1998年11月2日 ,美國發生了「蠕蟲計算機病毒」事件。你知道計算機也有像人類身體那樣的「防疫系統」嗎?一起來了解一下,它是怎麼搭建起來的!
計算機病毒可以在網絡和計算機間肆意傳播,如果說它們是攻擊並破壞網絡和計算機的「矛」,那麼由防火牆和殺毒軟體組成的防禦體系就是「盾」。
「防火牆」是一個很形象的名字,它可以是硬體設備或軟體程序,主要是起隔離作用。防火牆一般沒有查毒、殺毒作用,但可以監控上網軟體和網絡流量並過濾異常數據,還可以設定哪些程序能夠訪問網絡,開啟或者關閉一些網絡服務。防火牆的存在阻止了病毒與計算機系統的直接接觸,是區域網或計算機的「城牆」。此外,如果計算機感染病毒,防火牆也能做出網絡異常報警,為找到病毒提供線索,還有一些新型防火牆也整合了一定的殺毒技術。
不過主攻殺毒任務的是殺毒軟體。它運行在計算機應用程式底層,監視整個計算機的運行,能夠發現並消滅包括網絡病毒在內的各種病毒。「殺毒引擎」是殺毒軟體的核心,是軟體中負責識別病毒或「疑似病毒」的程序,它具備清除病毒的能力,決定了整個軟體運行的效率。
殺毒引擎要與通過另一個模塊「病毒庫」互動來識別病毒。早期的殺毒引擎內收錄了病毒的特徵碼(一段病毒程序),殺毒引擎通過比對文件中的特徵碼來判斷是否感染病毒。但隨著病毒種類的增多,殺毒引擎過於「臃腫」,造成程序效率降低。現在常以特殊的格式將病毒代碼特徵和行為特徵儲存在一個獨立病毒庫中,供殺毒引擎調用。病毒庫要經常更新,以收錄最新出現的病毒,換言之,病毒庫中沒有的,殺毒軟體是不能識別並殺滅的,這屬於「被動防禦」。2006年10月至2007年2月,一種名叫「熊貓燒香」的病毒使成千上萬台計算機被感染和破壞。為了躲避殺毒軟體查殺,病毒編寫者多次升級「熊貓燒香」病毒程序,先後共編寫並傳播了數百種「熊貓燒香」病毒。病毒編寫者甚至還在病毒中留言,公開挑戰反病毒界,讓傳統反病毒策略一時「捉襟見肘」。
那時,基於主動防禦技術的新一代引擎已經登場,它追求的是「智能+主動+攔截能力」。主動防禦技術通過分析某一段程序的行為是否帶有病毒特徵,主動攔截有嫌疑的行為。軟體智能化程度越高,分析和攔截病毒行為的準確率就越高,它可以有效阻止未知病毒的攻擊行為。但主動防禦技術有時只能阻止病毒行為,使它長期處於一種蟄伏狀態,不能將病毒徹底清除,因此仍需結合傳統殺毒技術。
殺毒軟體要想殺毒,就得比病毒更厲害,為檢測計算機不斷變化的數據,引擎將自己注入系統進程中,這與木馬病毒的做法如出一轍。為了追殺潛入系統深處的驅動級病毒,只能將一部分程序通過偽裝成驅動程序的形式運行,以便能夠深入系統內核。而殺毒引擎的「文件監控」就如同文件「寄生病毒」一樣,只不過前者是駐留在內存中掃描每一個打開的文件是不是帶毒,而後者是要伺機「感染」每一個打開的文件。如果殺毒軟體沒有病毒「狠」,不但不能殺滅病毒,反而自己落得一個被關閉甚至被破壞的下場。如2010年出現的「新機器狗木馬」,能深入「研究」殺毒軟體的主動防禦原理,利用類似正常軟體的驅動技術,一度能將40多種殺毒軟體斬落馬下。
因此,即使計算機上安裝了防火牆和殺毒軟體,也只是減少了感染病毒的機率,使用計算機時仍應注意安全,同時關注計算機的異常情況,如硬碟燈持續閃亮、計算機速度因不明原因變慢等。
總之,計算機病毒技術和反病毒技術正在交替升級,共同進化,也許,它們之間的較量將成為計算機世界永久的鬥爭之一。
計算機病毒可以在網絡和計算機間肆意傳播,如果說它們是攻擊並破壞網絡和計算機的「矛」,那麼由防火牆和殺毒軟體組成的防禦體系就是「盾」。
「防火牆」是一個很形象的名字,它可以是硬體設備或軟體程序,主要是起隔離作用。防火牆一般沒有查毒、殺毒作用,但可以監控上網軟體和網絡流量並過濾異常數據,還可以設定哪些程序能夠訪問網絡,開啟或者關閉一些網絡服務。防火牆的存在阻止了病毒與計算機系統的直接接觸,是區域網或計算機的「城牆」。此外,如果計算機感染病毒,防火牆也能做出網絡異常報警,為找到病毒提供線索,還有一些新型防火牆也整合了一定的殺毒技術。
不過主攻殺毒任務的是殺毒軟體。它運行在計算機應用程式底層,監視整個計算機的運行,能夠發現並消滅包括網絡病毒在內的各種病毒。「殺毒引擎」是殺毒軟體的核心,是軟體中負責識別病毒或「疑似病毒」的程序,它具備清除病毒的能力,決定了整個軟體運行的效率。
殺毒引擎要與通過另一個模塊「病毒庫」互動來識別病毒。早期的殺毒引擎內收錄了病毒的特徵碼(一段病毒程序),殺毒引擎通過比對文件中的特徵碼來判斷是否感染病毒。但隨著病毒種類的增多,殺毒引擎過於「臃腫」,造成程序效率降低。現在常以特殊的格式將病毒代碼特徵和行為特徵儲存在一個獨立病毒庫中,供殺毒引擎調用。病毒庫要經常更新,以收錄最新出現的病毒,換言之,病毒庫中沒有的,殺毒軟體是不能識別並殺滅的,這屬於「被動防禦」。2006年10月至2007年2月,一種名叫「熊貓燒香」的病毒使成千上萬台計算機被感染和破壞。為了躲避殺毒軟體查殺,病毒編寫者多次升級「熊貓燒香」病毒程序,先後共編寫並傳播了數百種「熊貓燒香」病毒。病毒編寫者甚至還在病毒中留言,公開挑戰反病毒界,讓傳統反病毒策略一時「捉襟見肘」。
那時,基於主動防禦技術的新一代引擎已經登場,它追求的是「智能+主動+攔截能力」。主動防禦技術通過分析某一段程序的行為是否帶有病毒特徵,主動攔截有嫌疑的行為。軟體智能化程度越高,分析和攔截病毒行為的準確率就越高,它可以有效阻止未知病毒的攻擊行為。但主動防禦技術有時只能阻止病毒行為,使它長期處於一種蟄伏狀態,不能將病毒徹底清除,因此仍需結合傳統殺毒技術。
殺毒軟體要想殺毒,就得比病毒更厲害,為檢測計算機不斷變化的數據,引擎將自己注入系統進程中,這與木馬病毒的做法如出一轍。為了追殺潛入系統深處的驅動級病毒,只能將一部分程序通過偽裝成驅動程序的形式運行,以便能夠深入系統內核。而殺毒引擎的「文件監控」就如同文件「寄生病毒」一樣,只不過前者是駐留在內存中掃描每一個打開的文件是不是帶毒,而後者是要伺機「感染」每一個打開的文件。如果殺毒軟體沒有病毒「狠」,不但不能殺滅病毒,反而自己落得一個被關閉甚至被破壞的下場。如2010年出現的「新機器狗木馬」,能深入「研究」殺毒軟體的主動防禦原理,利用類似正常軟體的驅動技術,一度能將40多種殺毒軟體斬落馬下。
因此,即使計算機上安裝了防火牆和殺毒軟體,也只是減少了感染病毒的機率,使用計算機時仍應注意安全,同時關注計算機的異常情況,如硬碟燈持續閃亮、計算機速度因不明原因變慢等。
總之,計算機病毒技術和反病毒技術正在交替升級,共同進化,也許,它們之間的較量將成為計算機世界永久的鬥爭之一。
收藏