病毒是一段程序,不同種類的病毒,它們的代碼千差萬別,任何人都不可能預測明天將會出現什麼新病毒。但有一點可以肯定,只要出現了一項新的計算機技術,充分利用這項新技術編制的新病毒就一定離我們不遠了。而由於軟件種類極其豐富,且某些正常程序也使用了類似病毒的操作甚至借鑑了某些病毒的技術。所以,雖然有些人利用病毒某些共有的操作(如駐內存,改中斷)這種共性,製作了聲稱可查所有病毒的程序,但這種方法對病毒進行檢測勢必會造成較多的誤報情況,不夠可靠,目前都只能作爲輔助的手段配合使用,無法獨立推廣。
實際上,計算機病毒學鼻祖早在80年代初期就已經提出了計算機病毒的模型,證明只要延用現行的計算機體系,計算機病毒就存在“不可判定性”。殺病毒必須先蒐集到病毒樣本,使其成爲已知病毒,然後剖析病毒,再將病毒傳染的過程準確地顛倒過來,使被感染的計算機恢復原狀。因此可以看出,一方面計算機病毒是不可滅絕的,另一方面病毒也並不可怕,世界上沒有殺不掉的病毒。
常用的反病毒軟件技術
特徵碼技術:基於對已知病毒分析、查解的反病毒技術
目前的大多數殺病毒軟件採用的方法主要是特徵碼查毒方案與人工解毒並行,亦即在查病毒時採用特徵碼查毒,在殺病毒時採用人工編制解毒代碼。
特徵碼查毒方案實際上是人工查毒經驗的簡單表述,它再現了人工辨識病毒的一般方法,採用了“同一病毒或同類病毒的某一部分代碼相同”的原理,也就是說,如果病毒及其變種、變形病毒具有同一性,則可以對這種同一性進行描述,並通過對程序體與描述結果(亦即“特徵碼”)進行比較來查找病毒。而並非所有病毒都可以描述其特徵碼,很多病毒都是難以描述甚至無法用特徵碼進行描述。使用特徵碼技術需要實現一些補充功能,例如近來的壓縮包、壓縮可執行文件自動查殺技術。
但是,特徵碼查毒方案也具有極大的侷限性。特徵碼的描述取決於人的主觀因素,從長達數千字節的病毒體中擷取十餘字節的病毒特徵碼,需要對病毒進行跟蹤、反彙編以及其它分析,如果病毒本身具有反跟蹤技術和變形、解碼技術,那麼跟蹤和反彙編以獲取特徵碼的情況將變得極其複雜。此外,要擷取一個病毒的特徵碼,必然要獲取該病毒的樣本,再由於對特徵碼的描述各個不同,特徵碼方法在國際上很難得到廣域性支持。特徵碼查病毒主要的技術缺陷表現在較大的誤查和誤報上,而殺病毒技術又導致了反病毒軟件的技術遲滯。
虛擬機技術:啓發式探測未知病毒的反病毒技術
虛擬機技術的主要作用是能夠運行一定規則的描述語言。由於病毒的最終判定準則是其複製傳染性,而這個標準是不易被使用和實現的,如果病毒已經傳染了才判定是它是病毒,定會給病毒的清除帶來麻煩。
那麼檢查病毒用什麼方法呢?客觀地說,在各類病毒檢查方法中,特徵值方法是適用範圍最寬、速度最快、最簡單、最有效的方法。但由於其本身的缺陷問題,它只適用於已知病毒,對於未知病毒,如果能夠讓病毒在控制下先運行一段時間,讓其自己還原,那麼,問題就會相對明瞭。可以說,虛擬機是這種情況下的最佳選擇。
虛擬機在反病毒軟件中應用範圍廣,併成爲目前反病毒軟件的一個趨勢。一個比較完整的虛擬機,不僅能夠識別新的未知病毒,而且能夠清除未知病毒,我們會發現這個反病毒工具不再是一個程序,而成爲可以和卡斯帕羅夫抗衡的ibm深藍超級計算機。首先,虛擬機必須提供足夠的虛擬,以完成或將近完成病毒的“虛擬傳染”;其次,儘管根據病毒定義而確立的“傳染”標準是明確的,但是,這個標準假如能夠實施,它在判定病毒的標準上仍然會有問題;第三,假如上一步能夠通過,那麼,我們必須檢測並確認所謂“感染”的文件確實感染的就是這個病毒或其變形。
目前虛擬機的處理對象主要是文件型病毒。對於引導型病毒、word/excel宏病毒、***程序在理論上都是可以通過虛擬機來處理的,但目前的實現水平仍相距甚遠。就像病毒編碼變形使得傳統特徵值方法失效一樣,針對虛擬機的新病毒可以輕易使得虛擬機失效。雖然虛擬機也會在實踐中不斷得到發展。但是,pc的計算能力有限,反病毒軟件的製造成本也有限,而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效,甚至要以此爲基礎來清除未知病毒,其難度相當大。
受病毒在理論上就是不可判定的這一根本前提的制約,事實上,無論是啓發式,亦或是虛擬機,都只能是一種工程學的努力,其成功的概率永遠不可達到100%。這是惟一的卻又是無可奈何的缺憾。
未來的反病毒技術:
虛擬現實
對於未來技術的展望可能只是一種近乎飄渺的幻想,但是就如同計算機病毒最初的描述出現在科幻小說裏,雖然還有許許多多我們目前仍在實現卻仍未實現的技術,甚至還有許多我們根本未考慮到的因素。只要技術足夠成熟,網絡世界中是完全有可能出現類似人工智能的反病毒技術。
未來反病毒的疑難之一就是:我們永遠無法寫出一個合理的程序來辨識和查殺病毒。病毒掌握了人類所掌握的一切,它同樣能辨識和分析反毒程序,並對自身重新編程;而反毒程序要可能同樣地對病毒進行探測,再進行自編程。病毒與反毒程序的角逐就變成了自編程能力的實現,而這樣的結果只能導致網絡空間緊張,甚至崩潰!
我們還可以考慮用另一種方式:人工進入計算網絡世界的方法來查殺病毒。人有足夠的智能和經驗積累來完成對病毒的辨識和殺除,而這就只剩下建立人與計算機之間的“橋”的問題了。
目前的虛擬現實技術重點放在了對人與人的自然界交流方式———“感官”的計算機描述的實現上,它如同人們所有的知覺都最終傳感給大腦,大腦對這種傳感作出一種體驗上的描述,從而形成知覺意識。如果計算機將二進制代碼流表述成腦電波的流信息,並通過神經傳感給大腦,則完全可以描述並引導、控制人的一切思維。簡單地說,人的思維與計算機語言存在了這樣一個通用的接口!
這種理論如果得以實現,則虛擬現實技術將進入新的發展領域。雖然從理論上講是不可能在對病毒未知的情況下對其做出精確判斷從而預防,但是在實際應用中,經過反病毒專家多年的統計、分析、研究積累的經驗,完全有可能以概率方式對病毒危險進行一種分級制測定並對其使用反病毒程序,在相當程度上達到較精確地防禦未知病毒的侵入。
第三代反病毒產品:
防殺兼備、萬能恢復
從技術的數學模型上來說,過去、現在、將來的反病毒軟件都不可能有任何理論上的超越,即無法跨越不可判定性的鴻溝,特徵碼也好,啓發式虛擬機也好,或者兼而有之,相互配合,暫時不會有新的突破。那麼,具體到反病毒技術的產品,也基本上離不開這些模式。當然,即使是從工程學的角度上來說,在相同的技術起點上如何構築出實現方式和最終效果完全不同的實用產品,仍然是一個永無止境的追求。
從手工查殺病毒,到早期散兵遊勇式的查殺病毒,到與internet的技術接軌,直至今天擔負起防殺兼備、萬能恢復的第三代反病毒軟件,反病毒技術在與病毒的鬥爭中不斷進步,不斷誕生各種爲計算機用戶解憂去患的反病毒產品。從早期的防病毒卡、手動查殺的dos版軟件(即第一代,代表產品有:kill、kv100、kv200、kv300、瑞星、早期vrv、早期avxx。),到在線監控實時查殺的病毒防火牆(即第二代,代表產品爲vrv殺毒套裝、killxx版、kv3000預覽版),我們已經發現要免除病毒的災難,僅有殺毒是不夠的。
安全專家認爲,真正的安全僅有殺毒是不夠的,因爲在電腦世界中,永遠有捉摸不定的東西遊離在身邊。除去氾濫的病毒,系統的漏洞、硬件或軟件的衝突、人爲的誤操作、利用bo特洛伊***惡意進攻、電腦本身的不穩定性、***襲擊等形形×××的安全威脅不勝枚舉。所以,一個好的安全軟件,僅僅能殺毒是不夠的,必須把備份與災難恢復相結合起來。
面對呼嘯而來益發兇惡的未來病毒,僅有殺毒是不夠的。用戶對於病毒的恐懼,並不是來自它的能夠自我複製,儘管這纔是病毒之所以成爲病毒的根本,擔心害怕的是病毒侵入並且發作,結果造成的大大小小的無可挽回的損失。這種客觀的迫切的需要,成爲新形勢對反病毒技術和產品提出的最高要求。於是,第三代反病毒軟件必須要做到突破單一殺毒的侷限性,針對用戶經常面臨急需數據搶修、系統恢復等難題,不僅可以殺滅***病毒、擊潰來犯***、消滅有害數據,還有智能災難恢復、全息數據救援、維護系統正常運行的全面保障信息安全的功能,其代表產品是北京北信源公司研發的一種全方位、多功能、高可靠的安全軟件“殺毒專家”。
我們期望有一種針對惡性病毒發作時可能實施的破壞行爲的截獲、阻止裝置,軟件的亦或是硬件的,對所有帶有危險級別的、可能影響系統運行和信息資料安全的操作加以禁止,就像過濾文件中的病毒特徵碼一樣,對一個將要執行的操作進行安全性判斷。就像今天在多任務環境下實時殺毒的防火牆重新煥發了青春一樣,我們不難預料,這種在線式的以危險行爲監控爲特徵的反病毒技術和產品也一定會出現,配合以前的第一代、第二代、第三代反病毒技術,實現更高意義上的更加可靠的信息安全。
尊重原版、、摘自 網絡、、