杀毒软件技术的隐患

  
2001年 21期

　　经过10年的反病毒的研究，杀毒技术已经有了长足的进步，从DOS下查杀到Windows下的实时监控到内嵌到操作系统，使得病毒查杀越来越方便和可靠，但还是有很多技术难关没有攻破，查处未知病毒就是最大的难关之一。现在杀病毒技术主要还是依靠特征码判断等来进行，这要求预知被捕捉病毒的特征，从而造成对未知病毒破坏能力的限制，这也就造成了病毒依然猖狂的现象。为了克服这个难关，反病毒研究者不断寻求新的解决方法，虚拟执行就是最近被经常使用的一种技术。使用这种技术后，在碰到可疑的文件时，杀毒软件会用程序代码虚拟一个CPU和CPU的各个寄存器，用调试程序调入可疑文件，将每一个语句放在虚拟环境中执行，再通过内存和寄存器以及端口的变化来了解文件的执行计划。由于在虚拟执行中可以反映程序的任何动态，则病毒的传染动作一定会被反映出来，这样理论上可以100%查出未知病毒。但由于虚拟机速度太慢，所以无法虚拟执行程序的全部代码，现在采用这个技术的厂商都是选择了可疑文件代码的前几K字节虚拟执行，这样提高了速度却大大降低了查未知病毒的能力。现在，专家们正在不断努力，研究提高虚拟执行的速度问题，已经有了很大的进步。据悉上海创源计算机安全有限公司的研究人员已经成功地将虚拟执行提到较高速度，并且该公司已经将该项技术应用到它们最新的产品“安全之星”系列产品中，从而使100%查处未知病毒成为可能。
　　　　除了未知病毒的查处问题，另一个问题就是在消除现有病毒的准确性方面。所有反病毒厂商都遇到过同一个尴尬的问题，当感染病毒的文件经过清除病毒后，文件的信息就从此丢失再也无法修复。这些被损害的文件当中，很大一部分文件的损害是由于杀病毒软件造成的。杀毒软件在清除掉嵌入文件的病毒代码后，需要恢复原有的文件的各种链接，但由于杀病毒软件自身的缺陷，经常发生链接错误或者写错语言破坏了文章的原有结构，从而导致整个文件被破坏。发生以上问题，最大的原因可能是微软等软件厂商本身系统的漏洞，但反病毒软件技术上的不足也是很严重的问题。除了反病毒软件导致的文件损害，另一种破坏文件的情况就是病毒本身覆盖了文件信息导致无法复原，目前，尚没有任何杀病毒软件能够具有对感染此类病毒文件的修复功能。因此，100%准确清除已知病毒而不破坏文件是对反病毒技术的一个很大挑战。
　　　　除了以上两个关键技术外，反病毒的研究还有很多难关没有克服，如反病毒软件自身的防护、操作系统的漏洞带来的不安全，等等。因此，认为技术上已经能够满足反病毒的要求是不科学的。由于现在技术处于一个相对比较停滞的阶段，这个时候抬高服务的价值也许是出于商业的目的，是为了给技术发展争取一段时间。但由于过于抬高服务的价值，反而降低了人们对技术的关注程度，误导了人们对反病毒事业的认识，已经产生了较大负面影响。现在，国内各大厂商应该调整好心态，正视技术和服务的作用，两条腿走路，从真正意义上实现防范病毒的目标。 
 