防杀结合——构筑反病毒的坚固长城 北京 刘旭 1996-01-26 一、杀病毒 目前,国际上广泛采用的反病毒方法是以特征值扫描为基础的杀毒软件。 其原理:研究人员对已搜集到的病毒样本进行分析,从病毒体内提取出一串或多串连续的字节作为该病毒的特征值,在查毒时,检查待查的文件是否含有某病毒的特征值,如果存在,就报告该文件感染了该病毒,杀毒软件再以该病毒感染文件的相反次序,清除该病毒。 主要优点: (1)对已知的病毒能清除掉,使该文件不会因交流再传播病毒。 (2)一次能查一个或多个磁盘,查毒面广。 缺点: (1)不能查未知病毒,故查毒软件的生命力正在于不断升级。 (2)1991年1月,世界上第一次出现攻击查毒软件的基础一特征值扫描法的多形性病毒1260。此后,多形性病毒开始大量出现。1993年出现了变化引擎和多形性病毒的生成工具VCL2.0,使查毒软件面临严重的挑战。多形性病毒的出现,导致查毒软件的误警率和漏报率均有很大的提高。 (3)病毒样本难以提取 反病毒研究人员收集病毒样本的一个主要渠道是用户提供新的病毒样本,但是用户很难在众多的文件中准确地找到病毒所感染的文件。 开放式杀毒软件的出现并不能解决查毒软件存在的问题,该方法不论具有理论上,还是在实用性上均有严重缺陷,已受到了很多批评。 二、防病毒 应该说,用户对磁盘的保护、对软件的备份、对硬盘引导扇区的备份等措施都是一些防病毒的方法。本文对这些需人工实施的措施不作讨论,只讨论在计算机与病毒真刀实枪对着干的防病毒软硬件技术。 软件方面,如BOOTSAFE,VSAFE这些较为知名的软件驻留内存后,随时对内存、对计算机运行的程序进行监控,如果发现可能是非法的行为,如修改可执行文件,写磁盘或修改磁盘引导扇区等等,将立即报警拦截,由用户决定是否继续进行。其缺点是自身是软件形式,易受到病毒的攻击与破坏,另一方面,其报警也有误报,将用户一些正常的写盘或修改程序的操作也作报警拦截。这一点对一些防病毒卡也同样存在。 硬件方面,国内较常见的是防病毒卡,尤其是所谓“以广谱病毒识别机制为基础的防病毒卡”得到了较为广泛的应用。 原理:在分析操作系统安全缺陷和病毒攻击原理的基础上,总结出识别病毒规律,并以此为前提,通过动态分析程序的运行状态来分判断该程序是否带毒。该原理与国际上一些反病毒专家提出的识别病毒的最好方法就是运行该软件的想法是一致的。 主要优点: (1)优先级高,开机即工作。 (2)硬件保证其坚固性,本身不会被病毒感染。 (3)能识别未知病毒。 (4)对多形性病毒的识别特别有效。 (5)避免病毒的传染与破坏。 缺点: (1)不能杀磁盘中的病毒。 (2)只有运行软件,才能识别是否带毒,因此,除非运行了磁盘上的所有软件,才能判断整个磁盘文件是否带毒。 (3)一块防病毒卡保护一台计算机,没有防病毒卡的计算机不能得到有效保护。 三、以防为主,以杀为辅,防杀结合,软硬结合,构筑一道坚固的反毒长城。 面临越来越多的计算机病毒,简单地选择防病毒卡或查杀毒软件均不是最佳方法。我们认为只有以防病毒卡为主和查杀毒软件为辅,防杀结合,软硬互补,才是目前最好的防病毒方式。它有以下优点: 1.对于已知病毒,您可以用杀毒软件清除病毒。 2.对于未知病毒,防病毒卡准确发现哪个文件带毒,把该病毒样本送给研究人员,能尽快地编写出杀该病毒的软件。在此过程,防病毒卡仍保证您计算机的安全。 3.查杀毒软件对多形性病毒的漏报,由于有了防病毒卡,将不再是一件可怕的事。