严重降低扫描速度,影响电脑的性能、用户体验以及系统安全性。而这个服务本身只占用极小的内存、CPU等资源,不影响用户任何操作与其他软件的正常运行。

  目前,很多安全厂商在推出新产品时,总是强调该产品具有“主动防御”技术,可以防御未知病毒、未知威胁、零日攻击等。根据安全专家的分析,所谓“主动防御”其实是针对传统的“特征码技术”而言的。

  什么是主动防御?

  主动防御此处特指通过对计算机病毒的行为进行分析来实现检测的技术。

  主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。

  一般意义上的“主动防御”,就是全程监视进程的行为,一但发现“违规”行为,就通知用户,或者直接终止进程。它类似于警察判断潜在罪犯的技术,在成为一个罪犯之前,大多数的人都有一些异常行为,比如“性格孤僻,有暴力倾向,自私自利,对现实不满”等先兆,但是并不是说有这些先兆的人就都会发展为罪犯,或者罪犯都有这些先兆。

  因此“主动防御”并不能100%发现病毒或者攻击,它的成功率大概在60%--80%之间。如果再加上传统的“特征码技术”,则有可能发现100%的恶意程序与攻击行为了。从国外的情况看,卡巴斯基、诺顿、McAfee等主流安全厂商,都已经向“主动防御”+“特征码技术”过渡了,可以说这是安全系统的必然发展趋势。

  此外,防火墙也是一个运用“主动防御”技术的典型例子。目前的企业都在使用防火墙,很多用户对于防火墙经常询问是否放行一个进程访问网络,或者有不明连接进入本机而发出警告印象深刻。

  其实防火墙就是在全程监视进程的网络行为,一但发现违反规则的行为就发出警告,或者直接根据用户设定拒绝进程访问网络。当然,现在的防火墙一般都把系统网络进程,如Services.exe、Svchost.exe、Lsass.exe记在“受信名单”里,这些进程是默认允许访问网络的,如果禁止的话,操作系统就不正常了,这也是现在很多病毒和木马都喜欢远程注入这些系统进程,以求突破防火墙而访问网络的原因。

  主动防御技术特点:

  一、创立动态仿真反病毒专家系统
  对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。

  二、自动准确判定新病毒
  分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。

  三、程序行为监控并举
  在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。

  四、自动提取特征值实现多重防护
  在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现"捕获、分析、升级"自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。

  五、可视化显示监控信息
  对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。

  “主动防御”的技术实现

  在“主动防御”技术的实现上,主要是通过函数来进行控制。因为一个程序如果要实现自己的功能,就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的,在Windows里一般是通过DLL里的API提供,也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为,通过看它调用了什么样的API就大概清楚了,比如它要读写文件就必然要调用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函数,要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API,如果挂接RING3层的API将有可能被绕过),就可以知道一个进程将有什么动作,如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统,用户可以在它的安装目录里找到几个驱动文件,其实这些驱动就是挂接了ntoskrnl.exe,ndis.sys等系统关键模块里的API,从而对进程的普通行为,网络行为,注册表行为进行监视的。

  在此基础上,用户可以自己设想一下一个“主动防御”型安全系统的一般操作流程:通过挂接系统建立进程的API,系统就在一个进程建立前对进程的代码进行扫描,如果发现SGDT,SIDT,自定位指令(一般正常软件不会有这些指令),就进行提示,如果用户放行,就让进程继续运行;接下来监视进程调用API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,就发出警告;如果收发数据违反了规则,发出提示;如果进程调用了CreateRemoteThread(),则发出警告(因为CreateRemoteThread()是一个非常危险的API,正常进程很少用到,倒是被病毒、木马用得最多)。

  可以想象,未来企业用户在运行程序时可能会被提示多次,访问网络也可能被提示多次,各种各样的提示有可能将大多数人搞的昏头转向。不过这就是安全,也是主动防御的魅力,一句话,企业想安全就要管严,放松就不安全了!




 
  
   
关于我们 | 广告业务 | 联系我们 | 收藏本站 | 设为首页
 

天诺时空 版权所有!未经授权禁止转载、摘编、复制或建立镜像,如有违反,追究法律责任。
Copyright © www.zolsky.com All Rights Reserved