關於第一個計算機病毒的產生時間有著許多許多的說法,我確信在Babbidge機器時代是肯定沒有病毒的,但是到Univac 1108和IBM 360/370的時候就已經有了("Pervading Animal" 和 "Christmas Tree"),所以第一個計算機病毒的誕生是在二十世紀70年代初或者二十世紀60年代末,雖然在那時候沒有人叫它們病毒。但是,病毒成為一個問題的時候,就出現了解決問題的人——安全專家——和他們的成果:殺毒技術和防病毒產品。
作者簡介:劉傑,中國最早系統地從事計算機病毒與網絡安全技術研究的專家,曾起草中國安全法規:計算機病毒防治產品評級標准,獲公安部科技成果二等獎,現任國家有關部委網絡安全顧問、商丘師范大學客座教授,是光華反病毒軟件的開發者。
殺毒軟件是對付計算機病毒的最有效方法,5自學網,但是沒有殺毒軟件能100%的保證系統不被病毒感染。任何宣稱存在這種殺毒軟件的廣告都是虛假的、在法律上說都是無效的。那樣的系統是不存在的,因為每種殺毒算法都可能促使產生與之相對立的病毒的算法,隨之制造的病毒對於這種特定的殺毒軟件可能檢測不到(當然:任何殺毒算法都可以開發成一個殺毒軟件)。而且,已經證實“在有限理論的基礎上不可能存在絕對的防毒”——試驗者是Fred Cohen。
從殺毒技術上來講,當前,最流行的殺毒軟件都是一個掃描器,掃描的算法有多種,通常為了使殺毒軟件功能更強大,會結合使用好幾種掃描方法。
1)病毒掃描
病毒掃描是當前最主要的查殺病毒方式,它主要通過檢查文件、扇區和系統內存、搜索新病毒,用“標記”查找已知病毒,病毒標記就是病毒常用代碼的特征,病毒除了用這些標記,也用別的方法。有的根據算法來判斷文件是否被某種病毒感染,一些殺毒軟件也用它來檢測變形病毒。
病毒掃描從殺毒方式上可以分成兩種——“通用”和“專用”。“通用”掃描被設計成不依賴操作系統,可以查各種病毒;而“專用”掃描則被設計用來專查某種病毒,如宏病毒,可以使某些應用軟件的病毒防護更加可靠。
病毒掃描也可按照用戶操作方式分成實時掃描和請求式掃描,實時掃描能提供更好的系統病毒防護,因為如果有病毒出現,能夠立即發現,請求式掃描只在運行時才能檢測到病毒。
2)啟發式掃描
啟發式掃描是通過分析指令出現的順序,或組合情況來決定文件是否感染,每個對象都要檢查,這種方式查毒效果是最高的,但也最可能出現誤報。
3)CRC 掃描
CRC掃描的原理是計算磁盤中的實際文件或系統扇區的CRC值(檢驗和),這些CRC值被殺毒軟件保存到它自己的數據庫中,在運行殺毒軟件時,用備份的CRC值與當前計算的值比較,可以知道文件是否已經修改或被病毒感染。
使用這種算法的CRC掃描是強有力的反病毒工具:100%的病毒都能在進入計算機時被檢查出來。但這種殺毒方式天生就有一個缺點——效率很低。CRC掃描在病毒已經滲透到計算機之後,並不能很快的檢測到,只有過一段時間病毒開始傳播時才會發現,而且不能檢測新文件中的病毒(例如郵件、軟件文件、備份恢復的文件或解壓文件),因為在它的數據庫中沒有這些文件的CRC值。此外,有的病毒也會利用CRC掃描的這種“弱點”,只在掃描之前感染新創建的文件。
各種掃描都有自己的優缺點,擁有一個病毒庫是他們的基本特征,但是如果病毒庫過大的話,查毒速度會變得很慢。除了以上的殺毒方法外,5自學網,還有一些常用技術。
1)行為判斷
行為判斷就是通過駐留的殺毒軟件截獲那些對用戶有病毒危險的行為,這些病毒可能會在修改可執行文件、引導扇區或MBR時被發現,這種方法的優點在於可以在病毒感染的早期發現並阻止,但有的病毒可以越過這種保護,使得殺毒軟件完全失效。
2)病毒免疫
免疫有兩種:一種是感染警告,另一種是阻止病毒感染。第一種免疫方式主要是預防那些把自己添加到文件末尾的病毒(通常是文件型病毒),每個文件都會檢查。但有一個致命的弱點:無法檢測到詭密病毒,所以實際上很少用這種免疫方式。
第二種免疫方式主要是預防系統被某種特定病毒感染,如果文件被病毒修改就可以檢測到(例如文件中存在字符串“MsDos”,說明文件可能被“Jerusalem”病毒感染),如果病毒把一個小的TSR程序拷貝到計算機內存中,系統肯定被感染。
由於不可能對所有的病毒采用免疫,所以這種病毒免疫方式並不通用。
哪種殺毒技術更好?
哪種殺毒技術更好?答案是——都好,只要計算機裡沒有病毒。但是如果要安裝新軟件、收郵件、使用Word或Excel電子表,需要根據自身的情況選擇幾種比較合適的殺毒軟件。
各種殺毒軟件的特點都會有一些不同,它們的質量我想可以肯定,下面說幾點相對重要的:可靠性和方便性——殺毒軟件會不會經常“掛起”,普通用戶使用時是否需要特定的技術知識。
1) 掃描文檔、檢測各種病毒的性能,能不能修復被感染的文件,掃描引擎能不能及時地更新,處理新病毒的速度。
2) 殺毒軟件是否適應各種平台(DOS、Windows、Alpha、Linux等),不僅可以根據用戶需要掃描,還要有能實時監控、網絡查毒的能力。
3) 查毒速度等其他有用功能。
殺毒軟件最重要的是可靠性,雖然沒有“絕對的殺毒軟件”,但也不能掃描一半文件就掛了,磁盤中剩下的文件還沒有掃描完,也沒有檢測出系統中的病毒;殺毒軟件不能要求用戶具備特定的知識——許多用戶只願選擇殺毒軟件彈出簡單的[OK]或[Cancel]按鈕的消息框,如果殺毒軟件經常會詢問用戶一些復雜的問題,用戶肯定不會喜歡這種殺毒軟件。
