首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>病毒分析>文章内容
浅谈反病毒技术的前世今生
来源:vfocus.net 作者:夏治 发布时间:2004-07-17  

浅谈反病毒技术的前世今生


文/夏治

  前言

  “冲击波”病毒、“振荡波”病毒,是一波未平,一波又起啊!如今人们真的是有些谈“毒”色变了!就像人类不仅要有上帝情结,还要有撒旦的情怀一样,当人类创造出神奇无比的计算机时,另一部分人却发明了一种可以与之“媲美”的东西“计算机病毒”。成为计算机用户挥之不去的魅影,更有人形象的将其比喻为计算机系统的“艾滋病”。

  历历在目

  其实,计算机病毒出现的历史并不长。

  1987年10月,美国得拉华大学受到了巴基斯坦病毒(Pakistan或称Brain病毒)的攻击。它是已知的首例计算机病毒攻击个案。

  随后计算机病毒的攻击事件不断出现,计算机病毒刚开始流行阶段,种类不多,传播主要是靠非法的程序和数据拷贝。随着网络的快速普及,互联网便成了计算机病毒的最好的载体,病毒的数量急剧膨胀,危害性更是不可“同日而语”。

  随着计算机病毒在世界上的泛滥,我国也难以幸免病毒的侵袭。1989年春,在我国发现了首例计算机病毒。随之病毒开始在我们泛滥成灾。

  CIH病毒

  一位名叫陈盈豪的台湾大学生所编写的CIH病毒,每年4月26日发作,相信计算机用户一定还心有余悸。虽然现在它的危害性已经没有那么大了,但仍为“病毒发展史”写下了浓重的一笔。因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,实时性和隐蔽性都特别强,一般的杀毒软件很难识别。

  瘟神“梅利莎”病毒

  1999年3月26日,对全世界的计算机用户来说又是一个灾难的开始,一种被称为“梅利莎”的电脑病毒像瘟疫般开始在全球蔓延。

  “梅利莎”病毒只是一个宏病毒,隐藏在一个微软Word97格式的文件里,以附件的方式通过电子邮件传播。其实她的传输手段并不新鲜,但很狡猾。“也许你会拒绝接收来自不认识的人的邮件,但是,这种病毒来自你信任的亲朋好友的邮件中,使人防不胜防。”这就是“梅利莎”的诀窍。就连大名鼎鼎的Microsoft公司也未能幸免,其危害性可见一斑。

  一场没有销烟的战争

  正邪不两立,事物总是相生相克的,随着病毒技术的不断发展,反病毒技术也在不断的完善自我,二者之间的斗争自从病毒出现以后,就一直没有停止过。

  在病毒的自动检测技术方面,杀毒软件均采用特征代码检测法,也就是说,当扫描某程序时,如果发现某种病毒的特征代码,便可发现与该特征码对应的计算机病毒。

  早期的特征代码法采用的是“单特征检查法”,后来发展成为“多特征检查法”,以便能够查出原种及其变种病毒。

  随着多态性病毒的问世,给在静态方式下采用特征代码检测法扫描病毒的方式带来了严峻的挑战。此种病毒每次感染时,病毒代码与上次感染时的代码没有连续三个字节是相同的,根本没有稳定的特征代码,“特征代码检测法”也就无能为力了。

  另一种计算机病毒检测技术是基于特征标记的方式,这种方法就是对磁盘上的可执行部分进行一种或几种特殊的运算得出一个特征标记,存于磁盘上,在适当的时机对这些可执行部分进行校验,若与原先存于磁盘的特征标记不同,一般可认为是染上了病毒,这种方法非常有效,并已发展得很成熟。缺点是无法检测出未知的文件是否染上病毒,而且在实现技术方面仍然有不完善的地方。有时在带毒环境下,这种方法将会失效。

  在计算机病毒的消除方面,一般而言,都是发现一个新病毒,然后再分析它的运行机制,感染原理,最后编制消毒软件。基本上是基于具体病毒具体分析的原理,这种过程即使对反病毒专家来说都是很乏味的,更不用说是普通的用户了。多态性计算机病毒的出现,更增加了这种分析的难度,这也是当前反病毒的瓶颈所在。

  另一种消除病毒的方法就是给系统中可执行文件加一层免疫外壳,凡是做过这种处理的程序都具有消除自身病毒的能力。然而从目前的相应产品来看,实现技术上仍有不尽人意的地方,对某些采取了隐蔽性技术的病毒就失去了作用。

  随着计算机病毒的日益增多,不可能对每一种病毒都进行分析消除,更由于被动处理是在计算机系统已染上病毒后才进行,很可能已对系统造成不可恢复的破坏。因此,防治计算机病毒应尽可能“御病毒于计算机之外”。

反病毒技术划分如下:

  .第一代反病毒技术采取单纯的病毒特征诊断,但是对加密、变形的新一代病毒无能为力;

  .第二代反病毒技术采用静态广谱特征扫描技术,可以检测变形病毒,但是误报率高,杀毒风险大;

  .第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合;

  .第四代反病毒技术基于病毒家族体系的命名规则,基于多位CRC校验和扫描机理、启发式智能代码分析模块、 动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进解毒技术,能够较好地完成查解毒的任务。

  中国的杀病毒软件产业已经走过了十年的风雨历程,金山公司的金山毒霸、江民公司的KV300、瑞星公司的杀毒软件成为中国杀毒软件产业的领军人物,各种杀病毒软件在消费者面前扮演着无所不能的角色。然而,当“I Love You”病毒带着情人般的问候瞬间爆发的时候,她还是造成了无比巨大的损失,面对又一次大面积计算机瘫痪的事实,我们应该好好地反思一下:当灾难发生时,杀病毒软件究竟怎样才能将损失控制到最小?关键是产品?还是服务?

  国际杀病毒软件的服务大致经历了三个阶段,第一个阶段是以软件为主的服务初级阶段,大致是1990年到1995年,在这个阶段主要强调软件本身的功能,而不注重软件的服务,在这个阶段,世界上的病毒停留在几千种的水平上,杀病毒软件所关注的是对既有病毒的查杀。此时,国内正是防病毒卡红火的时候,Kill也正处于半送半卖的阶段。

  第二阶段始于1995年,各种杀病毒软件均逐步提出了相应的服务理念,如赛门铁克公司(symantec)开通了客户服务的自动电话服务。从此用户越来越看到了服务的重要性,服务也第一次被放到了与软件同等重要的水平上。

  第三个发展阶段是1999年,在1999年世界病毒发展可以说日新月异,全年世界上新增加了超过20,000种病毒,风靡一时的“美丽杀”、“探索蠕虫”、“七月杀手”等等,国内的CIH大爆发也令人记忆犹新。1999年国际上每一天均有15种到30种病毒出现,最多的日新增病毒数量可以高达千种类,国际杀病毒软件的竞争也越来越激烈,相应软件的即时更新也越来越重要,由于国际著名杀病毒软件公司查杀病毒能力的产业化,查杀任何一种病毒已不足以反映一个公司的实力,此时每日更新的杀病毒软件服务应运而生,杀病毒软件的开发、升级竞争被提到了一个全新的按日计量的新的层次上。欧洲杀毒软件公司熊猫卫士率先提出了每日更新的服务,又进一步开通了24小时紧急杀毒服务,150位工程师全力协作。杀病毒彻底脱离了个人英雄的时代,而进入一个产业工程师队伍协同作战的时代。

  杀病毒软件的长期竞争将是产品服务的竞争,将是产品背后隐藏的产业技术工程师队伍服务能力的竞争,从世界杀病毒软件服务的历史我们不难看出,只有服务发展了,才能带动整个杀病毒产业的进一步发展!

  敢问路在何方?

  “魔高一尺、道高一丈”,只要计算机还没有真正的做到“百毒不侵”,我们就不能停止前进的脚步。

  酝酿体系结构的突破

  随着病毒数量的急剧膨胀,杀毒软件的病毒特征库也不断扩大,导致反病毒产品日见臃肿。为了提高扫描速度,病毒特征库在杀毒过程中会展开到内存中,会占用大量系统资源。其中大量在主流系统下失去活性的病毒,使得完成一次全局扫描的时间变得越来越长。因此很多反病毒企业也在试图酝酿一些思路:是否可以根据能否在系统下具有感染能力为依据,对病毒分级,形成新体系下的层次化的扫描策略;是否进一步以活性为判定依据,彻底放弃对一些不能被激活的“僵尸病毒”的查杀等等。这些策略目前只是在酝酿,需要反病毒企业间达成一个事实的标准。

  对未知病毒的防范能力

  用户需要的不仅仅是在“灾难”发生后的补就措施,更需要的是“防范于未然”,对于未知病毒的检测研究一直是反病毒厂商未曾放弃的,在主流的反病毒产品中都包含了相应的检测未知病毒的机制。如NAV的BLOODHOUND等等。

  检测未知病毒将面对很多问题,首先,这个机制必须是基本可靠,而不能是高误报的。其次,不允许消耗大量的系统资源。随着研究的深入和系统能力的加强,最终突破WIN32文件型病毒(PE病毒)和特洛伊木马的技术关键,已经为期不远。
企业级别,网关级别的产品越来越重要

  随着企业信息化程度越来越高,安全性要求也越来越重要。随着企业网络的迅速发展,用户逐渐意识到建立整体病毒解决方案的重要性。

  目前的企业级别的产品基本趋势是:

  .对文件服务器和应用网关(如mail服务器)提供全面的保护。

  .支持更多的系统平台,包括Linux和多数商用Unix。

  .对群件服务器提供保护。

  .提供专门的隔离服务器。

  .提供独立设备的反病毒网关。

  迅速崛起的移动设备和无线市场安全

  近几年手机等移动通讯设备发展迅速,无线通讯市场飞速发展,虽然目前尚无大规模的病毒疫情发生,可谁又能保证它不会发生呢!

  由于手机嵌入式系统平台的复杂性和多样性,无论对病毒的编写者还是对于反病毒工作者,移动平台都是新的挑战。目前出现的一些病毒都还是“小儿科”,基本都是通过一些特殊编码造成指定型号或者特定系统死机的事件。

  随着无线通讯市场的不断发展,这里一定是商机无限。

  结束语

  “革命还未成功,同志还需努力”,病毒还在肆虐,计算机终端用户还生存在水深火热之中,但我们已经看到了曙光,让我们一同期待黎明的到来吧!


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·Linux后门系列--由浅入深sk13完
·Word溢出Shellcode分析
·Ie0dayCVE0806.c 变种网马样本分
·Web应用漏洞的大规模攻击案例分
·Ie0dayCVE0806网马样本分析
·Witty病毒通过ISS的防火墙产品和
·酷狗音乐首页隐蔽挂马详细分析+7
·Net-Worm.Win32.Dasher(黛蛇)蠕
·熊猫烧香病毒分析与解决方案
·卡巴斯基(AVP)内存驻留型病毒检
·104种木马手工清除方法
·avserve病毒初步分析
  相关文章
·avserve病毒初步分析
·Net-Worm.Win32.Dasher(黛蛇)蠕
·Witty病毒通过ISS的防火墙产品和
·卡巴斯基(AVP)内存驻留型病毒检
·104种木马手工清除方法
·熊猫烧香病毒分析与解决方案
·酷狗音乐首页隐蔽挂马详细分析+7
·Linux后门系列--由浅入深sk13完
·Word溢出Shellcode分析
·Ie0dayCVE0806网马样本分析
·Ie0dayCVE0806.c 变种网马样本分
·Web应用漏洞的大规模攻击案例分
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved