首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 安全基础知识 > 反病毒技术及其发展趋势 > 正文

反病毒技术及其发展趋势

出处:天极网 作者:刘杰 时间:2004-11-4 10:24:00

关于第一个计算机病毒的产生时间有着许多许多的说法,我确信在Babbidge机器时代是肯定没有病毒的,但是到Univac 1108和IBM 360/370的时候就已经有了("Pervading Animal" 和 "Christmas Tree"),所以第一个计算机病毒的诞生是在二十世纪70年代初或者二十世纪60年代末,虽然在那时候没有人叫它们病毒。但是,病毒成为一个问题的时候,就出现了解决问题的人——安全专家——和他们的成果:杀毒技术和防病毒产品。



刘杰照片

  杀毒软件是对付计算机病毒的最有效方法,但是没有杀毒软件能100%的保证系统不被病毒感染。任何宣称存在这种杀毒软件的广告都是虚假的、在法律上说都是无效的。那样的系统是不存在的,因为每种杀毒算法都可能促使产生与之相对立的病毒的算法,随之制造的病毒对于这种特定的杀毒软件可能检测不到(当然:任何杀毒算法都可以开发成一个杀毒软件)。而且,已经证实“在有限理论的基础上不可能存在绝对的防毒”——试验者是Fred Cohen。

  从杀毒技术上来讲,当前,最流行的杀毒软件都是一个扫描器,扫描的算法有多种,通常为了使杀毒软件功能更强大,会结合使用好几种扫描方法。

  1)病毒扫描

  病毒扫描是当前最主要的查杀病毒方式,它主要通过检查文件、扇区和系统内存、搜索新病毒,用“标记”查找已知病毒,病毒标记就是病毒常用代码的特征,病毒除了用这些标记,也用别的方法。有的根据算法来判断文件是否被某种病毒感染,一些杀毒软件也用它来检测变形病毒。

  病毒扫描从杀毒方式上可以分成两种——“通用”和“专用”。“通用”扫描被设计成不依赖操作系统,可以查各种病毒;而“专用”扫描则被设计用来专查某种病毒,如宏病毒,可以使某些应用软件的病毒防护更加可靠。

  病毒扫描也可按照用户操作方式分成实时扫描和请求式扫描,实时扫描能提供更好的系统病毒防护,因为如果有病毒出现,能够立即发现,请求式扫描只在运行时才能检测到病毒。

  2)启发式扫描

  启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的,但也最可能出现误报。

  3)CRC 扫描

  CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和),这些CRC值被杀毒软件保存到它自己的数据库中,在运行杀毒软件时,用备份的CRC值与当前计算的值比较,可以知道文件是否已经修改或被病毒感染。

  使用这种算法的CRC扫描是强有力的反病毒工具:100%的病毒都能在进入计算机时被检查出来。但这种杀毒方式天生就有一个缺点——效率很低。CRC扫描在病毒已经渗透到计算机之后,并不能很快的检测到,只有过一段时间病毒开始传播时才会发现,而且不能检测新文件中的病毒(例如邮件、软件文件、备份恢复的文件或解压文件),因为在它的数据库中没有这些文件的CRC值。此外,有的病毒也会利用CRC扫描的这种“弱点”,只在扫描之前感染新创建的文件。

  各种扫描都有自己的优缺点,拥有一个病毒库是他们的基本特征,但是如果病毒库过大的话,查毒速度会变得很慢。除了以上的杀毒方法外,还有一些常用技术。
 
  1)行为判断

  行为判断就是通过驻留的杀毒软件截获那些对用户有病毒危险的行为,这些病毒可能会在修改可执行文件、引导扇区或MBR时被发现,这种方法的优点在于可以在病毒感染的早期发现并阻止,但有的病毒可以越过这种保护,使得杀毒软件完全失效。

  2)病毒免疫

  免疫有两种:一种是感染警告,另一种是阻止病毒感染。第一种免疫方式主要是预防那些把自己添加到文件末尾的病毒(通常是文件型病毒),每个文件都会检查。但有一个致命的弱点:无法检测到诡密病毒,所以实际上很少用这种免疫方式。

  第二种免疫方式主要是预防系统被某种特定病毒感染,如果文件被病毒修改就可以检测到(例如文件中存在字符串“MsDos”,说明文件可能被“Jerusalem”病毒感染),如果病毒把一个小的TSR程序拷贝到计算机内存中,系统肯定被感染。

  由于不可能对所有的病毒采用免疫,所以这种病毒免疫方式并不通用。

哪种杀毒技术更好?

  哪种杀毒技术更好?答案是——都好,只要计算机里没有病毒。但是如果要安装新软件、收邮件、使用Word或Excel电子表,需要根据自身的情况选择几种比较合适的杀毒软件。

  各种杀毒软件的特点都会有一些不同,它们的质量我想可以肯定,下面说几点相对重要的:可靠性和方便性——杀毒软件会不会经常“挂起”,普通用户使用时是否需要特定的技术知识。

  1)扫描文档、检测各种病毒的性能,能不能修复被感染的文件,扫描引擎能不能及时地更新,处理新病毒的速度。
  2)杀毒软件是否适应各种平台(DOS、Windows、Alpha、Linux等),不仅可以根据用户需要扫描,还要有能实时监控、网络查毒的能力。
  3)查毒速度等其他有用功能。

  杀毒软件最重要的是可靠性,虽然没有“绝对的杀毒软件”,但也不能扫描一半文件就挂了,磁盘中剩下的文件还没有扫描完,也没有检测出系统中的病毒;杀毒软件不能要求用户具备特定的知识——许多用户只愿选择杀毒软件弹出简单的[OK]或[Cancel]按钮的消息框,如果杀毒软件经常会询问用户一些复杂的问题,用户肯定不会喜欢这种杀毒软件。

  显然,病毒检测能力是第二个重要因素,之所以叫杀毒软件,目的就是检测并清除病毒。任何不能检测到病毒的杀毒软件都是无效的。如果一个杀毒软件不能100%防疫一种变形病毒,那整个系统将会被这种类型的病毒感染,此种杀毒软件只能检测出系统中被感染的部分(99%)文件,剩下的1%被感染文件还是没有查到,这时病毒已经感染计算机了,第二次扫描时,杀毒软件又会留下1%的文件没有扫描,但这次是上次99%中的1%,实际上是1.99%,可以想象最后将是什么样子。

  因此病毒检测能力是衡量杀毒软件质量的第二个最重要标准;比支持多平台等其他特点都重要。

  当然杀毒软件也不能太敏感,如果经常误报,以致删除了没有感染的文件,用户也会错过真正的病毒警告。

  多平台支持也是一个重要的因素,例如"OneHalf"病毒感染Windows95或WindowsNT系统,如果你使用DOS杀毒软件来解密磁盘(这个病毒会加密磁盘扇区),结果会令你很失望:磁盘上的数据可能被毁坏,因为Windows95/NT在扇区加密后不允许杀毒软件直接读/写它的扇区,而用Windows95/NT杀毒软件就能把病毒清除。

  对于杀毒软件来说,实时监控能力也是一个相当重要的标准,如果进来的文件和磁盘中有病毒应该能100%的检查到,保证文件服务器的安全(如避免Windows NT遭受宏病毒的攻击,对所有进来的邮件进行扫描)都是必需的。如果杀毒软件在网络管理方面的功能很强,那它的价值也很大。

  另一个重要的标准是工作速度。如果全面扫描整个系统需要好几小时才能完成,大多数用户可能不会经常扫描。不同的杀毒软件用不同扫描算法,有的速度快质量好,而有的可能速度慢而且质量也没有那么高,这些要依靠软件开发者的能力。

  附加功能作为评价杀毒软件的最后一个标准,因为没有这些功能不会影响整个软件的使用。然而,有的功能对用户来说很方便,做事情会更容易,这样会促使用户经常使用杀毒软件。

  杀毒技术发展的趋势

  由于Internet的普及,互联网已经成为病毒制作技术扩散、病毒传播的重要途径,病毒开发者之间已经出现了团队合作的趋势,病毒制作技术也在与黑客技术进行融合。他们对现在的病毒对抗技术提出了挑战,因此,病毒防护技术正在发生重大的变化,概括起来说,就是病毒对抗的理论在做从作品对抗到思想对抗的转变,产品形态在从独立软件产品向操作系统的补丁转变。

  1)从作品对抗到思想对抗

  以前,杀毒软件的理论基础是,首先要发现并确认一个病毒,然后,再进行防范,它的缺点是,对未知病毒的防范能力弱,我们没有有效的办法对付各种病毒的变形,对融合了黑客技术的病毒,不能有效防范。一般是一种新病毒发作后,大家才能开发出查杀该病毒的软件,用户还需要尽快升级自己的防毒软件,因此,可以说以前的方法就好象警察找罪犯,在警察没有看到罪犯犯罪,或得到举报前,即使罪犯犯了罪,警察也没有办法,这是一种病毒制造者与安全专家之间在作品层面的竞赛。而新的理论是基于对大量的病毒的特征、发作过程、传播变化统计的基础上,建立控制策略数学模型,采取分门别类的方法,有效解决应用同种思想开发出的各种病毒,可以极大提高对新病毒的反应时间。由于这种方法是通过抑制病毒设计思想而实现的,因此,这是一种病毒制造者与安全专家之间在整体思想层面的竞赛。

  因此,新的杀毒软件不仅仅是依据病毒数据库中的病毒代码对计算机进行扫描,而是对计算机所运行的各种进程、各种操作进行监控,如果发现某个事件或某项操作存在典型的病毒特征,或是对计算机存在危害,那么这些事件或操作就会被阻止,得以更有效地保护计算机不受新型病毒的入侵。

  2)从独立产品到操作系统的补丁

  杀毒软件作为一个独立的软件产品,已经存在了很久,但是,由于病毒制造者越来越多地利用操作系统的漏洞和黑客技术,因此,与操作系统的紧密结合成为一种必然:一方面,可以帮助操作系统减少漏洞,另一方面,也可以进一步提高运行效率和软件兼容度。从商业角度上来说,安全技术可以融入各种应用系统,减少应用系统自身的安全漏洞,同时,也可以为用户提供更加个性化的安全服务。

  科技带来了进步,也带来了计算机病毒,我们与计算机病毒所作的斗争,是一个人、一群人与另一个人、一群人智慧的斗争,因为病毒聪明而有智慧,就像制造病毒的那些人一样,他们发明了新的病毒——我们就不得不小心的对付它;他们发明了一个很高明的病毒——我们还是得更小心的对付它。我们每天坐在计算机前,象个哑巴一样不说话,面对着一个个的病毒妖怪,这样的一个病毒,我们分析需要一天,而编写防病毒算法又得一天,很像活的生物进化历程呢,不是吗?


 

,
相关文章 热门文章
  • 巧妙隐藏IP地址做网上“隐身”人
  • SYMANTEC NAV 9.0中文企业版的安装
  • Rapid Restore PC安装及使用步骤
  • DoS 拒绝服务攻击
  • 如何实现VPN使用脱离内部网络的IP地址
  • 关于卡巴斯基使用的个人经验综合
  • 常用端口对照详解
  • 免费端口监控软件Port Reporter
  • 宽带拨号连接密码恢复原理
  • 网络端口及其详解
  • 图解McAfee的使用方法
  • 网络安全技巧大全
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号