对于网络犯罪分子来说，社会化工程模式已经成为首选工具。在所有类型的网络钓鱼攻击中，它都占据了核心位置;并且，现在它又成为恶意软件传播的第一选择。

　　所有的社会化工程攻击都可以简化成为一个简单步骤，就是“看这里”。这种情况或许会出现在网站上，也可能出现在电子邮件中;其中的共同之处就是都提供了欺骗或者恶意类连接。只要用户选择了“点击这里”，恶意软件就开始发挥作用。有些时间，甚至连高智商人群都可能被木马所欺骗。

　　我们怎样才能打破由社会化工程所导致的这种困境?现实的答案就是让软件变得更智能，实现让坏人搬起石头砸自己脚的目标。

　　在过去几个月里，我一直在寻找可以帮助Windows下三种最流行浏览器应对故意欺骗攻击的方法。此外，我也在寻找表现出创新模式的流行安全套件。并且，我不知道谁将会是最终的选择。

　　传统防病毒软件已经是毫无用处。如果用户使用的安全软件依赖于病毒签名的话，就很容易受到恶意软件新变种的威胁;有时间，这种威胁会在短短几小时或者几天的时间内出现。

　　因此，当前在安全领域是还否存在什么新选择?这里的答案显然是肯定的，我就发现有两种技术值得重点关注。第一种模式采用的是对恶意软件传播者进行跟踪。第二种则是对下载软件的信誉情况进行搜索，确认其是否属于名副其实的选择。

　　从8.0版本开始，微软已经开始在Internet Explorer中内置应用程序信誉检查工具;在IE9中，微软还对该功能进行了优化更新。(在前段时间，我写过一篇对该技术进行介绍的文章，题目为《IE9与Chrome，谁能更有效地阻止恶意软件?》)当用户决定下载文件的时间，微软基于网络的SmartScreen过滤器就可以对文件内部具体信息(包括独立的哈希值以及数字签名)进行分析，确认其中是否包含恶意或者欺骗性代码，以决定它是否值得信任。

　　没有数字签名的文件是很难被审核的，微软公司的一支开发团队就闹出了这样的笑话。现在，所有已知恶意软件都可以被阻止。具有讽刺意味的是，在本星期早些时间，微软内部就爆发了一场冲突：内置在Internet Explorer中的SmartScreen过滤器将必应网站搜索结果旁边的广告给禁止了。

　　(附带的屏幕截图中显示了IE、火狐和Chrome处理涉嫌潜在危险下载的不同方式，并包含了更多可供研究的细节。)

　　应用程序信誉监测是一项好主意，但为什么仅仅只有新版本的Internet Explorer才能使用呢?因此，我又找到了两种流行的高端商业安全套件：趋势科技钛合金极品安全软件和赛门铁克诺顿网络安全特警2011。

　　几个月前，我曾与一名来自赛门铁克公司的集团产品经理约翰·哈里森进行过交流。哈里森告诉我，已经拥有超过20年历史的诺顿个人安全软件已经开始尝试使用不同模式，这就是：所谓的“纵深防御”模式;在处理恶意软件时，它的实际效果比简单的扫描好得多：

　　为了防范偷渡式下载，我们提供了网络入侵保护和浏览器保护技术。我们可以确认出防病毒扫描也许会错过的问题，向用户发出攻击和僵尸网络入侵警告，并对软件进行升级。

　　我们将亿万用户聚集起来，利用诺顿社区防护来对系统进行评价。在下载文件前，软件将会先查看数字签名，并对域和声誉的信任等级进行评价。如果所谓的“名牌编解码器”来自声誉不佳的网站，并且只有两名用户使用的话，我们就可以轻松地将其确认为恶意软件。

　　对于这样的做法，我原来是持怀疑态度的。由于实际防护效果不佳，在很多年以前我就已经停止使用诺顿产品了。但在这里，处于公平的考虑，我提供了另外一次机会。三个月的时间过去了，我还在使用诺顿网络安全特警。并且，我还将向其它人进行推荐。下面，我就会对这么做的原因进行说明。

　　在评测时，由于最近使用迈克菲安全套件最新版导致了不良体验，我对这两套软件的要求也严格了不少。然而，它们所表现出来的优良功能和极佳效果让我非常吃惊。我最为高兴的，就是诺顿网络安全特警可以出色地完成对网站和下载进行评估监控的艰巨工作。

　　为了对实际效果进行测试，我使用到几类最近经常出现的恶意软件攻击。其中的一种可以利用中毒搜索结果页面来控制用户，主要出现在谷歌上。另一种则是迅速传播的木马，伪装成为来自连锁酒店的合法电子邮件信息，声称将退回给收件人收取的额外费用。此外，我还对最近出现在微软必应搜索结果旁边的欺骗性广告进行了测试。

　　在所有测试中，传统防病毒扫描都不出意料没有起到保护作用。现在，就让我们来看一下替代方法的效果又如何呢?

　　对于趋势科技钛合金极品安全软件这一名称，我觉得实在是过于夸张了;但在实际测试中，它表现出来的效果确实不错，可以说对得起自己的名字。存在的唯一缺陷可能就是扫描次数稍微频繁了一些。此外，我确实不需要“系统优化”或者在线备份等功能，还不得不处理大部分属于正常浏览器cookies的提示(诺顿唯一问题所在)。

　　但下面显示出的对话框属于很受欢迎的，尤其是“阻止有潜在危险的网站”和利用滑块来对优先级进行设置的选项。对于无法避免遭遇恶意软件的普通用户来说，将优先级设置为高(并采用标准用户帐号)可能就属于恰当的选择。

　　在测试中，我发现附加检测成功阻止常规网络攻击的比例很高。在恶意链接试图将我带到属于已知恶意软件源头的网站时，下面的页面就会取代包含潜在威胁的网站来向使用者发出警告。

　　由于正确率非常高(没有出现过误报)，所以这些功能极为可靠。而所有这一切都依赖于趋势科技基于签名的前导扫描。

(责任编辑：安博涛)