杀毒软件技术的隐患

Author: Date: 2001年 21期

?牐牼?10年的反病毒的研究，杀毒技术已经有了长足的进步，从DOS下查杀到Windows下的实时监控到内嵌到操作系统，使得病毒查杀越来越方便和可靠，但还是有很多技术难关没有攻破，查处未知病毒就是最大的难关之一。现在杀病毒技术主要还是依靠特征码判断等来进行，这要求预知被捕捉病毒的特征，从而造成对未知病毒破坏能力的限制，这也就造成了病毒依然猖狂的现象。为了克服这个难关，反病毒研究者不断寻求新的解决方法，虚拟执行就是最近被经常使用的一种技术。使用这种技术后，在碰到可疑的文件时，杀毒软件会用程序代码虚拟一个CPU和CPU的各个寄存器，用调试程序调入可疑文件，将每一个语句放在虚拟环境中执行，再通过内存和寄存器以及端口的变化来了解文件的执行计划。由于在虚拟执行中可以反映程序的任何动态，则病毒的传染动作一定会被反映出来，这样理论上可以100%查出未知病毒。但由于虚拟机速度太慢，所以无法虚拟执行程序的全部代码，现在采用这个技术的厂商都是选择了可疑文件代码的前几K字节虚拟执行，这样提高了速度却大大降低了查未知病毒的能力。现在，专家们正在不断努力，研究提高虚拟执行的速度问题，已经有了很大的进步。据悉上海创源计算机安全有限公司的研究人员已经成功地将虚拟执行提到较高速度，并且该公司已经将该项技术应用到它们最新的产品“安全之星”系列产品中，从而使100%查处未知病毒成为可能。
　　?牐牫宋粗《镜牟榇ξ侍猓硪桓鑫侍饩褪窃谙钟胁《镜淖既沸苑矫妗Ｋ蟹床《境?商都遇到过同一个尴尬的问题，当感染病毒的文件经过清除病毒后，文件的信息就从此丢失再也无法修复。这些被损害的文件当中，很大一部分文件的损害是由于杀病毒软件造成的。杀毒软件在清除掉嵌入文件的病毒代码后，需要恢复原有的文件的各种链接，但由于杀病毒软件自身的缺陷，经常发生链接错误或者写错语言破坏了文章的原有结构，从而导致整个文件被破坏。发生以上问题，最大的原因可能是微软等软件厂商本身系统的漏洞，但反病毒软件技术上的不足也是很严重的问题。除了反病毒软件导致的文件损害，另一种破坏文件的情况就是病毒本身覆盖了文件信息导致无法复原，目前，尚没有任何杀病毒软件能够具有对感染此类病毒文件的修复功能。因此，100%准确清除已知病毒而不破坏文件是对反病毒技术的一个很大挑战。
　　?牐牫艘陨狭礁龉丶际跬猓床《镜难芯炕褂泻芏嗄压孛挥锌朔绶床《救砑陨淼姆阑ぁ⒉僮飨低车穆┒创吹牟话踩鹊取Ｒ虼耍衔际跎弦丫芄宦惴床《镜囊笫遣豢蒲У摹Ｓ捎谙衷诩际醮τ谝桓鱿喽员冉贤Ｖ偷慕锥危飧鍪焙蛱Ц叻竦募壑狄残硎浅鲇谏桃档哪康模俏烁际醴⒄拐∫欢问奔洹５捎诠谔Ц叻竦募壑担炊档土巳嗣嵌约际醯墓刈⒊潭龋蟮剂巳嗣嵌苑床《臼乱档娜鲜叮丫私洗蟾好嬗跋臁Ｏ衷冢诟鞔蟪?商应该调整好心态，正视技术和服务的作用，两条腿走路，从真正意义上实现防范病毒的目标。