反病毒技术现状及发展趋势

反病毒技术现状及发展趋势

【背景】

由于Internet的普及，互联网已经成为病毒制作技术扩散、病毒传播的重要途径，计算机病毒已成为当代信息社会的致命杀手，正所谓道高一尺，魔高一丈，病毒像幽灵一样，无处不在。病毒开发者之间已经出现了团队合作的趋势，尤其是病毒与黑客技术相结合，使其对抗反病毒技术的能力越来越强。面对这种严峻形势，人们急需要了解病毒的特征和反病毒技术，做到防杀结合，才能立于不败之地。

一、计算机病毒的产生

1983 年11 月，世界上第一个计算机病毒在美国实验室诞生，1986 年，巴基斯坦两兄弟为追踪非法拷贝自己软件的人，又制造了世界上第一个传染个人电脑兼容机的“巴基斯坦”病毒。1988 年，计算机病毒开始传入我国，在短短几个月之内迅速感染了全国20 多个省、市的计算机。

二、计算机病毒的特点

1．电子邮件已成为病毒快速传播的主要媒介

前期，病毒只能通过软盘或光盘在计算机之间传播，而在网络中则可以通过网络通讯机制迅速扩散。1989 年，FORM 引导区病毒用了整整一年时间才流行起来，而通过电子邮件，Sircam 病毒一周之内就使全球数以万计的计算机用户受到波及，Nimda 更是用了不到30分种。电子邮件在为信息社会提供方便的同时，也使计算机病毒找到了一条新的传播途径和载体。

2．病毒与黑客技术相互融合

病毒结合黑客技术利用系统漏洞进行双重攻击的方式，已经成为病毒编码的新趋势。这类病毒更具伪装性、主动性和破坏性，所造成的威胁不容忽视。2001 年引起轩然大波的“尼姆达”、“红色代码”和“求职信”病毒就是典型的黑客型病毒。

3．病毒采取了诸多自我保护机制

计算机病毒为了能够躲避现有病毒检测技术，争取较长的存活期，进而实现广泛传播的目的，想尽各种办法隐蔽和保护自己，蠕虫病毒更是采取主动抑制杀毒软件的手段，加强对反病毒技术的对抗。

4．大量采用压缩技术

目前的大部份病毒都是在原生病毒的基础上，经压缩变形而成。压缩后的病毒内容虽然同原生病毒一模一样，但病毒特征代码已经完全改变，相当于产生了一个新的变种病毒。

5．影响面广，后果严重

病毒，尤其是蠕虫病毒轻则降低网络速度，影响工作，重则使之崩溃，破坏数据，使多年工作毁于一旦。据Computer Economics 的统计，仅红色代码病毒就吃掉了全球电脑用户26 亿美元，其中11 亿美元用于对100 万台以上的受感染服务器进行清理和对800 万台以上的其它服务器进行检查。

6．病毒编写越来越简单

传统病毒的编程技术比较复杂，往往需要编程者对系统有深入的了解才行，但是病毒自动生产技术的产生，使得对计算机病毒一无所知的用户，也能随心所欲地组合出算法不同、功能各异的计算机病毒。

7．恶意网页给传统的病毒定义带来了新的挑战

随着Internet 的逐步普及，又出现了能够摆脱平台依赖性的“恶意网页”，它们以ActiveX 技术和java Applet 为载体，潜伏在HTML 网页里面，用户只要浏览这类网页，恶意程序就会悄然自动下载到硬盘中。

三、反病毒技术的发展

20 世纪80 年代未，各种基于行为、通过捕获典型中断调用来监控病毒破坏行为的防病毒卡和TSR 常驻内存技术（像Vsafe 、Dog 等工具）风靡全国。但是由于其在单任务的DOS 系统下运行，从而降低了系统性能，由于在WINDOWS 系统下存在严重的兼容性等问题，所以逐步淡出了市场。

随着网络和操作系统的发展，人们对计算机病毒有了更新的认识，病毒防治理念也从原有的单纯“杀毒”上升到“杀防结合”层面，可以说，计算机病毒的蔓延导致了计算机反病毒技术的发展。

1．病毒码扫描法

该方法是利用病毒留在受感染文件中的病毒特征值（即每种病毒所独有的十六位代码集）进行检测。发现新病毒后，对其进行分析，根据其特征编成病毒码，加入到数据库中。今后在执行查毒程序时，通过对比文件与病毒数据库中的病毒特征代码，检查文件是否含有病毒。对于传统病毒来说，病毒码扫描法速度快，误报率低，是检测已知病毒的最简单、开销最小的方法。目前的大多数反毒产品都配备了这种扫描引擎。但是，随着病毒种类的增多，特别是变形病毒和隐蔽性病毒的发展，致使检测工具不能准确报警，速度下降，给病毒的防治提出了严峻挑战。

2．病毒实时监控技术

传统的反毒技术已无法对付不以文件形式存在的内存型病毒；变种邮件病毒的不断出现，客观要求防毒系统必须具备针对协议层的邮件双向监控技术和对未知新型病毒的分析判断能力；恶意网页的出现，更需要在网页浏览过程中实时过滤有害代码、监控注册表信息，凡涉及到修改注册表、删除文件等恶意操作的行为，必须随时报警并予以制止，所有这些都使得病毒实时监控技术显得格外重要。实时监控进程处于随时工作状态，防止病毒从外界侵入系统，全面提高计算机系统整体防护水平。

3．虚拟机技术

虚拟机技术也称为动态启发技术，具有人工分析、高智能化、查毒准确性高等特点。该技术的原理是：用程序代码虚拟CPU 寄存器，甚至硬件端口，用调试程序调入可疑带毒样本，将每个语句放到虚拟环境中执行，这样就可以通过内存、寄存器以及端口的变化来了解程序的执行，改变了过去拿到样本后不敢直接运行而必须跟踪它的执行查看是否带有破坏、传染模块的状况。虚拟环境既然可以反映程序的任何动态，那么病毒放入虚拟机中执行后也必然可以反映出其传染动作。通过该技术，可以解决自解压程序格式繁杂、非公开压缩方式造成大量变种病毒和新病毒的技术难题，彻底查杀由压缩工具和捆绑器制造的各种变种病毒。这一技术有着极为广阔的应用前景。

4．自免疫扫毒技术

该技术采用软件认证和虚拟运行判断的双重机制，使用户免除对反病毒软件频繁升级之苦。软件认证机制记录系统软件正常的运行状态，形成软件特征运行库，一旦软件出现非正常运行，马上采取措施，所以对网络蠕虫、求职信等已知病毒和未知病毒都能够有效地进行遏制。如果用户在安装新软件时，杀毒引擎会启动，通过虚拟运行判断或行为转移机制，对所有软件在系统下执行的命令进行监控，进行高效智能判断，让合法操作通过，过滤恶意操作，禁止病毒进行复制、删除、格式化硬盘，破坏分区表，降低系统性能等危险性操作，保证系统的安全运行。同时随机记录文件的变化情况，必要时恢复各个时期的状态。该技术极富创意，具有良好的发展前途。

5．主动内核技术

主动内核技术改变了传统的被动防御理念，将已经开发的各种防病毒系统嵌入操作系统内核，实现无缝连接。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病毒分析器等功能，