发信人: youchong()
整理人: emil(1999-08-24 13:59:37), 站内信件
|
由于图片不能转贴过来,所以你读本文可能有些不连贯,请
见谅!欲看全文,请到“病毒观察”bd.yeah.net 或者
169电脑医院http://game.hrb.hl.cninfo.net/help169
反击病毒
剖析病毒本质 选择合适产品
PC Computing 中国易用性实验室
随着计算机的不断普及和网络的发展,计算机病毒造成的危害越来越大。今年4月 26日的CIH病毒大爆发给我们的国家带来了数以亿计的损失,而其后出现的Melis sa、ExploreZIP.worm、July Killer等病毒也在计算机用户中造成了不小的恐慌 。一时间,人人谈病毒色变。
计算机病毒真的那么可怕么?绝不是这样。恐惧往往是因为不了解才产生的。对 于一个真正了解病毒本质,熟悉病毒传染破坏规律,选择了合适反病毒产品的用 户而言,受到病毒危害的可能性是不大的。
遗憾的是,由于种种原因我们的广大用户很少能够获得真正有用的关于病毒的知 识。专业讨论病毒的文章常常太深奥,使一般读者望而生畏。而一些反病毒生产 厂商的不负责任的宣传和对病毒的炒作更是害人不浅。
为了让我们的读者们真正了解病毒,了解什么样的反病毒产品才是适用的产品, PC Computing中国易用性实验室精心准备了这篇反击病毒的专题文章。在本文中 ,我们将为你揭开病毒的神秘面纱,同时给你一份详尽的反病毒产品选购指南。 我们的工程师们还对当今市场上的六种主流反病毒产品作了严格的评测,你将对 这些产品的优缺点和特性一目了然。
---------------------------------------------------------------------- ----------
关于计算机病毒
俗话说:知己知彼,百战百胜。计算机病毒之所以会造成这么大的危害和恐慌, 在很大程度上是由于计算机使用者对病毒的不了解造成的。在讲述防毒与杀毒之 前,让我们先来研究研究计算机病毒自身。
计算机病毒的定义
计算机病毒的定义有很多种,中国比较权威的一种是在《中华人民共和国计算机 信息系统安全保护条例》中提出的:“计算机病毒,是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组 计算机指令或者程序代码”。这个定义用非常简洁的语言指出了计算机病毒的本 质和最基本特征。
计算机病毒的本质
首先,计算机病毒的本质是一组计算机指令或者程序代码。从根本上说,它与我 们日常使用的各种计算机软件程序在执行过程上没什么区别。所不同的只是软件 程序的执行效果对我们有利,而病毒程序的执行效果有害。有些读者可能会问, 为什么打开一个Microsoft Office文件(包括Word文件、Excel文件、Power Poi nt文件等)也会感染病毒呢?那不是非执行文件吗?其实,Office文件并不是一 个单纯的不可执行文件,其自身是不能作为程序执行的,但是微软公司为了使Of fice功能更强大,在Office中提供了对一种用专门的Basic语言即VBA(Visual Ba sic For Application)编写的程序(也就是所谓的宏)的支持,编写者可以将这 段程序代码嵌入Office文件中,当用Office打开这些文件时,程序代码会自动执 行。微软公司的本意是让使用者能用Office完成更多类型的工作,但是却为病毒 制造者提供了方便。因为VBA语言是为使用Office的一般计算机用户准备的,所以 用它编程非常容易,并不需要很高深的计算机知识就能编出危害性很大的宏病毒 。由于Office办公套件的广泛使用,宏病毒已经成为传播最广泛,危害最大的一 类病毒。关于宏病毒,我们还将在以后的 文章中详细讨论。
计算机病毒的传染性
病毒程序的最基本特征是传染性,它们会在使用者所不察觉的情况下将自身复制 并传染给正常的计算机文件。这里有一个重要概念需要强调,病毒的复制与传染 过程只能发生在病毒程序代码被执行过后。也就是说,如果有一个带有病毒程序 的文件储存在你的计算机硬盘上,但是你永远不去执行它,那这个计算机病毒也 就永远不会感染你的计算机。从用户的角度来说,只要你能保证所执行的程序都 是“干净”的,你的计算机就绝不会染上毒。但是,由于计算机系统自身的复杂 性,而Windows操作系统又要做得人人都会用,因此有许多程序是在使用者所不知 的情况下悄悄执行的。比如说启动计算机时会自动执行Autoexec.bat中所包含的 程序指令、启动Windows时会自动执行“启动”文件夹中的程序 、打开Word文件 时会执行文件所包含的某些宏等,这些都给病毒以可乘之机。再加上盗版软件和 下载软件的流行,许多人都是在不清楚所执行程序的可靠性的情况下执行程序, 这就使得病毒侵入的机会大大增加。当病毒代码被执行以后,它或者驻留在内存 中以感染其后运行的各种程序,或者搜寻硬盘中没有被感染的文件以感染它们。 而宏病毒则感染建立或打开Office文件一般都会用到的公用模板,通过它来感染 其他的Office文件。
计算机病毒的隐蔽性
计算机病毒的第二个特点是隐蔽性。一般正常的程序是由用户调用,再由系统分 配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒程序的 执行是在用户所不知的情况下完成的,它的动作、目的对用户是未知的。有不少 介绍病毒的文章包含“计算机中毒后的症状”等类似内容,提出用户可以从系统 运行速度下降、执行程序经常死机、可执行文件的大小或日期改变等现象来初步 判断计算机系统是否被病毒感染。这些说法其实对用户来说是没有实际意义的。 导致计算机运行速度下降、执行程序死机的因素实在太多了,对系统配置的不合 理、系统内部资源冲突等常见问题都可能导致上述现象。如果用户用这些标准来 判断计算机是否“中毒”,那只能是草木皆兵,惶惶不可终日。至于判断文件大 小或日期是否被改变,有几个用户在使用计算机时会注意到所执行程序的大小和 日期到底被改变没有?何况现在的编写病毒技术已经可以在不改变程序大小的前 提下感染它(如CIH病毒),上述那种原始的判断方式已经没什么实际用处了。大 部分病毒程序在侵入计算机并被执行后,只让它自身的复制功能有效,以感染更 多的“健康”程序,而对计算机使用者来说感觉不到任何的异常。当外界环境满 足一特定条件(往往是特定日期)时,其破坏功能才会生效。这时,有些病毒会 导致刚才提到的系统变慢、程序死机等情况的发生,而真正的恶性病毒则会删除 文件、毁坏数据,造成不可恢复的灾难性结果。
计算机病毒的破坏性
计算机病毒的种类很多,其破坏性的表现方式也很多。我们可大致按照破坏方式 和破坏力的大小将病毒分为良性病毒、恶性病毒、极恶性病毒和毁灭性病毒。良 性病毒的发作表现往往是显示信息、奏乐、发出声响。恶性病毒则会干扰计算机 运行,使系统变慢、死机、无法打印等。极恶性病毒会导致系统崩溃、无法启动 ,其采用的手段通常是删除系统文件、破坏系统配置等。毁灭性病毒对于用户来 说是最可怕,它通过破坏硬盘分区表、FAT区、引导记录、删除数据文件等行为使 用户的数据受损,如果没有做好备份则损失将无法挽回。以上所说的是传统的病 毒破坏方式。随着计算机的发展,病毒制造者也在不断创新,在这方面CIH病毒和 Melissa病毒是典型代表。CIH病毒除了像传统病毒一样破坏硬盘数据外,还会对 某些主板的BIOS程序进行改写,从而造成所谓的破坏硬件的效果。早期的主板BI OS是不能通过程序改写的,需要通过紫外线照射等非常手段才能被改写。后来随 着计算机发展速度的加快,BIOS需要经常升级才能满足要求,于是很多厂商将BI OS做成可以用特定程序改写,这在给计算机用户带来方便的同时也给了CIH作者破 坏的机会。而Melissa的作者则是让病毒将自身的复制品通过Outlook软件用E-ma il方式发给新的受害者,由于每一次病毒被激活就会发出50封E-Mail,这就使大 量信件涌入邮件服务器,使服务器因为不堪重负而瘫痪,从而破坏了网络通信。 Melissa病毒不光创造了新的病毒破坏方式,而且其“新颖”的传染方式使其他病 毒制造者思路大开。在Melissa产生后出现了许多将这种通过E-Mail方式和传统的 破坏方式结合起来的新病毒如"Happy 99"、"ExploreZIP.worm"病毒等。这些病毒 不仅会造成网络堵塞,影响正常邮件的往来,而且还会象传统病毒一样修改文件 ,毁坏数据,造成计算机使用上的问题。
---------------------------------------------------------------------- ----------
宏病毒详解
之所以将宏病毒单独列出来,是因为它与传统的病毒有很大不同。它不感染.EXE ,.COM等可执行文件,而是将病毒代码以“宏”的形式潜伏在Microsoft Office 文件中,当采用Office软件打开这些染毒文件时,这些代码就会被执行并产生破 坏作用。由于“宏”是使用Visual Basic For Application这样的高级语言编写 的,因此其编写过程相对比较简单,而功能又十分强大。宏病毒的产生标志着制 造病毒不再是专业程序员的专利,一个心怀不轨的人只需掌握一些基本的“宏” 编写技巧即可编写出破坏力很大的宏病毒。随着微软Office软件在全世界范围内 的不断普及,宏病毒成为了传播最广泛,危害最大的一类病毒。
让宏显形
在了解宏病毒之前,首先让我们认识一下“宏”到底是什么(考虑到一般见到的 都是Word宏病毒,下面的文章将以Word宏病毒为例进行讲解。)。宏是将一系列 的 Word 命令和指令组合在一起,形成一个命令,以实现任务执行的自动化。你 可创建并执行一个宏,以替代人工进行一系列费时而重复的 Word操作。事实上, 它是一个自定义命令,用来完成所需任务。宏的最典型应用包括加速日常编辑和 格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务 自动执行。举例来说,在使用Word编写文档时我们可能会需要输入"×、¥、℃" 等符号,如果使用传统方法,通过打开插入菜单中的符号选项产生的对话框(见 图1)来添加符号实在是很麻烦。我们可以利用微软在Office中提供的Symbar.do t模板(通常在<dir>\office\macros\子目录内,<dir>是指Office的安装目录) 。这个模板中包含的宏可在Word使用界面上添加一个关于符号的工具条(见图2) 。通过选择工具菜单下的“宏”选项(或按下Alt+F8)打开宏对话框,我们可以 看到使这一工具条生效的宏的名称(见图3)。点击“编辑”按钮,随之打开的是 Microsoft Visual Basic编辑器,我们可以看到这是一个功能齐备的程序开发环 境,而刚才那些宏背后的程序也显现在了程序代码(Code)窗口中(见图4)。S ymbar.dot中的宏实现的功能非常简单,因此程序也不复杂,而图5中的宏则是一 个相当复杂的程序,这是宏示例模板中的AddToStd宏。
认识“宏病毒”
既然了解了宏的概念,那么宏病毒也就不难理解了。宏病毒与有用的正常宏采用 相同的语言编写,只是这些宏的执行效果有害,而且在编写上利用了Word允许宏 自动执行这一特点,使用户在打开文件时不知不觉地就运行了这些病毒程序。早 期的宏病毒破坏方式往往是更改所附着的文档内容、扰乱文档的正常打印、开启 一个无法关闭的对话框或不断开启新的文件直到系统资源耗尽,Word运行出错为 止等。随着Office新版本的推出,微软不断加强宏的功能,宏病毒的危害也就越 来越大。前一段流行的Melissa病毒是利用宏来使E-Mail管理程序Outlook自动根 据其通讯录中记录的前五十个地址发信,而最近较有影响的July Killer(七月杀 手)宏病毒的破坏方式则是产生一个只有一句话"deltree/y c:\"的Autoexec.ba t文件来替代你现有的该文件,当你下次启动机器时这条指令就会删除你C盘中的 所有文件,同时该病毒还会使“工具”菜单下的“宏”、“模板和加载项”、“ 自定义”、“选项”等选项无法工作,以达到阻止采用编辑宏等一般方法来手动 清除病毒的目的。由此可见,当今宏的功能已经强大到可以操纵软件运行,更改 文件内容的地步,这也是防"宏"成为反病毒工作重要组成部分的原因。
宏病毒的传染途径
前面提到,病毒的最基本特征是传染性,那宏病毒又是怎样传染的呢?首先让我 们来看看Word的工作过程。为了使Word更易用,微软在Word中集成了许多模板, 如典雅型传真、典雅型报告、典雅型通讯录模板等。这些模板不仅包含了相应类 型文档的一般格式,而且还允许用户在模板内添加宏,使得用户在制作自己的特 定格式文件时,减少重复劳动。在所有这些模板中,最常用的就是Normal.dot模 板(通用模板),它是启动Word时载入的缺省模板。任何一个Word文件,其背后 都有相应的模板,我们打开或建立大多数Word文档时,系统都会自动装入Normal .dot模板并执行其中的宏。Word处理文档时,需要进行各种不同的操作,如打开 文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着 特定的宏命令,如存文件与File Save相对应、改名存文件对应着File Save AS, 打印则对应着File Print等等。这些宏命令集合在一起构成了通用宏,通用宏保 存在模板文件中,以使得Word启动后可以有效地工作。Word打开文件时,它首先 要检查文件内包含的宏是否有自动执行的宏(AutoOpen宏)存在,假如有这样的 宏,Word就启动它。当然,如果Auto Close宏存在,则系统在关闭一个文件时, 会自动执行它。通常,Word宏病毒至少会包含一个以上的自动宏,当Word运行这 类自动宏时,实际上就是在运行病毒代码。宏病毒的内部都具有把带病毒的宏移 植(复制)到通用宏的代码段,也就是说当病毒代码被执行过后,它就会将自身复 制到通用宏集合内。当Word 系 统退出时,它会自动地把所有通用宏(当然也包括 传染进来的病毒宏)保存到模板文件中(通常是Normal.dot模板)。这样,一旦W ord系统遭受感染,则以后每当系统进行初始化时,系统都会随着Normal.dot的装 入而成为带毒的Word系统,继而在打开和创建任何文档时感染该文档。
感染Normal.dot模板是宏病毒的最常用传染方式。此外,与系统启动相类似,Wo rd在启动过程中会自动执行C盘根目录下名为Autoexec.dot文档中包含的宏和<di r>\office\startup\(<dir>是指Word的安装目录)目录内的模板文件所包含的宏 ,有些病毒通过这两个“突破口”感染Word系统,使每次启动后的Word都成为带 毒环境。
宏病毒的防御
防御宏病毒的根本,在于打开Word文档时先禁止所有自动执行的宏(以Auto开头 的宏)的执行。由于宏病毒的肆虐,微软公司在Word 97版本中提供了此项功能, 用户只需将其打开激活即可。方法是:单击工具菜单下的“选项”,在随后出现 的选项卡中选择“常规”选项卡,用鼠标勾选“宏病毒防护”选项(见图6)这样 Word就有了防止“自动宏”执行的功能,如果打开的文件带有“自动宏”。Word 97将自动弹出宏警告对话框,来让用户选择是否执行宏(见图7)如果选择了“ 取消宏”,那么这个Word文档将用只读形式打开,其内含的所有宏都没有执行。 这个方法在理论上能防住所有宏病毒的侵袭,但它有两个很大的缺陷:一是它拒 绝了所有宏的执行,包括正常宏和病毒宏,这会造成某些文档在打开时出现错误 。二是宏病毒防护无法阻止启动Word时Autoexec.dot中的宏和Normal.dot中的宏 的自动执行。也就是说,一旦你的Word被宏病毒感染过了,生成了带毒的Autoex ec.dot或Normal.dot,那么宏病毒防护也就没有任何作用了。基于以上原因,用 户千万不可认为拥有宏病毒防护这一屏障就能高枕无忧了,选择优秀的反病毒软 件才是解决问题的根本。对于还在使用Word 97以前版本的用户来说,根本就没有 宏病毒 防护这一武器,在选择反病毒产品时就更要慎重了。
技巧:治疗Word
问题:我的Word被宏病毒感染了,使用Word时常常会出现一些异常情况。我用杀 毒软件将所有带毒的Word文件都处理了一遍,软件提示病毒被顺利杀除了。但是 我重新打开它们时病毒又回来了,而且所有用我的Word制作的文档都带有病毒, 我该怎么办?
这是一个常常令电脑用户感到困惑的问题,怎样使被感染的Word系统恢复正常? 许多用户采用的是将Word卸载然后重装的方法,但是有时候问题依旧没有被解决 。其实了解了宏病毒的传染原理后,可以非常轻松地将系统恢复正常。下面我们 分步骤详细说明:
退出Word,然后先到C盘跟目录下察看有没有Autoexec.dot文件,如果有这个文件 ,而你又不知道它是什么时侯出现的话,请删除它。
找到Normal.dot文件(一般位于<dir>\Templates\目录下,<dir>指的是Office的 安装目录,缺省为C:\Program Files\Microsoft Office目录),然后删除它。不 用担心,Word不会因为找不到Normal.dot而拒绝启动,它会自动重新生成一个干 净的没有任何外来宏的Normal.dot文件。
到目录<dir>\Office\Starup下察看有没有模板文件,如果有而且不是你自己拷贝 进去的话,删除它。
重新启动Word,这时你的Word已经恢复正常了。
检查宏病毒防护是否被启用了,有些病毒(如Jully Killer)会自动将其改为禁 用,如果不启用宏病毒警告功能,你的Word会很快再次被病毒感染的。具体启用 方法在宏病毒防御一节中已经介绍过了。
做完以上五步,你的Word就恢复正常了。只要在使用中不随便让Word执行来路不 明的宏,你就可以一直保持它的"纯净"。
---------------------------------------------------------------------- ----------
反病毒产品选购指南
讲了这么多关于病毒的知识,让我们接下来谈一谈反病毒产品。在病毒肆虐的今 天,每一台计算机都应该配备一套有效的反病毒软件。但是,由于种种原因,在 反病毒产品市场上广告成了主宰用户选择的决定性因素,反映反病毒软件质量和 性能的几乎都是广告,公众获得反病毒信息的主要途径也是各种形式的广告,这 是极不正常的。许多用户因为受到不负责任的广告的误导而产生了错误的印象, 选择了质量低劣的产品,遭受了巨大的损失,CIH病毒大爆发时许多受害机器是装 有反病毒软件的就是明证。同时,由于缺乏必要的专业知识,一些媒体以反病毒 厂商的宣传资料为基础拼凑出来的关于如何选购反病毒产品的文章对读者有着更 大的欺骗性。为了使读者真正受益,PC Computing中国易用性评测实验室为本次 专题评测做了大量的工作。我们的评测得到了北京冠群金辰软件有限公司(提供 Kill 98)、北京时代先锋软件有限公司(提供行天98)、北信源自动化技术有限 公司(提供VRV)、乐亿阳趋势有限公司(提供PC-cillin 98)、美国网络联盟( Network Associates)公司(提供McAfee VirusScan)、美国赛门铁克(SYMANT EC)公司(提供Norton AntiVirus)的大力支持,它们向我们提供了自己的反病 毒产品以及丰富的技术资料。在严格的实验室环境下PC Computing的评测工程师 们对这些产品的最新版本进行了测试。根据测试结果和使用过程中的体会,结合 自己多年使用电脑的丰富经验,我们向读者献上这份"反病毒产品选购指南"。这 是一份独立的指南,它并不是根据任何一个具体产品所具有的功能而写出的,而 是根据不同的出发点,提出对反病毒产品三个不同层次的要求:我们首先以实现 反病毒功能为最基本出发点,提出如果需要有效地防止病毒侵害,反病毒产品所 必须具备的条件;然后以让用户更好地使用为出发点,对反病毒产品提出了更高 的要求作为优秀反病毒产品所应具备的功能;最高层次的要求是一些期望,在这 次测试过程中还没有哪一个产品达到,但这些要求对于用户却是非常有用的。可 以说,满足了第一层次要求的产品就是合格的反病毒产品,如果又能较好地满足 第二层次要求,则该产品就是非常优秀的产品。这份指南中还包括了关于正确使 用反病毒产品的不少内容,希望它不仅可以让读者选择适合自己的产品,更能掌 握正确的使用方法 ,使自己的系统得到最大程度的保护。
合格反病毒产品的必备条件
较强的发现病毒的能力
反病毒产品的最基本功能就是检查文件、发现病毒、提出警告,因此其在这方面 的能力是判断质量好坏的根本。虽然检查病毒的手段有针对已知病毒的特征码扫 描方式、针对未知和变形病毒的虚拟机技术和启发式扫描等,但从实际上说,绝 大多数的病毒都是通过特征码扫描方式检查出来的。具体过程是反病毒软件公司 得到新病毒样本后,通过分析研究提取出标志着这一病毒的特征码,然后加入其 产品的病毒特征库中。当检测文件时,反病毒软件会将所测文件的代码与病毒特 征库中所包含的病毒特征码做比较,如发现同样的代码,就报告发现了病毒。因 此衡量一个软件发现病毒的能力的重要标志就是其病毒特征库中到底有多少种病 毒的特征码。从我们评测的结果来看,承诺可查杀病毒种类在两万种以上的产品 ,包括Kill 98、行天98、PC-cillin98、McAfee VirusScan、Norton AntiVirus 等软件都基本上可以100%检测出测试用的文件型病毒和宏病毒样本,而VRV在这方 面特别是针对文件型病毒检测方面有一定差距。McAfee和Norton的产品都承诺可 以检测出四万种以上的病毒(包括变体),体现了它们的实力。综上所述,在现 在的普通使用环境中如果反病毒产品能够检测出两万种以上的病毒,就十分有效 了。当然,这个数字随着时间的流逝在飞速增长,到明年这个时候也许就要变成 三万了。
快速的病毒反应能力和及时的升级服务
反病毒软件与一般软件有着重大的区别,它绝不是一个静态的软件。用户必须经 常升级病毒库才能获得对新病毒的防御力。这一点许多计算机用户没有认识到。 不管一个反病毒产品的技术多么好,如果不经常升级,它也只会对层出不穷的新 病毒视而不见。因此,厂商升级产品的能力对这类产品是至关重要的。快速的病 毒反应能力是指能够在第一时间获取到最新病毒样本,迅速分析研究并拿出查杀 方案的能力。所有的反病毒行动的运作流程基本都是一样的:先是病毒在一个小 范围内发作,厂商得到消息后迅速采样分析,拿出解决方案后给出升级文件供用 户升级,使用户获得对该病毒的抵抗能力。因此,某个产品的生产者早一天得到 病毒样本,早一天拿出升级文件,使用这个产品的用户就能少受一天的威胁。对 于传播疯狂且破坏性立即表现的病毒,如Melissa、ExploreZIP.worm等病毒这一 点尤其重要。升级服务方面的要求指的是厂商能通过多种途径将升级文件交到用 户手中。现在最常见也最方便的是通过Internet下载软件升级文件。但是对于中 国的计算机应用现状,厂商还应该提供诸如直接邮寄升级磁盘,或让经销商提供 升级文件等方式进行服务。在参测产品中,Kill 98、PC-cillin 98、Norton An tiVirus和McAfee VirusScan的生产厂商都是实力雄厚的国际性公司,在世界上建 有完善的病毒监测网和研究机构,在前一阵的CIH、Melissa、ExploreZIP.worm病 毒风波中表现都很出色。VRV与行天 98作为国内的知名病毒软件,都拥有数量不 小的用户群,在这方面也有一定优势。在病毒库的升级频率方面,PC-cillin 98 、Norton AntiVirus和McAfee VirusScan等都提供了最长为一周的病毒库更新频 率,表现最为出色。而Kill 98和VRV提供了大约两周一次的更新服务,也能够满 足需要。行天 98虽然以前更新速度很快,大约每周一次,但最近不知为什么其网 站上的病毒库从5月22号以后就没有更新过(至本文截稿期)。不管是什么原因, 我们都希望时代先锋公司迅速行动起来,因为这样长时间不更新病毒特征库对一 个反病毒软件而言是致命的失误。
具有实时监控功能
实时监控指的是反病毒软件在每次系统启动后均被自动加载,然后监视所有对文 件的操作,包括拷贝、运行、改名、创建、从网上下载、打开E-Mail附带文件等 ,在系统 执行这些操作之前先自动检测文件是否被病毒感染,如果发现病毒则采 用由用户选择的处理手段(如清除或者做出提示并制止下一步操作等)处理文件 ,防止病毒的感染和破坏行为。VRV提出的病毒防火墙与实时监控是一个意思。实 时监控功能是一个合格的反病毒产品所必须具备的功能。如果用户的计算机上安 装的是不具有此项功能的反病毒产品,那么病毒依旧可以在没有任何障碍的情况 下侵入系统,只有在用户运行杀毒程序时才会被检测出来。在用户两次运行程序 之间的这段时间内,病毒是可以自由传播并很有可能发作的。大多数用户只有在 觉得机器不正常时才会运行杀毒软件,但对于象CIH这样一发作后果就不堪设想的 毁灭性病毒,这时已经没有机会去杀毒了。因此,反病毒的根本在于防止病毒侵 入计算机,防止病毒的传染和破坏,而不是在病毒进入计算机后再清除。而只有 具有实时监控功能的产品能做到这一点。值得高兴的是,所有参加本次评测的产 品都具备这一功能,但行天 98安装后的缺省设置是不开启监控器,这让人有些费 解。不同产品的实时监控程序的优劣主要体现在系统资源占用,稳定性和监控有 效性等几个方面。我们通过分别考察开启和卸载监控器这两种不同情况下系统资 源占用率的改变和Business Winstone 99测试得分的变化,对参测产品做了测试 。所有产品均顺利通过了Winstone 99测试说明它们的稳定性都不错,而在影响系 统性能方面,VRV和Kill 98以仅仅1.8%的性能下降成为对系统影响最小的产品。 而Norton AntiVirus也许是由于中文版的缘故,测试成绩不很理想。当行天 98的 监控器处于有效状态时,测试人员在打开Word文档时能感到明显的延迟,用秒表 测了一下大约是两秒,这显然会给用户使用带来影响。在监控有效性方面,我们 发现Kill 98存在着"盲点",当在解压缩程序WinZip执行窗口内直接双击打开处于 压缩状态下的带毒文档或在邮件管理程序Outlook Express执行窗口下直接打开邮 件附带的文件时,Kill 98的实时监控器似乎被屏蔽了,没有检查将被打开的文件 是否带毒。这是非常危险的,希望能引起冠群金辰公司的技术人员的重视,早日 推出修正问题后的产品。
优秀反病毒产品 所应具备的条件
完善的升级设计
前面已经讲过,使用反病毒软件必须及时升级。因此升级功能设计的好坏,是衡 量反病毒产品易用性高低的重要标准。一个好的升级设计应该包括以下几个方面 :
升级提示,即在启动实时监控器或杀毒程序自身时,检查所用病毒特征库日期与 当前日期之间的间隔,如果间隔较长则发出警告,提示用户去更新。参测产品中 行天 98、Kill 98具有此项功能。
一键更新,即用户如果连接在Internet网上,只需按下升级按钮,程序就会自动 连接到特定网站并检查是否需要升级,如果需要可自动下载升级文件并完成升级 工作。除VRV外其余参测产品都已具备这项功能。
自动升级设置,具有这一功能的产品可以由用户设置升级过程的启动时间,譬如 用户设置成每天早上10:00自动升级,那么到了这个时间,如果计算机连接在英特 网上,升级过程会自动启动并完成所有步骤。这一设计使用户不用总是挂念着升 级这件事,非常体贴。PC-cillin 98、McAfee VirusScan和Norton AntiVirus均 有这一功能。
良好的自我验证功能
虽然是反病毒软件,但它和别的软件一样,有被病毒感染的可
能。设计优秀的软件应该考虑到各种情况,包括自身被感染的情况。Norton Ant iVirus和Mcfee VirusScan在被病毒感染后,都会拒绝运行并且提示自身已被改变 ,要求用户使用应急盘杀毒后再重新安装该软件。PC-cillin 98、Kill 98和VRV 防火墙在这方面就逊色一些,在被病毒感染后,程序依旧可以执行。不过如果病 毒是可识别的,它们的实时监控器会发出报警。但是由于自身处于被运行状态之 下,因此无法清除自己的病毒。这样就出现了一个循环,每次开机都提示程序有 毒,但却无法清除。碰到这种情况,用户应该使用干净系统盘启动后,用DOS版杀 毒程序清除病毒,然后再重新安装该软件。这几种产品都能够允许用户制作带DO S版杀毒程序的应急盘,而VRV本身带有DOS杀毒程序。
可查出压缩文件中的病毒
随着Internet网的发展,压缩文件的使用越来越广泛。当带毒文件被压缩进压缩 包后,其内部包含的病毒码也会由于压缩的作用而被改变,这时采用通常的特征 值扫描法就不能发现其中的病毒了。我们把带病毒的文件分别压缩成.ZIP和.ARJ 两个常用压缩格式来检测产品对压缩病毒的识别率。大多数参测产品都支持对这 两种格式压缩文件的检测,能查出隐藏在其中的病毒,但是不能在压缩状态下清 除病毒。只有McAfee VirusScan可以通过将文件自动解压缩在临时目录中,清除 病毒后再压缩回来的方法清除.ZIP格式压缩文件中的病毒,但是它不支持ARJ格式 的压缩文件。VRV不能检测出压缩状态下的病毒,虽然其病毒防火墙(即实时监控 器)可在压缩包被打开的时候检测出病毒,防止病毒侵害,但是它不能防止带病 毒的压缩文件的拷贝,因此这些病毒有可能在用户不知道的情况下被拷贝到别的 机器,进行破坏。在进行了正常测试后,我们又给这些软件出了个难题:将带病 毒的.ZIP压缩文件用ARJ进行二次压缩,然后用各产品检测,让人惊讶的是,Kil l 98、PC-cillin 98和行天 98仍旧能检测出其中的病毒,它们的技术确实让人佩 服。
拥有较好的虚拟机技术和启发式扫描技术
虽然特征值扫描法可以用来对付大多数病毒,但对于变形病毒和未知病毒来说, 它就没有什么用了。作为一个优秀的反病毒软件,应该对各种病毒都有一定的防 御能力,虚拟机技术和启发式扫描技术就是针对这两类病毒产生的。虚拟机技术 可完成文件在虚拟环境的执行过程并提取文件特征。而启发式扫描依靠对病毒常 见行为的汇总,分析当前程序与病毒程序的近似性从而判定是否有可能是未知病 毒。虚拟机技术与启发式扫描技术关系极为密切,通常通过虚拟机提取文件特征 ,再依赖启发式扫描对特征进行加权判定。从参测产品所提供的技术资料上看, 所有产品都采用了这两种技术,只是各厂家起的名称不一样。
通过ICSA认证
衡量反病毒软件产品质量的标准主要有三个,一是病毒检测
率,二是病毒误报率,三是安全性和兼容性。但是让用户自己来评价这些特性是 不可能的。用户不可能拥有成千上万种病毒的标本自行进行检测,并且全球病毒 数量在以每月数百种左右的速度在不断增加。考察软件产品安全性和兼容性也是 极其复杂的。要完成这样的工作只可能由专业机构来进行。ICSA(International Computer Safe Association)是指国际计算机安全协会,其所进行的反病毒产品 质量认证是国际上最具权威性的。ICSA对于反病毒软件质量的评定有着严格规范 的标准。送检产品必须在缺省状态100%检测到新样本子库内的病毒(这个样本子 库取自最近两个月以来被发现的新病毒)以及90%大样本子库的病毒(这个样本子 库包含了新样本子库中的所有病毒,也包括了所有被称为“研究性病毒”的病毒 ,这些病毒由病毒研究者制造,但从未被外界遇到过)。通过检测认证的产品, 每年要经过四次复检,当某项指标不符合要求时,送检公司必须在七天内提供对 产品作出修正的补丁,否则该公司将被ICSA从获得认证的公司名单中除名。对于 已经被取消认证的公司,ICSA不再接受其对产品的修正补丁,该公司必须通过其 正常销售渠道销售一个可被认证的软件版本才有可能继续获得认证。本次参加测 试的产品中Kill 98、PC-cillin 98、McAfee VirusScan和Norton AntiVirus均顺 利通过了今年四月进行的最近一次ICSA认证测试,用户可以放心地选择它们。我 们希望国内的优秀反病毒软件也能早日参加ICSA认证测试,进入国际市场。
安装前应该先对系统进行查毒
在一台确认没有病毒的机器上安装反病毒软件当然很容易,但是如果系统在安装 前就已经被病毒感染了呢?
如果反病毒产品在把自己安装到目标机器之前不对它做初步的病毒检测,而是上 来就拷贝的话,那么很有可能在安装过程中自身就被染上了病毒。我们测试了在 被CIH病毒感染的系统上安装反病毒软件的情况。先运行一个带毒程序使病毒驻留 内存,然后使用产品的缺省安装模式进行安装。PC-cillin 98在测试中表现最好 ,先对系统内存和重要目录进行查毒,发现有毒时提示你用应急盘启动机器后使 用它的DOS版杀毒软件进行杀毒。行天 98由于自身带有时代先锋研制的CIH疫苗, 安装完毕后没有被感染,但它在安装前没有进行查毒,从理论上讲有被感染的可 能。Kill 98在安装前对系统内存查过毒,但由于安装光盘上病毒特征库版本太旧 ,安装完毕后依旧被感染了。Norton AntiVirus、McAfee VirusScan、Kill 98和 VRV防火墙在安装后也均被感染。不过VRV本身就带有DOS版的查杀病毒程序,因该 先用该程序检查过系统后再安装防火墙。Norton、McAfee和Kill的产品都可以制 作带有杀毒程序的应急盘,可以用干净系统盘启动后除去系统内的病毒,然后再 安装。
良好的杀毒能力,特别是在杀除宏病毒时应该不影响正常宏
查病毒与杀病毒是两个概念,能查出的病毒多可以更好地防止病毒进入计算机, 但不表示能够对已被感染的文件中的病毒做出有效的清除。在测试中我们常遇到 这种情况,对于被某些病毒感染的文件,一个产品说病毒能被杀除,而另一个产 品却说文件已被破坏建议删除。这些都说明不同产品清除病毒的能力不一样。在 宏病毒方面,杀毒程序能否将病毒宏完全去除,能否使病毒宏的传染性和破坏性 完全失效则是衡量程序水平的标准。
区分正常宏与病毒宏是反病毒产品的一个难题,尤其因为微软不公开Word文件内 部结构,使得这一工作更加难以完成。各种产品都宣传自己可以解决这个难题, 那具体情况又怎么样呢?在实验室中,我们首先将Word自己提供的能产生符号栏 的模板Symbar.dot中的宏复制到Normal.dot中,这样Normal.dot中就包含了一些 正常宏,这些宏的作用是在Word应用界面上显示一个符号栏并使其功能有效,然 后打开带有“台湾一号”宏病毒的文件,让Normal.dot被病毒感染。执行杀病毒 程序对Normal.dot中的病毒进行清除,所有程序都显示病毒被成功清除了。如果 杀毒程序真的是完全杀除病毒宏而没有影响正常宏,那么再次启动Word时符号栏 应该依旧存在并功能正常,同时通过点击工具菜单下的宏选项出现的宏对话框中 不应该有病毒宏存在。实际的测试结果是,被PC-cillin 98、McAfee VirusScan 和Norton AntiVirus清除过的Normal.dot完全恢复正常,病毒宏消失并且符号栏 宏没受影响;用行天98清除过的Normal.dot中,符号栏宏功能正常,但是在宏对 话框中可以看到病毒宏名,对它进行编辑发现其内部代码已被完全清除掉(见图 8),也就是说在效果上该程序已经完成了清除工作。用VRV清除过的Normal.do t中所有的宏都消失了,符号栏宏和病毒宏被一起删除了,我们又用“七月杀手” 病毒重复做了一遍,发现结果一样,VRV把所有的宏都给删除了。这说明VRV对付 宏病毒采用的方式就是清除文件中所有的宏,这样的方式虽然不太合适,但对于 一般用户来说,因为含有有用宏的Word文件并不多种,所以也基本可以接受。用 Kill 98清除过的Normal.dot中的符号栏宏功能被破坏了,点击任何一个符号按钮 ,都会出现“文件未找到”的错误信息并出现宏编辑窗口(见图9),这说明在 正确清除宏病毒这一方面Kill 98有待改善。
快速的查毒速度
随着硬盘容量变得越来越
大,存储在上面的文件数也越来越多。现在使用反病毒软件检查系统往往需要检 测数万个文件。因此快速的查毒速度也是优秀反病毒软件所应具备的。我们在完 全相同的系统环境下使用一个含有各种格式文件在内的目录测试了参测产品的查 毒速度:Kill 98在参测产品中查毒速度最快,Norton AntiVirus和PC-cillin 9 8表现也不错。VRV由于不检查压缩文件,虽然其所花时间最短,但是与其他产品 没有可比性。
期 待
从这次参测产品的总体情况来看,反病毒产品生产厂商在提高产品的性能、易用 性上都下了很大功夫。总的来说,用户可以毫无困难地使用这些产品,保护自己 的系统和数据。但是,我们还是碰到了一些问题,感到了一些不足。下面我们就 将这些问题列出来,希望在以后的产品中我们可以看到改进。
1.在软件集成的一键更新功能中下载升级文件时不支持断点续传
要正确使用反病毒软件,升级将是一件非常频繁的事。一个升级文件小则800k~ 900k,大则两兆左右。在现有的网络条件下,一次下载这么大的文件是很有可能 出现中断的。断点续传功能已经被很多下载工具实现,想必在技术上已经不是什 么难题。希望今后的产品能够在这方面有所改进。
2.应该对含密码的特殊文件做出提示
常见的含密码带毒文件一般有两类,一类是Word文件,另一类是压缩文件。对于 第一类含密码的Word文件,多数产品都能检测出病毒,但没有任何产品可以清除 病毒。有些产品的提示说已经将病毒清除,但实际并没有做到。这会给用户特别 是初级用户带来困惑。对于含密码的压缩文件,所有产品在检测过后都说没有病 毒,显然这是由于密码的缘故它们无法将文件还原进行检测。我们不能要求产品 对这样的文件也查出病毒,但是当遇到这类文件时应该给出类似提示:“所检测 的文件含有密码,无法判定其中是否带毒”。对不明查毒原理的普通用户而言, 他们是不会知道密码会导致文件中的病毒无法查出这一点的,希望这一问题能引 起厂家的高度重视。
软件测试记录
对文件型病毒查杀能力
注:白色表示查出的病毒百分比,灰色表示可以清除的病毒百分比。
对宏病毒的查杀能力
注:白色表示查出的病毒百分比,灰色表示可以清除的病毒百分比。
查毒速度
注:这是对含有1500个包括压缩文件在内的各种文件的测试文件夹进行病毒扫描 所花的时间。
实时监控对性能的影响
注:基准是未安装任何反病毒软件时系统的Winstone 99的测试结果,其余是开启 了实时监控功能后系统的Winstone得分下降程度。
主流反病毒软件
产品名称 参考价格(元 ) 承诺可查出病毒数 实时监控功能 实时监控器资源占 用率 可否查出压缩文件中的病毒 ICSA认证 是否有病毒特征库更新提示 自我验 证功能 一键更新 更新频率 优 点 缺 点 评 价
Kill 98 认证版 (010) 62647625 380 260(95/98专用版) 20000 是 3% 是 是 是 否 是 两周 查毒速度快,功能齐备,对病毒有良好的防御效果。拥有庞大的 病毒监测网,对新病毒反应及时。 实时监控功能有一些漏洞,杀除病毒能力有待 提高。 各方面表现都不错,值得考虑的选择。
行天 98 (010) 82610588 (010) 82610559
118
20000 是 4% 是 否 是 - 是 - 技术先进,独有的CIH疫苗设计巧妙。杀毒 能力强,在参测产品中表现出色。 实时监控影响打开Word文件所需时间。病毒特 征库已经一个多月没更新。 产品设计出色,水平很高。如果服务能更规范一些, 完全可以和国际知名产品抗衡。
VRV (010) 62330933 238 - 是 4% 否 否 否 否 否 两周 国内最早拥有实时 监控功能的反病毒产品。 查杀病毒的能力有待提高。 对国内流行病毒有较好的 防御效果。
PC-cillin 98 (010) 68305866 (010) 68305867 288
38000 是 3% 是 是 否 否 是 一周 易于使用,功能强大,服务周到,价格合 理。将各方面的优势都结合得很好。 没有自身验证功能。 产品整体表现一流, 是用户的最佳选择。
McAfee VirusScan (010) 68492650 - 45000 是 4% 是 是 否 是 是 一周 具 有最出色的反病毒能力以及极快的病毒特征码升级速度。 易用性有待改善,最新 版只有英文版。 非常适合有经验的计算机用户。
Norton AntiVirus (010) 62648866 850 42000
是 3% 是 是 否 是 是 一周 出色的易用性,界面操作方便。雄厚的技术实力 ,世界顶尖水平的病毒研究中心保证了产品的质量。 也许是中文版的原因,实时 监控导致系统性能大幅下降。价格对个人用户太贵了 绝对值得信赖的产品,适合 于企业用户。
易用性最佳 即使是没有多少经验的用户,也可以轻松地掌握Norton AntiVirus 5.0和PC-cillin 98。出色的升级程序可以使用户在不知不觉中完成病毒特征库的 更新,完善的扫描任务设置功能可以让各种扫描工作全自动进行。众多的特性使 它们成为易用性最出色的产品
总体最佳 PC-cillin 98将出色的易用性,强大的病毒防御能力和及时的软件升级 服务很好地结合在一起,成为本次测试的总体最佳产品
技术最佳 McAfee VirusScan 4.0具有非常出色的反病毒引擎,可以有效地防御包 括Active X病毒和Java 病毒在内的各种病毒。其出色的网络设计更能为网络用户 提供全方位的保护。
易用性特写
来自实验室的记录
自动更新 PC-cillin 98提供了非常易于管理的自动更新功能。在连网的情况下, 不需要用户操作即可完成病毒特征库的更新。
易于设置 Norton AntiVirus 5.0的软件选项设置非常详细,其启发式扫描程序的 灵敏度也可以让用户非常方便地设置。
口令保护 Kill 98、Norton AntiVirus 5.0和McAfee Virusscan 4.0等软件提供 了口令保护,不知道口令的人无法更改程序的设置。Norton AntiVirus的口令保 护范围可进一步详细设置。
提供信息 在发现病毒时,Norton AntiVirus 5.0提供的详细的病毒信息可以让你 了解关于这个病毒的一切,Kill 98也提供了类似的功能。
---------------------------------------------------------------------- ----------
专题背后的思索
对反病毒产品略有了解的读者一定注意到了本次专题评测中的一大遗憾。那就是 在国内反病毒市场上占有很大份额的两家公司的产品没有参加测试。向这两家公 司发出的评测邀请,在其中一家犹如石沉大海,没有了任何回音,而另一家则婉 言拒绝,不愿参加测试。这使得我们错过了一次“一睹庐山真面目”的机会,实 在是很遗憾。
中国的反病毒产品市场长期以来一直被商业广告和纯粹的商业炒作新闻报道所左 右,这使得我们的用户对反病毒产品一直没有建立起来正确的概念,这方面的教 训是非常沉痛的。举个例子来说,在去年许多媒体都报道说国内某某公司的产品 在世界范围内首先成功清除了CIH病毒,某某公司的杀毒软件可以完全清除CIH病 毒,但是今年四月二十六号CIH病毒大爆发却给我们的国家带来了数以亿计的损失 。是这些遭受到了侵害的计算机都没有配备杀毒软件吗?不是的。究其原因是由 于那些被大肆炒作的产品都属于在国际上已被淘汰的静态反病毒产品,而这类没 有实时监控(病毒防火墙)功能的产品面对象CIH这样传播疯狂、发作致命的毁灭 性病毒是无能为力的。这些产品在介绍自身时只提可杀CIH病毒,但却不讲由于自 身的限制必须经常运行才可能避免系统被破坏(而且不能100%防止),这让许多 信任它们的用户遭受了灭顶之灾。
也许,这些公司也有它们的苦衷。在资金不够雄厚、技术不够领先的情况下也只 能将产品做成这样了。但这种以用户的损失来换取利润的行为是绝对不可取的。 在中国现有的经济条件下,有谁会买上好几套价格在数百元的防病毒产品呢?每 一套质量低劣的产品的售出,都代表着一个甚至好几个用户迈入了危险的深渊。
迫于形势的发展,一些公司在今年终于在自己的产品中加入了实时监控功能,这 本来是一件大好事。但在宣传广告中我们又看到了对读者严重的误导,本来是落 后于别人几年才推出的产品,却宣称是什么“第一家通过×××检测”,本来技 术不先进,却非要装扮成世界最高水平的样子,这怎么能让人信任它们的产品呢 ?
值得欣慰的是,不是所有的国内厂商都这么不负责任。乐亿阳趋势公司的PC-cil lin 98、北京时代先锋公司的行天 98以及北京冠群金辰软件公司的Kill 98都是 具有国际水平的产品,而北信源公司的VRV系列产品作为最先将病毒防火墙概念引 入中国的国内产品也值得称道。但是,我们同时也看到一些国内产品在先天上的 不足。如行天 98的网站已经一个多月没有更新病毒库,而VRV的可查杀病毒种类 又这么少,这些都是致命的问题。
我们无法指望通过这样一篇专题文章就能改变国内反病毒市场的现状,但我们希 望它能使我们的读者受益,希望看到这篇文章的人都能够选择真正优秀的产品保 护自己的系统。其实,病毒并不可怕。
---------------------------------------------------------------------- ----------
PC COMPUTING杂志版权所有,此电子版本由169电脑医院站、病毒观察站制作
本页扫描制作--烟儿
169电脑医院
http://game.hrb.hl.cninfo.net/help169
http://202.118.244.83/help169
病毒观察
http://gl.zj.cninfo.net/tt/cih/
-- 如果你的举手之劳能帮别人一个大忙,
为什么不伸出你热情的双手呢?
假如你乐意帮助别人,请到bd.yeah.net看看
假如你需要别人帮助,请到bd.yeah.net试试
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.125.99]
|
|