人們把殺毒軟件作為最主要的反病毒工具

近日，反病毒領(lǐng)域展開(kāi)的反病毒產(chǎn)業(yè)發(fā)展趨勢大討論引起了各方關(guān)注。一方面，殺毒軟件廠(chǎng)商承認當前反病毒技術(shù)落后于病毒是不爭的事實(shí)，另一方面，又用病后就醫的邏輯解釋傳統的滯后殺毒方法。那么，主動(dòng)防御新病毒的道路究竟是否可行？反病毒領(lǐng)域能否實(shí)現重大突破？
長(cháng)期以來(lái)，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞，殺毒軟件賴(lài)以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因如此，殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷，似乎成為既合情又合理的邏輯，導致人們普遍認為反病毒產(chǎn)品不可能主動(dòng)防御新病毒，甚至有人認為，想研制一種主動(dòng)防御的反病毒產(chǎn)品，就如同要為一種未知的疾病制作特效藥一樣異想天開(kāi)。
焦點(diǎn)一：人能否發(fā)現新病毒
殺毒軟件本身基本上不能發(fā)現新病毒，是眾所周知的客觀(guān)事實(shí)。但是，如果人不能發(fā)現新病毒，同為自然人的反病毒公司研發(fā)人員也就不可能發(fā)現新病毒，由此帶來(lái)的問(wèn)題是，殺毒軟件每天升級的是什么，反病毒公司每次宣稱(chēng)發(fā)現的新病毒又是誰(shuí)來(lái)發(fā)現的？回答是肯定的，人可以發(fā)現新病毒。新病毒一定是人通過(guò)相應的方法判斷出來(lái)的。
焦點(diǎn)二：人如何判斷新病毒
從上個(gè)世紀八十年代病毒出現后，反病毒技術(shù)就有兩種思路，一種是采用靜態(tài)掃描方式，即特征值掃描技術(shù)，另一種采用動(dòng)態(tài)分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構成病毒特征庫，殺毒軟件將用戶(hù)計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一比對，判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱(chēng)為已知病毒，否則就稱(chēng)為未知病毒。只有采用特征值掃描技術(shù)時(shí)，才區分已知和未知病毒。
業(yè)界常常有人用人類(lèi)病毒的醫治來(lái)解釋計算機病毒防范。然而，與生物界的病毒復雜性不同，計算機病毒是人編寫(xiě)的，遠比生物界的病毒簡(jiǎn)單。計算機病毒概念是人依據程序行為來(lái)定義的，因此識別病毒的另一種方法是采用動(dòng)態(tài)分析，直接通過(guò)程序的行為判斷它是否是病毒。
盡管殺毒軟件主要采用靜態(tài)掃描方式，但是反病毒公司發(fā)現新病毒并不是采用靜態(tài)掃描方式，而恰恰是采用動(dòng)態(tài)分析方法。即便是反病毒公司收集到可疑程序時(shí)，也不能確定是不是新病毒，為了做出準確判斷，必須先運行可疑程序，然后再根據程序的行為判斷是否是病毒。
焦點(diǎn)三：識別新病毒有多難
反病毒領(lǐng)域從未向業(yè)界公開(kāi)過(guò)一個(gè)“秘密”——雖然病毒越來(lái)越多，但真正有創(chuàng )意的、技術(shù)上有突破的病毒很少，不到總數的1%.而且這類(lèi)病毒通常是概念病毒，一般破壞性不大。絕大多數病毒都是模仿其他病毒編寫(xiě)的，這些病毒的傳播、感染、加載、破壞等行為特點(diǎn)都可以從已經(jīng)存在的病毒找到，一個(gè)計算機本科畢業(yè)生經(jīng)過(guò)短期培訓，通常都可勝任人工識別這類(lèi)新病毒的工作。因此人工識別絕大多數新病毒，并不是一件很難的事。
焦點(diǎn)四：病毒主動(dòng)防御是否可行
在反思國際國內反病毒領(lǐng)域的思維模式的基礎上，筆者認為，將現有病毒的行為進(jìn)行分析、歸納、總結，通過(guò)對反病毒專(zhuān)家分析判斷新病毒的經(jīng)驗科學(xué)提煉，實(shí)現軟件自動(dòng)識別病毒是可行的。
例如，我們定義這樣一條病毒判斷規則：如果MSN接收的某個(gè)文件運行后，模擬鍵盤(pán)或鼠標動(dòng)作，自動(dòng)點(diǎn)擊MSN的“發(fā)送文件”命令，把它或它的生成物自動(dòng)發(fā)送給其他MSN聯(lián)系人，則這個(gè)文件就是MSN蠕蟲(chóng)病毒。
此規則可用于發(fā)現“性感燒雞”MSN蠕蟲(chóng)病毒，以及所有采用這種傳播方式的MSN蠕蟲(chóng)病毒，而不論該病毒是什么時(shí)候編的，也不論是已知的還是未知的。
十多年來(lái)，反病毒技術(shù)的研究主要禁錮于特征值掃描法，很少對病毒主動(dòng)防御技術(shù)進(jìn)行深入的探討和研究。從反病毒領(lǐng)域的實(shí)踐和計算機技術(shù)的發(fā)展趨勢可以看出，開(kāi)發(fā)病毒主動(dòng)防御系統不僅是可能的，而且是可行的。因此，跳出傳統技術(shù)路線(xiàn)，盡快研制以行為自動(dòng)監控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的主動(dòng)防御型產(chǎn)品，從根本上克服現有殺毒軟件的重大缺陷，建立主動(dòng)防御為主、結合現有反病毒技術(shù)的綜合防范體系，實(shí)現反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級，是全球反病毒領(lǐng)域共同面臨的巨大挑戰，具有極現實(shí)的信息安全急迫性。 文章來(lái)源 whseojs.com  轉載請注明

飄過(guò)，朕知道了！

樓主  了解的不少嘛  我也了解了解

我們一般都只能用殺毒軟件了

知道了，謝謝