关于第一个计算机病毒的产生时间有着许多许多的说法,我确信在Babbidge机器时代是肯定没有病毒的,但是到Univac 1108和IBM 360/370的时候就已经有了("Pervading Animal" 和 "Christmas Tree"),所以第一个计算机病毒的诞生是在二十世纪70年代初或者二十世纪60年代末,虽然在那时候没有人叫它们病毒。但是,病毒成为一个问题的时候,就出现了解决问题的人——安全专家——和他们的成果:杀毒技术和防病毒产品。
作者简介:刘杰,中国最早系统地从事计算机病毒与网络安全技术研究的专家,曾起草中国安全法规:计算机病毒防治产品评级标准,获公安部科技成果二等奖,现任国家有关部委网络安全顾问、商丘师范大学客座教授,是光华反病毒软件的开发者。
杀毒软件是对付计算机病毒的最有效方法,但是没有杀毒软件能100%的保证系统不被病毒感染。任何宣称存在这种杀毒软件的广告都是虚假的、在法律上说都是无效的。那样的系统是不存在的,因为每种杀毒算法都可能促使产生与之相对立的病毒的算法,随之制造的病毒对于这种特定的杀毒软件可能检测不到(当然:任何杀毒算法都可以开发成一个杀毒软件)。而且,已经证实“在有限理论的基础上不可能存在绝对的防毒”——试验者是Fred Cohen。
从杀毒技术上来讲,当前,最流行的杀毒软件都是一个扫描器,扫描的算法有多种,通常为了使杀毒软件功能更强大,会结合使用好几种扫描方法。
1)病毒扫描
病毒扫描是当前最主要的查杀病毒方式,它主要通过检查文件、扇区和系统内存、搜索新病毒,用“标记”查找已知病毒,病毒标记就是病毒常用代码的特征,病毒除了用这些标记,也用别的方法。有的根据算法来判断文件是否被某种病毒感染,一些杀毒软件也用它来检测变形病毒。
病毒扫描从杀毒方式上可以分成两种——“通用”和“专用”。“通用”扫描被设计成不依赖操作系统,可以查各种病毒;而“专用”扫描则被设计用来专查某种病毒,如宏病毒,可以使某些应用软件的病毒防护更加可靠。
病毒扫描也可按照用户操作方式分成实时扫描和请求式扫描,实时扫描能提供更好的系统病毒防护,因为如果有病毒出现,能够立即发现,请求式扫描只在运行时才能检测到病毒。
2)启发式扫描
启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的,但也最可能出现误报。
3)CRC 扫描
CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和),这些CRC值被杀毒软件保存到它自己的数据库中,在运行杀毒软件时,用备份的CRC值与当前计算的值比较,可以知道文件是否已经修改或被病毒感染。
使用这种算法的CRC扫描是强有力的反病毒工具:100%的病毒都能在进入计算机时被检查出来。但这种杀毒方式天生就有一个缺点——效率很低。CRC扫描在病毒已经渗透到计算机之后,并不能很快的检测到,只有过一段时间病毒开始传播时才会发现,而且不能检测新文件中的病毒(例如邮件、软件文件、备份恢复的文件或解压文件),因为在它的数据库中没有这些文件的CRC值。此外,有的病毒也会利用CRC扫描的这种“弱点”,只在扫描之前感染新创建的文件。
[首页] [上一页] [下一页] [末页]
|
