论文部分内容阅读
摘要:计算机病毒威胁着网络的安全。本文重点探讨了目前流行的反病毒技术,涉及到软件反毒、硬件反病毒及虚拟机反毒。该文对于解目前常用的反病毒技术及反病毒技术未来的发展趋势有一定的参考意义。
关键词:计算机病毒;反病毒;虚拟机;虚拟现实;趋势
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)35-9927-02
Study on Anti-Virus Technology
LI Meng
(Hefei Economic Management School, Hefei 230041, China)
Abstract: Computer viruses threaten network security. This paper focuses on popular anti-virus technology, anti-drug related to software, hardware and virtual machine anti-virus drug. In this paper, commonly used for the solution of the current anti-virus technology and anti-virus technology development trend of the future has some reference value.
Key words: computer virus; anti-virus; virtual machine; virtual reality, trends
自从1987年发现了全世界首例计算机病毒以来,病毒的数量和种类以几何的速度不断地递增,困扰着涉及计算机领域的各个行业,从此,反病毒技术孕育而生。病毒与反病毒技术不断发展、变化,推动着反病毒技术不断地向前发展。现就目前反病毒技术手段概括为以下几种方式:
1 软件扫描查毒法
从杀毒技术上来讲,当前,目前的杀毒软件都是一个扫描器,目前常见的扫描方法有:
1) 特征值扫描
特征值扫描是当前最主要的查杀病毒方式,它主要通过检查文件、扇区和系统内存,用“特征值”查找已知病毒,特征值就是病毒常用代码的特征。病毒除了用这些标记,也用别的方法。有的根据算法来判断文件是否被某种病毒感染,一些杀毒软件也用它来检测变形病毒。
特征值扫描从杀毒方式上可以分成两种——“通用”和“专用”。“通用”扫描被设计成不依赖操作系统,可以查各种病毒;而“专用”扫描则被设计用来专查某种病毒,如宏病毒,可以使某些应用软件的病毒防护更加可靠。
2) 启发式扫描
启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的。
3) CRC 扫描
CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和),这些CRC值被杀毒软件保存到它自己的数据库中,在运行杀毒软件时,用备份的CRC值与当前计算的值比较,可以知道文件是否已经修改或被病毒感染。
如今大部分反病毒软件分都包括两个部分:病毒扫描引擎和病毒特征库。病毒扫描引擎负责从病毒特征库中获得病毒的特征值.然后用该特征值对磁盘上的所有或部分文件进行扫描,一般来说,病毒扫描引肇是不会经常变动的,但是反病毒软件为了查杀最新出现的病毒,病毒特征库需要及时更新,因此反病毒软件为了查杀最新出现的病毒,病毒特征库需要及时更新,以便及时对流行病毒进行查杀。
2 硬件防毒技术
80年代末,出现了一些单机版静态杀毒软件。但由于新病毒层出不穷以及升级方面的原因,并没有达到人们预想的防毒效果。后来又就有人提出将重要的系统文件固化到PC机的BIOS中,以避免病毒对这些文件的感染。后来出现了防病毒卡。这些防病毒卡实时监控系统的运行,对类似病毒的行为及时提出警告。一时间,实时防病毒概念大为风行。
近两年来,随着硬件CPU处理速度的不断提高,硬件反病毒技术所造成的系统负荷已经降低到了可被我们忽略的程度,操作系统日益完善,加之,反病毒厂商版本更新越来越频繁,由原来数年一次,发展到现在的每年一次,病毒库的更新更是由一月一次发展到了一周三次,这些升级措施能使杀毒软件更加有效地防范病毒,因此重提硬件反病毒技术成为必然结果。目前在网络中十分流行的病毒防火墙,带防病毒功能的BIOS 芯片的主板重新受大家的青睐。
硬件反病毒技术的优势是对未知病毒有防范功能,由于硬件级别高于任何软件,所以特别有效和可靠。缺点是升级困难,只能查出病毒,而不具有杀毒功能。
3 虚拟机技术
多态和变形病毒的出现让传统的特征值查毒技术无能为力,因为特征值查毒技术是对于静态文件进行查杀的,由于多态和变形病毒只有在开始运行后才能够显露原型。而病毒在机器上的执行,可能已经开始了对机器的破坏。为了检测多态.变形等加密病毒,一种新的病毒检测方法——“虚拟机技术”诞生了。如果能够让病毒在控制下先运行一段时间,让其自己还原,那么问题就会简单了。
虚拟机在反病毒软件中应用范围广,并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机,不仅能够识别新的未知病毒,而且能够清除未知病毒。虽然虚拟机也会在实践中不断得到发展。但是,目前计算机的计算能力有限,反病毒软件的制造成本也有限,而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效,甚至要以此为基础来清除未知病毒,还需要技术的不断完善。
科技带来了进步,也带来了计算机病毒,反病毒是一个长期和艰苦的战斗。它既需要全人类的共同努力又需要反病毒的利器。未来反病毒技术将有以下发展趋势:
1) 虚拟现实技术
对于未来技术的展望可能只是一种近乎飘渺的幻想,但是就如同计算机病毒最初的描述出现在科幻小说里,虽然还有许许多多我们目前仍在实现却仍未实现的技术,甚至还有许多我们根本未考虑到的因素。只要技术足够成熟,网络世界中是完全有可能出现类似人工智能的反病毒技术。
我们还可以考虑用另一种方式:人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除。目前的虚拟现实技术重点放在了对人与人的自然界交流方式———“感官”的计算机描述的实现上,它如同人们所有的知觉都最终传感给大脑,大脑对这种传感作出一种体验上的描述,从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息,并通过神经传感给大脑,则完全可以描述并引导、控制人的一切思维。简单地说,人的思维与计算机语言存在了这样一个通用的接口。这种理论如果得以实现,则虚拟现实技术将进入新的发展领域。这样,反病毒专家可以运用多年的分析、研究积累的经验,就能相当精确地防御未知病毒的侵入。
2) 防、杀、恢复结合技术
以前,杀毒软件的理论基础是,首先要发现并确认一个病毒,然后,再进行防范,它的缺点是,对未知病毒的防范能力弱,反病毒技术总是存在滞后性。我们已经发现要免除病毒的灾难,仅有杀毒是不够的,因为在电脑世界中,除去泛滥的病毒,系统的漏洞、硬件或软件的冲突、人为的误操作、利用特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。所以,一个好的软件,仅仅能杀毒是不够的,必须把备份与灾难恢复相结合起来。于是,未来的反病毒软件必须要做到突破单一杀毒的局限性,针对用户经常面临急需数据抢修、系统恢复等难题,不仅可以杀灭入侵病毒、击溃来犯黑客、消灭有害数据,还有智能灾难恢复、全息数据救援、维护系统正常运行的全面保障信息安全的功能。
我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获、阻止装置,软件的亦或是硬件的,对所有带有危险级别的、可能影响系统运行和信息资料安全的操作加以禁止,就像过滤文件中的病毒特征码一样,对一个将要执行的操作进行安全性判断。我们不难预料,这种在线式的以危险行为监控为特征的反病毒技术和产品也一定会出现,实现更高意义上的更加可靠的信息安全。
参考文献:
[1] 孙刚.计算机病毒及防治策略[J].铁道机车车辆工人,2005(6).
[2] 刘巧兰.计算机病毒的危害与防范[J].水利规划与设计,2004(S2).
[3] 王亚燕,许冰.浅谈计算机病毒的防治[J].信息技术,1999(5).
[4] 斯日古楞.计算机病毒的防治[J].内蒙古统计,2001(5).
关键词:计算机病毒;反病毒;虚拟机;虚拟现实;趋势
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)35-9927-02
Study on Anti-Virus Technology
LI Meng
(Hefei Economic Management School, Hefei 230041, China)
Abstract: Computer viruses threaten network security. This paper focuses on popular anti-virus technology, anti-drug related to software, hardware and virtual machine anti-virus drug. In this paper, commonly used for the solution of the current anti-virus technology and anti-virus technology development trend of the future has some reference value.
Key words: computer virus; anti-virus; virtual machine; virtual reality, trends
自从1987年发现了全世界首例计算机病毒以来,病毒的数量和种类以几何的速度不断地递增,困扰着涉及计算机领域的各个行业,从此,反病毒技术孕育而生。病毒与反病毒技术不断发展、变化,推动着反病毒技术不断地向前发展。现就目前反病毒技术手段概括为以下几种方式:
1 软件扫描查毒法
从杀毒技术上来讲,当前,目前的杀毒软件都是一个扫描器,目前常见的扫描方法有:
1) 特征值扫描
特征值扫描是当前最主要的查杀病毒方式,它主要通过检查文件、扇区和系统内存,用“特征值”查找已知病毒,特征值就是病毒常用代码的特征。病毒除了用这些标记,也用别的方法。有的根据算法来判断文件是否被某种病毒感染,一些杀毒软件也用它来检测变形病毒。
特征值扫描从杀毒方式上可以分成两种——“通用”和“专用”。“通用”扫描被设计成不依赖操作系统,可以查各种病毒;而“专用”扫描则被设计用来专查某种病毒,如宏病毒,可以使某些应用软件的病毒防护更加可靠。
2) 启发式扫描
启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的。
3) CRC 扫描
CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和),这些CRC值被杀毒软件保存到它自己的数据库中,在运行杀毒软件时,用备份的CRC值与当前计算的值比较,可以知道文件是否已经修改或被病毒感染。
如今大部分反病毒软件分都包括两个部分:病毒扫描引擎和病毒特征库。病毒扫描引擎负责从病毒特征库中获得病毒的特征值.然后用该特征值对磁盘上的所有或部分文件进行扫描,一般来说,病毒扫描引肇是不会经常变动的,但是反病毒软件为了查杀最新出现的病毒,病毒特征库需要及时更新,因此反病毒软件为了查杀最新出现的病毒,病毒特征库需要及时更新,以便及时对流行病毒进行查杀。
2 硬件防毒技术
80年代末,出现了一些单机版静态杀毒软件。但由于新病毒层出不穷以及升级方面的原因,并没有达到人们预想的防毒效果。后来又就有人提出将重要的系统文件固化到PC机的BIOS中,以避免病毒对这些文件的感染。后来出现了防病毒卡。这些防病毒卡实时监控系统的运行,对类似病毒的行为及时提出警告。一时间,实时防病毒概念大为风行。
近两年来,随着硬件CPU处理速度的不断提高,硬件反病毒技术所造成的系统负荷已经降低到了可被我们忽略的程度,操作系统日益完善,加之,反病毒厂商版本更新越来越频繁,由原来数年一次,发展到现在的每年一次,病毒库的更新更是由一月一次发展到了一周三次,这些升级措施能使杀毒软件更加有效地防范病毒,因此重提硬件反病毒技术成为必然结果。目前在网络中十分流行的病毒防火墙,带防病毒功能的BIOS 芯片的主板重新受大家的青睐。
硬件反病毒技术的优势是对未知病毒有防范功能,由于硬件级别高于任何软件,所以特别有效和可靠。缺点是升级困难,只能查出病毒,而不具有杀毒功能。
3 虚拟机技术
多态和变形病毒的出现让传统的特征值查毒技术无能为力,因为特征值查毒技术是对于静态文件进行查杀的,由于多态和变形病毒只有在开始运行后才能够显露原型。而病毒在机器上的执行,可能已经开始了对机器的破坏。为了检测多态.变形等加密病毒,一种新的病毒检测方法——“虚拟机技术”诞生了。如果能够让病毒在控制下先运行一段时间,让其自己还原,那么问题就会简单了。
虚拟机在反病毒软件中应用范围广,并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机,不仅能够识别新的未知病毒,而且能够清除未知病毒。虽然虚拟机也会在实践中不断得到发展。但是,目前计算机的计算能力有限,反病毒软件的制造成本也有限,而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效,甚至要以此为基础来清除未知病毒,还需要技术的不断完善。
科技带来了进步,也带来了计算机病毒,反病毒是一个长期和艰苦的战斗。它既需要全人类的共同努力又需要反病毒的利器。未来反病毒技术将有以下发展趋势:
1) 虚拟现实技术
对于未来技术的展望可能只是一种近乎飘渺的幻想,但是就如同计算机病毒最初的描述出现在科幻小说里,虽然还有许许多多我们目前仍在实现却仍未实现的技术,甚至还有许多我们根本未考虑到的因素。只要技术足够成熟,网络世界中是完全有可能出现类似人工智能的反病毒技术。
我们还可以考虑用另一种方式:人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除。目前的虚拟现实技术重点放在了对人与人的自然界交流方式———“感官”的计算机描述的实现上,它如同人们所有的知觉都最终传感给大脑,大脑对这种传感作出一种体验上的描述,从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息,并通过神经传感给大脑,则完全可以描述并引导、控制人的一切思维。简单地说,人的思维与计算机语言存在了这样一个通用的接口。这种理论如果得以实现,则虚拟现实技术将进入新的发展领域。这样,反病毒专家可以运用多年的分析、研究积累的经验,就能相当精确地防御未知病毒的侵入。
2) 防、杀、恢复结合技术
以前,杀毒软件的理论基础是,首先要发现并确认一个病毒,然后,再进行防范,它的缺点是,对未知病毒的防范能力弱,反病毒技术总是存在滞后性。我们已经发现要免除病毒的灾难,仅有杀毒是不够的,因为在电脑世界中,除去泛滥的病毒,系统的漏洞、硬件或软件的冲突、人为的误操作、利用特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。所以,一个好的软件,仅仅能杀毒是不够的,必须把备份与灾难恢复相结合起来。于是,未来的反病毒软件必须要做到突破单一杀毒的局限性,针对用户经常面临急需数据抢修、系统恢复等难题,不仅可以杀灭入侵病毒、击溃来犯黑客、消灭有害数据,还有智能灾难恢复、全息数据救援、维护系统正常运行的全面保障信息安全的功能。
我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获、阻止装置,软件的亦或是硬件的,对所有带有危险级别的、可能影响系统运行和信息资料安全的操作加以禁止,就像过滤文件中的病毒特征码一样,对一个将要执行的操作进行安全性判断。我们不难预料,这种在线式的以危险行为监控为特征的反病毒技术和产品也一定会出现,实现更高意义上的更加可靠的信息安全。
参考文献:
[1] 孙刚.计算机病毒及防治策略[J].铁道机车车辆工人,2005(6).
[2] 刘巧兰.计算机病毒的危害与防范[J].水利规划与设计,2004(S2).
[3] 王亚燕,许冰.浅谈计算机病毒的防治[J].信息技术,1999(5).
[4] 斯日古楞.计算机病毒的防治[J].内蒙古统计,2001(5).