關于第一個計算機病毒的產生時間有著許多許多的說法,我確信在Babbidge機器時代是肯定沒有病毒的,但是到Univac 1108和IBM 360/370的時候就已經有了("Pervading Animal" 和 "Christmas Tree"),所以第一個計算機病毒的誕生是在二十世紀70年代初或者二十世紀60年代末,雖然在那時候沒有人叫它們病毒。但是,病毒成為一個問題的時候,就出現了解決問題的人——安全專家——和他們的成果:殺毒技術和防病毒產品。
作者簡介:劉杰,中國最早系統地從事計算機病毒與網絡安全技術研究的專家,曾起草中國安全法規:計算機病毒防治產品評級標準,獲公安部科技成果二等獎,現任國家有關部委網絡安全顧問、商丘師范大學客座教授,是光華反病毒軟件的開發者。
殺毒軟件是對付計算機病毒的最有效方法,但是沒有殺毒軟件能100%的保證系統不被病毒感染。任何宣稱存在這種殺毒軟件的廣告都是虛假的、在法律上說都是無效的。那樣的系統是不存在的,因為每種殺毒算法都可能促使產生與之相對立的病毒的算法,隨之制造的病毒對于這種特定的殺毒軟件可能檢測不到(當然:任何殺毒算法都可以開發成一個殺毒軟件)。而且,已經證實“在有限理論的基礎上不可能存在絕對的防毒”——試驗者是Fred Cohen。
從殺毒技術上來講,當前,最流行的殺毒軟件都是一個掃描器,掃描的算法有多種,通常為了使殺毒軟件功能更強大,會結合使用好幾種掃描方法。
1)病毒掃描
病毒掃描是當前最主要的查殺病毒方式,它主要通過檢查文件、扇區和系統內存、搜索新病毒,用“標記”查找已知病毒,病毒標記就是病毒常用代碼的特征,病毒除了用這些標記,也用別的方法。有的根據算法來判斷文件是否被某種病毒感染,一些殺毒軟件也用它來檢測變形病毒。
病毒掃描從殺毒方式上可以分成兩種——“通用”和“專用”。“通用”掃描被設計成不依賴操作系統,可以查各種病毒;而“專用”掃描則被設計用來專查某種病毒,如宏病毒,可以使某些應用軟件的病毒防護更加可靠。
病毒掃描也可按照用戶操作方式分成實時掃描和請求式掃描,實時掃描能提供更好的系統病毒防護,因為如果有病毒出現,能夠立即發現,請求式掃描只在運行時才能檢測到病毒。
2)啟發式掃描
啟發式掃描是通過分析指令出現的順序,或組合情況來決定文件是否感染,每個對象都要檢查,這種方式查毒效果是最高的,但也最可能出現誤報。
3)CRC 掃描
CRC掃描的原理是計算磁盤中的實際文件或系統扇區的CRC值(檢驗和),這些CRC值被殺毒軟件保存到它自己的數據庫中,在運行殺毒軟件時,用備份的CRC值與當前計算的值比較,可以知道文件是否已經修改或被病毒感染。
使用這種算法的CRC掃描是強有力的反病毒工具:100%的病毒都能在進入計算機時被檢查出來。但這種殺毒方式天生就有一個缺點——效率很低。CRC掃描在病毒已經滲透到計算機之后,并不能很快的檢測到,只有過一段時間病毒開始傳播時才會發現,而且不能檢測新文件中的病毒(例如郵件、軟件文件、備份恢復的文件或解壓文件),因為在它的數據庫中沒有這些文件的CRC值。此外,有的病毒也會利用CRC掃描的這種“弱點”,只在掃描之前感染新創建的文件。
各種掃描都有自己的優缺點,擁有一個病毒庫是他們的基本特征,但是如果病毒庫過大的話,查毒速度會變得很慢。除了以上的殺毒方法外,還有一些常用技術。
1)行為判斷
行為判斷就是通過駐留的殺毒軟件截獲那些對用戶有病毒危險的行為,這些病毒可能會在修改可執行文件、引導扇區或MBR時被發現,這種方法的優點在于可以在病毒感染的早期發現并阻止,但有的病毒可以越過這種保護,使得殺毒軟件完全失效。
2)病毒免疫
免疫有兩種:一種是感染警告,另一種是阻止病毒感染。第一種免疫方式主要是預防那些把自己添加到文件末尾的病毒(通常是文件型病毒),每個文件都會檢查。但有一個致命的弱點:無法檢測到詭密病毒,所以實際上很少用這種免疫方式。
第二種免疫方式主要是預防系統被某種特定病毒感染,如果文件被病毒修改就可以檢測到(例如文件中存在字符串“MsDos”,說明文件可能被“Jerusalem”病毒感染),如果病毒把一個小的TSR程序拷貝到計算機內存中,系統肯定被感染。
由于不可能對所有的病毒采用免疫,所以這種病毒免疫方式并不通用。
哪種殺毒技術更好?
哪種殺毒技術更好?答案是——都好,只要計算機里沒有病毒。但是如果要安裝新軟件、收郵件、使用Word或Excel電子表,需要根據自身的情況選擇幾種比較合適的殺毒軟件。
各種殺毒軟件的特點都會有一些不同,它們的質量我想可以肯定,下面說幾點相對重要的:可靠性和方便性——殺毒軟件會不會經常“掛起”,普通用戶使用時是否需要特定的技術知識。
1) 掃描文檔、檢測各種病毒的性能,能不能修復被感染的文件,掃描引擎能不能及時地更新,處理新病毒的速度。
2) 殺毒軟件是否適應各種平臺(DOS、Windows、Alpha、Linux等),不僅可以根據用戶需要掃描,還要有能實時監控、網絡查毒的能力。
3) 查毒速度等其他有用功能。
殺毒軟件最重要的是可靠性,雖然沒有“絕對的殺毒軟件”,但也不能掃描一半文件就掛了,磁盤中剩下的文件還沒有掃描完,也沒有檢測出系統中的病毒;殺毒軟件不能要求用戶具備特定的知識——許多用戶只愿選擇殺毒軟件彈出簡單的[OK]或[Cancel]按鈕的消息框,如果殺毒軟件經常會詢問用戶一些復雜的問題,用戶肯定不會喜歡這種殺毒軟件。
顯然,病毒檢測能力是第二個重要因素,之所以叫殺毒軟件,目的就是檢測并清除病毒。
任何不能檢測到病毒的殺毒軟件都是無效的。如果一個殺毒軟件不能100%防疫一種變形病毒,那整個系統將會被這種類型的病毒感染,此種殺毒軟件只能檢測出系統中被感染的部分(99%)文件,剩下的1%被感染文件還是沒有查到,這時病毒已經感染計算機了,第二次掃描時,殺毒軟件又會留下1%的文件沒有掃描,但這次是上次99%中的1%,實際上是1.99%,可以想象最后將是什么樣子。
因此病毒檢測能力是衡量殺毒軟件質量的第二個最重要標準;比支持多平臺等其他特點都重要。
當然殺毒軟件也不能太敏感,如果經常誤報,以致刪除了沒有感染的文件,用戶也會錯過真正的病毒警告。
多平臺支持也是一個重要的因素,例如"OneHalf"病毒感染Windows95或WindowsNT系統,如果你使用DOS殺毒軟件來解密磁盤(這個病毒會加密磁盤扇區),結果會令你很失望:磁盤上的數據可能被毀壞,因為Windows95/NT在扇區加密后不允許殺毒軟件直接讀/寫它的扇區,而用Windows95/NT殺毒軟件就能把病毒清除。
對于殺毒軟件來說,實時監控能力也是一個相當重要的標準,如果進來的文件和磁盤中有病毒應該能100%的檢查到,保證文件服務器的安全(如避免Windows NT遭受宏病毒的攻擊,對所有進來的郵件進行掃描)都是必需的。如果殺毒軟件在網絡管理方面的功能很強,那它的價值也很大。
另一個重要的標準是工作速度。如果全面掃描整個系統需要好幾小時才能完成,大多數用戶可能不會經常掃描。不同的殺毒軟件用不同掃描算法,有的速度快質量好,而有的可能速度慢而且質量也沒有那么高,這些要依靠軟件開發者的能力。
附加功能作為評價殺毒軟件的最后一個標準,因為沒有這些功能不會影響整個軟件的使用。然而,有的功能對用戶來說很方便,做事情會更容易,這樣會促使用戶經常使用殺毒軟件。
殺毒技術發展的趨勢
由于Internet的普及,互聯網已經成為病毒制作技術擴散、病毒傳播的重要途徑,病毒開發者之間已經出現了團隊合作的趨勢,病毒制作技術也在與黑客技術進行融合。他們對現在的病毒對抗技術提出了挑戰,因此,病毒防護技術正在發生重大的變化,概括起來說,就是病毒對抗的理論在做從作品對抗到思想對抗的轉變,產品形態在從獨立軟件產品向操作系統的補丁轉變。
1)從作品對抗到思想對抗
以前,殺毒軟件的理論基礎是,首先要發現并確認一個病毒,然后,再進行防范,它的缺點是,對未知病毒的防范能力弱,我們沒有有效的辦法對付各種病毒的變形,對融合了黑客技術的病毒,不能有效防范。一般是一種新病毒發作后,大家才能開發出查殺該病毒的軟件,用戶還需要盡快升級自己的防毒軟件,因此,可以說以前的方法就好象警察找罪犯,在警察沒有看到罪犯犯罪,或得到舉報前,即使罪犯犯了罪,警察也沒有辦法,這是一種病毒制造者與安全專家之間在作品層面的競賽。而新的理論是基于對大量的病毒的特征、發作過程、傳播變化統計的基礎上,建立控制策略數學模型,采取分門別類的方法,有效解決應用同種思想開發出的各種病毒,可以極大提高對新病毒的反應時間。由于這種方法是通過抑制病毒設計思想而實現的,因此,這是一種病毒制造者與安全專家之間在整體思想層面的競賽。
因此,新的殺毒軟件不僅僅是依據病毒數據庫中的病毒代碼對計算機進行掃描,而是對計算機所運行的各種進程、各種操作進行監控,如果發現某個事件或某項操作存在典型的病毒特征,或是對計算機存在危害,那么這些事件或操作就會被阻止,得以更有效地保護計算機不受新型病毒的入侵。
2)從獨立產品到操作系統的補丁
殺毒軟件作為一個獨立的軟件產品,已經存在了很久,但是,由于病毒制造者越來越多地利用操作系統的漏洞和黑客技術,因此,與操作系統的緊密結合成為一種必然:一方面,可以幫助操作系統減少漏洞,另一方面,也可以進一步提高運行效率和軟件兼容度。從商業角度上來說,安全技術可以融入各種應用系統,減少應用系統自身的安全漏洞,同時,也可以為用戶提供更加個性化的安全服務。
科技帶來了進步,也帶來了計算機病毒,我們與計算機病毒所作的斗爭,是一個人、一群人與另一個人、一群人智慧的斗爭,因為病毒聰明而有智慧,就像制造病毒的那些人一樣,他們發明了新的病毒——我們就不得不小心的對付它;他們發明了一個很高明的病毒——我們還是得更小心的對付它。我們每天坐在計算機前,象個啞巴一樣不說話,面對著一個個的病毒妖怪,這樣的一個病毒,我們分析需要一天,而編寫防病毒算法又得一天,很像活的生物進化歷程呢,不是嗎?