杀毒就要杀干净 张双文 1999年 第23期 15版 4月26日,CIH病毒大爆发,世界各国都遭受不同程度的损失,中国的计算机用户也遭受了很大的打击。一时间,反病毒业界热闹纷呈,众法宝陆续亮相。本人也有一些小小的体会和经验,与各位探讨一下治病之道。 #1 实时反病毒——绝顶武器之一 当代计算机病毒最明显的一个特点,就是已经能够将病毒的作用机理与操作系统底层技术紧密结合起来,比如CIH病毒使用了Windows95/98特有的VxD虚拟驱动技术。这种与操作系统紧密结合的病毒针对特定系统,令使用传统反病毒武器的用户很难及时察觉。 实时防毒技术就是时刻监视系统状况,时刻监视软盘、光盘、因特网、电子邮件上的病毒传染,将病毒阻止在操作系统外部。在Windows95/98系统中,实时反病毒必须采用VxD技术,为计算机构筑起一道动态、实时的反病毒防线,直接在底层给操作系统打上一个反病毒补丁,使操作系统本身具备反病毒功能。 实时反病毒要解决的最关键问题就是与操作系统和应用程序的兼容问题,以及由于实时部分需要常驻内存而带来的系统效率问题。要实现与操作系统良好的兼容性,就必须深入了解操作系统的底层结构,以实现反病毒的实时部分在内存中与操作系统和加载的应用程序不冲突。目前国内反病毒产品能够作到实时反病毒的还只是少数,如KILL98、VRV等,国外的商业防毒软件大都是实时反病毒产品。 #1 查杀压缩文件中的病毒——绝顶武器之二 随着因特网成为获取共享软件和软件升级的主要渠道,人们往往会使用压缩工具对被传输的数据先压缩处理,然后再上网传输,所以一般从Internet下载的共享软件为压缩文件包。文件被压缩后,其中的数据经常会变得面目全非,隐藏在文件中的病毒代码经过压缩处理后同样也会变得与病毒原来的代码很不一样,使用不具备压缩文件反病毒检测功能的反病毒软件无法清除压缩文件中的病毒。 首先,具备全面的压缩文件反病毒功能的反病毒软件,应该能够适用于一切通用压缩格式和各主流软件生产厂商自定义的压缩算法。其次,反病毒软件本身应能够支持某些用户自定义的扩展名。否则将不可避免地留下“死角”,这就要求反病毒软件不应以扩展名来判断压缩文件的格式,而是应该深入分析压缩文件的数据内容。最后,反病毒软件本身能够支持压缩工具的自解压功能。有些压缩工具能够将压缩文件打包成为扩展名为EXE的自解压可执行文件。这种自解压文件可脱离压缩工具而直接运行,被打包在这个压缩文件中的文件会被自动释放出来。从表面上看,这自解压文件与其他可执行文件没有任何区别,一般的反病毒产品就很有可能将它作为普通可执行文件对待,仅仅关心可执行解压缩代码段是否带有病毒,而绝大多数情况是自解压文件解压代码段并没有被病毒感染,被病毒感染的是位于压缩文件数据段中的某个被压缩的文件。 所以,从上面可以看出,反病毒厂商只有拥有压缩文件反病毒和实时反病毒这两大武器,才能炼就斩魔利剑,救计算机用户于病毒的水火之中,彻底扑灭病毒狂潮。