发信人: emil(稻草人)
整理人: emil(2002-01-09 10:51:32), 站内信件
|
反病毒软件vs.病毒
计算机病毒作为计算机普及的一个副产品,越来越为广大的用户所了解,而网络的发展让用户在感受到方便的同时,更是深深体会到了病毒的威力。与此同时,反病毒软件也迎难而上,不断探索新的技术,充分利用网络的便利性,与病毒展开了一场旷日持久的较量。
网络助长病毒
自从1987年在大范围内发现病毒以来,整个计算机界就一直受到病毒的侵袭,虽然有一些发作的低谷时段,甚至有人认为发现了可以抵御一切病毒的方法,但是时间证明,只要有计算机存在,病毒就不会消失,只要有新技术的应用,病毒就会获得新的生命力。
从最近比较知名的2个病毒SirCam与CodeRed,我们可以看到目前病毒的一些发展趋势。
SirCam会让您收到无数封陌生人的邮件,并且在邮件当中附带一个病毒文件,以便进一步感染别人。由于它除了寻找受害者通讯录当中的邮件地址,还要在系统当中搜寻HTML文件当中的邮件地址,因此一些把自己邮件地址放到网上的人就会收到陌生人的病毒邮件。通过该病毒我们可以看到病毒传播方式的转变,在网络没有普及的时代,病毒传播主要是依靠软盘,目前网络的普及使得病毒也搭上了快车。以往一个病毒由国外传到国内需要一年甚至更多的时间,这个时候,反病毒软件往往已经更新并且可以查杀该病毒了。现在一个病毒从国外到国内用不了几分钟,使得防病毒不再是一个区域内的问题,而需要一个全球的解决方案。
CodeRed病毒对个人用户而言,感触好像不深,其实它的危害并不比SirCam小,该病毒与以往的病毒不同,它并没有将自己保存到文件当中,而是驻留在内存当中,使用文件扫描的方式无法发现该病毒,用户需要重新启动机器才可以将病毒清除。由于它只是感染安装IIS的机器,因此个人用户很难感受到它的危害,但是该病毒发作会严重影响服务器的性能以及占用网络的带宽,造成用户上网困难。它的变种还会向被感染的机器安装木马程序,以便进一步控制被感染机器。通过这个病毒我们可以看到病毒的另一些发展趋势。首先,由于未来计算机的内存越来越大,网络越来越发达,病毒不需要在文件当中保存自己的拷贝,只需要将自己保存在内存当中,并通过网络找到其他机器的入口,将自己复制到其他的计算机当中,这样可以避免反病毒软件在扫描文件过程当中发现它们。由于寄存到内存当中,杀毒程序往往需要费一些周折才能够清除掉病毒,其实这非常像在计算机发展初期出现的蠕虫。另一个发展趋势则是,病毒与木马程序的结合,病毒一般只是造成破坏,而木马程序能够让用户的机器受控于他人,因此,泄密就成为当前病毒的一个重要特征,这将在另外一个层次上造成用户的损失。
病毒促进反病毒
查毒技术的发展
从病毒诞生起,反病毒技术就伴随着病毒成长。但是直到现在,主要的技术仍然使用的是特征码查毒技术。顾名思义,该技术通过收集病毒当中的特征码,来对被检测文件进行匹配分析,从而确认是否感染这种病毒。该方法的优缺点都非常明显,优点就是判断准确,对已经发现的病毒绝不会有漏查的现象;缺点也比较明显,目前已经发现的病毒有50000多种,可以想象,每一个病毒提取一个病毒特征码以及在检测一个文件的时候与这样一个庞大的数据库进行校验对比所需要花费的时间较长;该检测方法的另外一个缺点就是无法预知没有发现的病毒,很明显,我们无法发现最新的病毒特征码,因此只有当病毒发作以后我们才能够进行防范,也就是只能进行事后防范,无法预防。
为了发现未知的病毒,在它产生破坏之前就进行防范,产生了行为观察法的防毒技术。一般的程序在开始所做的操作一般是清零、赋值等操作,而病毒则不同,为了能够产生破坏效应,往往一开始就希望能够取得最高的权限,常常进行格式化硬盘以及摧毁硬盘分区表等操作。对此,反病毒软件对一些可能产生破坏性的操作进行归类,标明等级并存放到数据库当中,当一个软件进行这类操作时,反病毒软件与数据库进行校验,判断是否达到阈值,并进行报警。很明显,这类查毒方法会产生一定的误报率,影响用户的正常使用,同时它也不能够清除未知病毒,只能向用户提示可能有危险,因此,这个技术往往会与其他的技术结合使用来降低误报率。
最后一个值得介绍的查毒技术就是虚拟机技术。可以想象,如果病毒在一台机器当中发作会对该机器产生一定的影响,甚至破坏系统。如果这台机器是一个虚拟机,我们就可以在虚拟机受到破坏的同时证实病毒的存在,而且由于虚拟机与实际的系统是相互分离的,即使它受到损坏,机器本身正常的系统也不会受到影响,这样用户就可以在系统不受影响的前提下发现病毒。理论上讲,使用虚拟机可以发现任何一种病毒,但是从实际操作上看,由于虚拟机需要占用大量的系统资源,不可能对每一个被检测的文件都进行这种检测,而且它与行为检测法一样,都只能查毒不能杀毒。
软件方便性的改进
事实上,查毒技术现在并没有太大的突破,因此厂商的重点并没有放到查毒技术的提高上,而是放在了反毒软件使用的方便性上。我们知道任何一种反病毒软件都会在一定程度上消耗系统的资源,同时占用用户正常的工作时间,因此,如何提高软件的方便性以及减少软件对用户的影响成为目前反病毒软件突破的重点,由此也引出了几个比较有特色的技术。
首先,出现了病毒防火墙。该技术为用户提供了一个实时监测防止病毒发作的工具,它对用户访问的每一个文件进行病毒检测,确认无毒后才会让系统接管进行下一步的工作。如果用户保证原有系统无毒,那么在开启病毒防火墙以后,可以有效地防止外来病毒的侵袭,防止系统受到感染。该技术防止了用户在不知不觉当中感染病毒,也可以在一定程度上防止病毒发作,将病毒消灭在萌芽之中。但是,任何一款病毒防火墙都会消耗一定的资源,因此,在这里如何处理资源消耗与安全之间的关系成为用户以及防病毒厂商的难题。目前,除了有个人单机版的病毒防火墙外,很多大型的防病毒厂商还提出了网关、邮件服务器、代理服务器等的病毒防火墙,实现立体的防病毒阵线,达到防毒目的。
其次,反病毒软件提出了在线升级的方式。既然病毒可以充分利用网络的优势,反病毒软件一样也可以利用这一优势,实现快捷与方便的病毒库升级,从而使防病毒也踏上网络的快车,避免因为病毒库更新的不及时导致病毒的泛滥。
第三,完成统一的防病毒管理。一个企业当中如果每一台单机都安装了反病毒软件,固然可以在一定程度上确保安全,但是如何管理每一台机器以及每一台服务器,对企业而言将是一个严重的问题。一个病毒库的升级文件,如果每一个人都下载一次的话,既浪费了网络的资源,也占用了大量的用户时间,因此一个统一的管理平台也成为企业级用户的需求。管理员通过中央控制系统,可以简单地实现整个系统的升级,以及定时查毒,避免交叉感染。但是这里也存在一个巨大的安全问题,一些报道指出,某些大型的企业由于在升级病毒文件之前未进行单机检测,导致整个系统内所有的机器全部瘫痪,这显示出为提高易用性改进工具的同时也会带来了巨大的风险。
第四,嵌入式查毒技术。它将杀毒引擎直接嵌挂到IE浏览器和流行办公软件Office 2000和Office XP组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体,在占用系统资源更小的情况下查杀病毒,通过这种方式,金山毒霸2001将有效地防杀各种宏病毒、互联网病毒及恶意程序。听到该技术的介绍以后首先想到的就是它和病毒防火墙之间的区别好像很小,但是通过仔细了解,发现该技术与病毒防火墙之间还是有一定区别的。病毒防火墙需要一直处于启动状态才能够进行病毒检测,而嵌入式杀毒是整合到应用程序内部进行杀毒,因此它不需要一直处于启动状态,例如,嵌入Office查毒仅在用户使用Office的过程中才驻入内存,在用户退出Office时则从内存中卸载,因此占用系统资源少。由于嵌入式查毒是在应用软件启动的同时进行查毒,因此外部的病毒很难通过该应用程序的访问侵入到系统内部。正是因为这个原因,它也存在一些问题,目前金山毒霸只能嵌入少数应用程序当中,只能够防止目前大部分的病毒入侵,而不能完全封杀病毒的入侵途径。
SirCam简介
I-WORM/SirCam是一个通过E-mail传播的Internet网络蠕虫程序,其E-mail的名字是随机变化的。它传播自身的同时也要传送用户的文档,在一定程度上可造成泄密。
邮件的主题是随机的,和邮件附件的文件名称一致,附件的文件名称是随机获得的。
邮件的主体内容如下:
Hi! How are you?
I send you this file in order to have your advice.
See you later. Thanks.
如果受感染的机器上的日期的格式是“日/月/年”的话,那么在每年的10月16日,该网络蠕虫程序会将C盘上的所有文件以及目录删除;在该网络蠕虫程序发现自身不完全时,它就会将Windows安装目录所在的驱动器上的文件和所有的子目录完全删除;同时还会在系统的回收站中写入文件SirCam.sys,一直到硬盘的剩余空间为零。
宽带网络时代病毒发展的趋势
纵观最近泛滥的几种病毒,我们总结了在宽带网络时代病毒发展的趋势。
病毒与黑客程序相结合
随着宽带网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
蠕虫病毒更加泛滥
其表现形式是邮件病毒会越来越多,这类病毒是由受到感染的计算机自动向用户的通讯录中的人发送带毒文件,往往在邮件当中附带一些具有欺骗性的话语,由于有些是熟悉的人发送的邮件,接收者往往没有戒心。因此,这类病毒传播速度非常快,只要有一个用户受到感染,就可以形成一个非常大的传染面。
病毒破坏性更大
它们不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者,或者采取DoS(拒绝服务)的攻击。一方面可能会导致本机机密资料的泄漏,另一方面会导致一些网络服务的终止。而蠕虫病毒则会抢占有限的网络资源,造成网络堵塞,如有可能,还会破坏本地的资料。
制作病毒的方法更简单
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
病毒传播更加方便
目前家庭上网还是通过Modem拨号连接方式,用户往往只是浏览一些网站和收发邮件,但即使在这种情况下,病毒也能得以广泛传播。当宽带网络普及以后,用户往往不再局限于收发邮件和网站浏览,此时,文件传输成为病毒传播的另一个重要途径。随着网速的提高,在数据传输时间变短的同时,病毒的传送时间会变得更加微不足道。同时,其他的网络连接方式如ICQ、IRC也成为了传播病毒的途径。
病毒的实时检测更困难
众所周知,对待病毒应以预防为主,如果发生了病毒感染,往往就已经造成了不可挽回的损失,因此对网上传输的文件进行实时病毒检测成了未来亟待解决的重要问题。但是随着宽带网络应用的兴起,网上传输的数据量加大,要在保证网速不降低的情况下实时检测病毒,其难度变得越来越大。
什么是病毒特征代码?
所谓的病毒特征代码其实可以想像成是犯人的指纹,它是病毒程序中一小段独一无二而且足以表示这种病毒的二进位程序码,以此可以作为杀毒程序辨认此病毒的依据。
怎样取得病毒特征代码?又如何才算是独一无二的病毒特征代码呢?其实病毒特征代码必须依照各种不同格式的文件及病毒感染的方式来取得。举例来讲,如果有一个Windows的程序被病毒感染,那么我们就必须先研究出Windows文件的格式,看看Windows文件是怎么被系统执行,以便找出Windows程序的进入点,因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏,知道病毒程序在一个Windows文件中所存在的位置之后,就可以从这个区域中来找出一段特殊的病毒代码供反病毒程序使用。
----
欢迎光临聊毒斋!!!
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
Oicq:201604 |
|