【IT168应用】论坛上很多评测都有关于反钓鱼测试的,瑞星最近发布的安全白皮书也指出钓鱼网站为主的欺诈类型威胁将成为2011年最流行的网络恶意攻击手段,这使得防范恶意钓鱼网站成为众多安全厂商的关注的焦点。但是往往大家只注意拦截结果并没有深层次分析拦截的原理,也使得瑞星2011主打的智能反钓鱼并未深入人心。
于是决定将瑞星2011的智能反钓鱼与金山卫士的反钓鱼进行一下比较,看看究竟有什么优势。
下面是测试的网址
第一批:
http://www.huodong168.com/
http://www.030033.com/
http://www.iphonetw.com.cn/
http://fc661.net/
http://langma.w110.badudns.cc/qq/7496554/index1.htm (典型的瑞星启发)
第一批的结果是双方互有胜负,但需要引起关注的是最后一个网址,金山卫士和瑞星在打开网址的一刹那都没有报警。
假设现在是真实的访问到这个页面,登录窗口与QQ一模一样,但你仍然心存疑虑,决定试探一下,输入假帐号和密码,这时差距出现了:
瑞星的智能反钓鱼威武了,通过对该网站的分析,成功地发现此乃货真价实的钓鱼网站,然而金山卫士无动于衷,可见这就是真正的智能的体现了。
原理猜测:通过对输入的帐号密码是否传输回服务端来验证进行判断真伪QQ登录,正常的QQ登录会传回服务器验证输入,然而这个网站仅仅通过以下代码判断
function validate_form() {
if (document.form.u.value=="")
{ alert('您还没有输入QQ帐号!');
return false;
}
if (document.form.p.value=="")
{ alert('您还没有输入密码!');
return false;
}
if (document.form.verifycode.value=="")
{ alert('您还没有输入验证码!');
return false;
}
if (!check_empty(document.form.u.value))
{ alert('请输入正确的QQ帐号!');
return false;
}
}
function check_empty(text) {
return (text.length > 4);}
function check_email(address) {
if ((address == "")
|| (address.indexOf ('@') == -1)
|| (address.indexOf ('.') == -1))
return false;
return true;}
很显然该网站只判断了输入的帐号和密码是否大于四位,根本不存在任何服务器的交互,因此判断这个是不折不扣的钓鱼网站,这个分析过程完美的体现了瑞星钓鱼网站的分析技术,在登录按下的一刹那弹出提示框,确保帐户和密码不会蒙受更大的损失。
第二批:
http://popkartianc1ty.8m8m.info/ 跳转free258
http://www.boccb.com/
http://www.boctt.tk/
http://www.taobao.com-ybb.d2zhiye.com/
http://lanm.okokbk.com/
http://www.qqpiy.com/
http://ddjjswqq.info/
http://gy36qq.info/
http://syqzqq5.info/
http://tysduqqii.in/
http://xy2.cbg.com.kmwyl.com/
结果是一边倒,金山卫士全部拦截,瑞星2011全部无视。
为什么会这样呢??其实你只要一一点击就会发现除了第一个网站跳转到free258后,其余全部无法打开,这正是智能反钓鱼的又一个优势。
原理:在检测网址的时候先进行网页的域名解析,如果不能成功解析或无法访问,自然就不会有危险内容。很显然,包括金山卫士的大多数拦截原理都是简单的黑名单匹配,这就需要人力物力和财力,而且基本上难以实现及时的清除失效网页,这也给会给用户带去一些困扰,明明无法打开为什么会变成钓鱼网站呢??瑞星 2011在这个方面又胜一筹!!!
总结:瑞星2011在智能反钓鱼方向作出的突破有目共睹,一改传统的黑名单机制,通过分析网页进行判断,不得不说是一个技术上的革新,我们期待这瑞星在这个领域的技术日臻完善,继续提高检测率以及减少误报率,做好国内的优秀反钓鱼产品。
附上另一篇文章说明瑞星的反钓鱼并非单独的黑名单匹配
再附上一个介绍甄别真假网站的学习网址