发信人: anytoany(clark)
整理人: starseacn(2001-09-07 11:34:09), 站内信件
|
任何杀毒软件的病毒检出率都相差无几--只要是对安全问题稍有了解的人都会有如此体会。而现实情况也的确如此。凡是知名的开发商的产品在病毒扫描的基本方法上都是一样的,而且检出能力也相差无几。但据专家介绍,这一状况在不久的将来就要发生巨大的变化。因为伴随病毒的进化,开发新的病毒检测方法的需求日益迫切。
首先,我们来回顾一下现在主流病毒扫描方法--“样式匹配”的工作原理。所谓的样式匹配就是在病毒扫描程序中预先嵌入标记病毒特征(样式)的数据库(称作定义数据库),然后将这一信息与检查对象逐个对照(匹配)来检测病毒。
比如,假设“A”这一病毒的样式可以用“265841377”来表示。病毒扫描软件就开始对可能感染这一病毒的检查对象的文件的内容进行检查,如果文件出现有“265841377”,就可以判断该文件已被A病毒感染。
近十年以来,这种样式匹配法可以检测出所有的病毒。不过,最近开始出现了一些样式匹配法无能为力的病毒。这就是被称作“变异型”的新型病毒。
这种变异型的病毒在感染其它文件时会变换自身的程序代码,或者在代码中夹杂一些无用的数据以便伪装自己。而且这些病毒现在还出现了进化后的版本,这些病毒会使用多种加密密钥对自身进行加密等复杂的处理。要检测出这些病毒,单纯的样式匹配已不再适用。
当然病毒扫描软件中也有专门对付变异型病毒的办法。因为病毒再怎么伪装,当它进行感染时总要返回原来的样子,所以只要反推变异处理的过程,就可以还病毒的原来面目。在这一剥去伪装的先期处理之后,就可以使用样式匹配来检测。这样的话同样也能通过样式匹配检测出病毒来。
读到这里,读者可能会想:样式匹配简直就是万能的方法。但病毒分析专门却在担心:“令样式匹配束手无策的病毒有可能出现”(美国SymanTec SARC病毒防治中心 山村元昭)。实际上,在研究所这一级别已经发现了使用这一技术制造出来的病毒。
所谓的样式匹配不适用的病毒到底是怎么回事呢?简单地说,就是使进行反推变异过程需要非常长的时间,从而使病毒扫描软件无法使用。因为只要使一个病毒的样式匹配耗时数分钟,就会使样式匹配这种病毒扫描根本无法进行下去。之所以这么说,是因为每个文件必须进行检测的病毒数就多达几百万种,而且这一数字还在呈上升趋势。
那么,就毫无办法了吗?也不这么悲观,因为现在已经有一种叫做“恶意行为阻截(behavior blocking)”的方法。也就是通过监视病毒的恶意行为样式来检测病毒。比如,随时监视企图“格式化硬盘”的行为,然后当场将有这一企图的程序作为现行犯捕获。
不过,以行为样式为标准实施抓捕的方法也常常会出现把不是病毒的程序“误认”为病毒的情况。因为对硬盘进行格式化的合法程序很多。也就是说,在捕获这样的病毒的时候,病毒扫描软件必须有很高的“智商”才行。在未来的病毒扫描软件中,各开发商将会在“智商”的高低上展开激烈的角逐。
|
|