揭露神秘辑毒令
软件世界
就像好莱坞影星布鲁斯·威利士在电影《十二只猴子》所说的一样:“任意一次病毒爆发就足以毁灭一个世界。” 1998年的4月26日,一个令电脑用户头痛又恐慌的日子,因为在那一天CIH病毒(以下简称CIH)诞生了。现在我们以要面临一个新的4月26日。
CIH带来的警示
当初CIH肆行的一大主要原因是由当时杀毒软件的局限性所造成的,用户对杀毒软件与病毒之间的斗法已经日渐麻木,面对着杀毒软件厂商之间互相贬低,自我吹捧,用户对杀毒软件的信任度也随之下降,导致在CIH出现之前,许多用户对病毒都存在着轻视或无奈的态度,对CIH这一病毒破坏史上一个“伟大”的突破的到来准备不足。
现在我们的杀毒软件经过一次次升级和变革是否变得更加强大?杀毒卫士们现在是怎样工作的?最新的计算机病毒是如何得到的?这些病毒是怎样被封杀的?每天杀毒软件公司的技术人员都在忙什么?带着这些好奇和问题,记者采访了国内几大杀病毒软件公司,一探他们对待新病毒的“辑毒令”。
瑞星“辑毒令”
瑞星公司工作人员向记者介绍,目前瑞星公司主要通过全球计算机病毒监测网、公安部国家计算机应急处理中心和用户的电话、邮件反馈来得到新病毒样本。特别是对于用户的反馈,还必须动用病毒工程师来根据用户的描述判断是否是病毒。
当工程师收集到新病毒的样本后,会马上转入另一网络:全球计算机病毒应急处理网,技术研发部的工程师马上开始解剖病毒。而他们是怎样来解剖这些病毒样本的呢?记者了解到,首先判断新病毒的类型,然后了解病毒的行为特点。瑞星研发部自行编制了很多解剖病毒样本的工具,可以模拟出病毒的运行环境,比如,对于PE病毒,可以放在VirusView虚拟环境中运行,观察它的发作特点和破坏机理。通过观察他的行为动作,来判断病毒的类型和性质,这就是所谓的感染试验。
了解病毒“能干什么”,还要继续分析出病毒是“怎么干”的。瑞星工程师们利用专门的病毒分析软件分析病毒的结构,也就是通读病毒的源程序,以了解病毒的内部构造。再提出相应的查杀病毒的解决方案,并编制出相应的反病毒程序,通过各种实验来验证病毒的查杀效果。
接下来工程师会将病毒特征代码和反病毒程序制作成升级程序,提供给测试部门进行测试;另一方面则是继续对病毒进一步分析,将病毒行为分析的典型特征归类,形成一套完整的数学模型,验证该病毒在瑞星病毒行为判断模型中是否能够准确检测并查杀。最后提交到网站以供用户下载。
瑞星的“辑毒令”依靠的是较强的技术流程和一个相对健全的病毒监测网路。虽然对新病毒的处理能力非常强,但对新病毒的解决速度显得相对较慢。
江民“辑毒令”
通过江民公司相关人员的介绍,记者认识了传言国内第一个缉拿欢乐时光病毒的何公道先生,他现在是江民科技研发部副总经理,圈内人都称他“老道”。
当时正是欢乐时光病毒在国外肆虐的时候,不过国内还没有任何动静。“老道”通过一位国外朋友发来的信分析,并感觉到这可能是个将要造成大范围流传的病毒──也就是当时的欢乐时光病毒。他第一时间针对这个病毒制定了一套解毒程序,马上就放进了病毒库和网上,使用户可通过互联网直接更新。
记者了解到,在江民公司有着一些像“老道”这样的病毒分析专家,这些幕后英雄为找出病毒真凶并制定出解决办法孜孜不倦工作着。那么他们又是如何来防治与捕获最新出现病毒的呢?
江民公司和国内外的一些知名反病毒机构都有着良好的合作关系,通过互相交换最新病毒样本丰富各自的病毒库。除此之外,国内外的一些有名黑客网站和病毒论坛里都会有一些病毒制造者或反病毒爱好者们提供最新的病毒信息与被染毒文件样本。
收到病毒样本后,按照通行惯例,反毒技术人员会花上一两个小时对病毒进行分析,检查出其中病毒代码特性,把它找出来,加入病毒库。
江民公司的“辑毒令”则是依靠个人技术分析能力和行业内的合作关系,因此对一些新病毒的反应能力显得比较快捷,但缺乏一个强大的病毒监测网络,如果没有出色的技术人才和行业关系时,是否会影响这块“辑毒令”呢?
金山“辑毒令”
金山公司把病毒监测中心分成了4个主要的小组,分别是病毒监测小组(4人)、技术支持小组(3人)、病毒分析小组(8人)和引擎组(3人)。金山的员工告诉记者,他们主要是依靠网络来收集国外的病毒信息,依靠国内用户的反馈来捕捉一些新流传出来的病毒。
就在上个月病毒检测部门通过一个用户的电话描述,就查杀到一个来自日本的病毒。当时通过用户的描述,金山的病毒监测人员当时便从网上找到该病毒是来自日本的叫作W32/Fbound.c@MM的蠕虫病毒。然后再经过技术组人员的确认,把病毒样本交到病毒分析人员手中。经过进一步对病毒的识别,最后由引擎程序员编写查杀该病毒的代码,并将其加入金山毒霸病毒库。
紧接着分析小组会把更新的病毒库提交给品质保障人员测试,再通知相关网站的Webmaster(站长)将最新的病毒库公布于网上,以供下载。记者本以为辑毒工作这下总该结束了,但研发人员还告诉记者,反病毒引擎的程序员们还要编写专门查杀该病毒的小工具,测试人员还要继续新一轮的测试。
金山“辑毒令”是一个相对较规范的病毒监测中心,但过分地依靠从网络上查找病毒样本的资料,自己的技术分析力量则需加强。
我们需要什么样的“辑毒令”
和原来相比,现在的杀病毒厂商还是停留在先搜集病毒样本,使其成为已知病毒,然后才能向用户提供升级库来防范病毒侵蚀。和国外的杀毒软件厂商相比,缺乏一个强大的病毒监测中心,虽然较原来获取最新病毒样本的途径和方式变多了,但始终没有对用户提供一个最迅速、最完善的保护方案。
对于我们普通用户来说,我们其实并不关心采用什么样的先进技术,评判反病毒软件的优劣只有一条:对病毒的查杀效果。其实目前能对用户产生问题的病毒也就那么几种,几乎每种杀毒软件也都能查杀,现在对病毒查杀的评判都在对于新病毒的防范效果上。从这次接触的“辑毒令”中可以看出,我们用户必须在指定网站上单独下载最新病毒库来达到更好的杀毒效果,但我们不可能每天都盯着这些网站,国内的杀毒软件在这一点上都没有做得很好。
所以,在杀毒软件里提供一个与AVP和NAV类似的Liveupdate功能,做到自动、及时更新病毒库迫在眉睫。我们不希望CIH病毒事件再次发生,我们希望自己的“辑毒令”更加锋利。