防范計(jì)算機(jī)病毒的常用方法
摘要:研究防范計(jì)算機(jī)病毒的常用方法,通過(guò)反病毒軟件的更新?lián)Q代和實(shí)際應(yīng)用,進(jìn)行主動(dòng)防御,來(lái)做好個(gè)人計(jì)算機(jī)和服務(wù)器的防范。
關(guān)鍵詞:反病毒軟件;個(gè)人終端防護(hù);防火墻;備份
0 引言
隨著這幾年網(wǎng)絡(luò)的迅猛發(fā)展,利用網(wǎng)絡(luò)技術(shù),以網(wǎng)絡(luò)為載體頻頻暴發(fā)的間諜程序,蠕蟲(chóng)病毒、游戲木馬、郵件病毒、MSN病毒、黑客程序等網(wǎng)絡(luò)新病毒,已經(jīng)顛覆了傳統(tǒng)的病毒概念。與傳統(tǒng)病毒相比,網(wǎng)絡(luò)病毒呈現(xiàn)傳播速度空前、數(shù)量與種類劇增、全球性暴發(fā)、攻擊途徑多樣化、以利益獲取為目的、造成損失具災(zāi)難性等突出特點(diǎn),使防范病毒的必要性越來(lái)越緊迫。
特征值掃描是目前國(guó)際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫(kù),殺毒軟件將用戶計(jì)算機(jī)中的文件或程序等目標(biāo),與病毒特征庫(kù)中的特征值逐一比對(duì),判斷該目標(biāo)是否被病毒感染。該技術(shù)要求從病毒體中提取病毒特征值,所以只有等到新病毒出現(xiàn)后,才有可能獲得病毒體,并針對(duì)它進(jìn)行單獨(dú)處理。這種方法的固有缺陷是對(duì)新病毒的防范始終滯后于病毒的出現(xiàn)。
因此我們需要對(duì)病毒進(jìn)行主動(dòng)防御,本文將從兩個(gè)方面來(lái)論述如何進(jìn)行主動(dòng)防御。
1 反病毒軟件更新?lián)Q代
長(zhǎng)期以來(lái),人們把殺毒軟件作為最主要的反病毒工具,殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞,殺毒軟件賴以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因?yàn)槿绱?,殺毒軟件?duì)新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷,似乎成為既合情又合理的反病毒邏輯,導(dǎo)致人們普遍認(rèn)為反病毒產(chǎn)品不可能主動(dòng)防御新病毒,甚至等同于防范一種未知的疾病。
其實(shí),既然計(jì)算機(jī)病毒概念是人依據(jù)程序行為來(lái)定義的,現(xiàn)有殺毒軟件本身如果不能發(fā)現(xiàn)新病毒,但是人本身是可以發(fā)現(xiàn)新病毒的。如果人不能發(fā)現(xiàn)新病毒,也就意味著反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒,不可能升級(jí)殺毒軟件。也就是說(shuō),新病毒一定是人通過(guò)相應(yīng)的方法判斷出來(lái)的。
因此識(shí)別病毒可以采用采用動(dòng)態(tài)分析,直接通過(guò)程序的行為判斷它是否是病毒。即根據(jù)程序的行為是否符合病毒定義做出判斷,如果符合就是病毒,不符合就不是。舉例來(lái)說(shuō)在對(duì)某個(gè)可疑程序進(jìn)行判斷時(shí),為了做出準(zhǔn)確判斷,必須在可控范圍內(nèi)運(yùn)行可疑程序,然后再根據(jù)程序的行為判斷是否是病毒。如:MSN蠕蟲(chóng)病毒通過(guò)MSN自動(dòng)給好友發(fā)送病毒文件。我們可以通過(guò)制定規(guī)則:如果MSN接收的某個(gè)文件運(yùn)行后,模擬鍵盤(pán)或鼠標(biāo)動(dòng)作,自動(dòng)點(diǎn)擊MSN的“發(fā)送文件”命令,把它或它的生成物自動(dòng)發(fā)送給其他MSN聯(lián)系人,則這個(gè)文件就是病毒。
也許有人會(huì)說(shuō),建立殺毒軟件自動(dòng)識(shí)別新病毒會(huì)很難。第一,病毒防范是一個(gè)非常技術(shù)的工作,世界上反病毒軟件專家和程序員本就非常少,培訓(xùn)起來(lái)也很困難;第二,不可能預(yù)知新的病毒會(huì)是什么模式的病毒,建立相關(guān)的規(guī)則也是非常龐大而不太可能實(shí)現(xiàn)的。然而,我們可以看到,雖然病毒越來(lái)越多,但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少,不到總數(shù)的1%。而且這類病毒通常是概念病毒,一般破壞性不大。絕大多數(shù)病毒都是模仿其它病毒編寫(xiě)的,這些病毒的傳播、感染、加載、破壞等行為特點(diǎn)都可以從已經(jīng)存在的病毒找到,一個(gè)計(jì)算機(jī)本科畢業(yè)生經(jīng)過(guò)短期培訓(xùn),通常都可勝任人工識(shí)別這類新病毒的工作。因此識(shí)別絕大多數(shù)新病毒,并不是一件很難的事,只是要把人工識(shí)別轉(zhuǎn)化為計(jì)算機(jī)自動(dòng)判斷的coding過(guò)程,對(duì)病毒的行為進(jìn)行分析、歸納、總結(jié),將人為的經(jīng)驗(yàn)進(jìn)行科學(xué)提煉。因此,我們說(shuō)實(shí)現(xiàn)軟件自動(dòng)識(shí)別病毒是可行的。
跳出傳統(tǒng)技術(shù)路線,盡快研制以行為自動(dòng)監(jiān)控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的主動(dòng)防御型產(chǎn)品,從根本上克服殺毒軟件重大缺陷,建立主動(dòng)防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系,實(shí)現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級(jí),是具有極現(xiàn)實(shí)的緊迫性的。
2 做好個(gè)人計(jì)算機(jī)和服務(wù)器的防范
雖然現(xiàn)有反病毒軟件對(duì)新病毒的防范并不完美,但是防火墻+殺毒軟件畢竟是必要的工具,可以節(jié)省大量的時(shí)間和精力,也許大家有手工殺毒的能力。但普通用戶誰(shuí)愿意自己搜索病毒呢?誰(shuí)能知道那個(gè)正常進(jìn)程被插入病毒,誰(shuí)愿意一個(gè)一個(gè)殺病毒副本,許多東西我們沒(méi)辦法判斷的;而另外的防火墻,不太可能有人愿意手動(dòng)不停地監(jiān)視連接情況,去手工抗DDOS,去手工丟棄非法的包……上面的這一切不是普通用戶可以掌握的技術(shù)。
2.1 殺毒軟件和網(wǎng)絡(luò)防火墻
無(wú)論是菜鳥(niǎo)還是飛鳥(niǎo),殺毒軟件和網(wǎng)絡(luò)防火墻都是必需的。上網(wǎng)前或啟動(dòng)機(jī)器后自動(dòng)運(yùn)行這些軟件,就好像給你的機(jī)器“穿”上了一層或許說(shuō)并不完美的“保護(hù)衣”,就算不能完全杜絕網(wǎng)絡(luò)病毒的襲擊,起碼也能把大部分的網(wǎng)絡(luò)病毒拒之門(mén)外。目前殺毒軟件非常多,但千萬(wàn)不能使用一些破解的殺毒軟件,以免因小失大。安裝軟件后,要堅(jiān)持定期更新病毒庫(kù)和殺毒程序,以最大限度地發(fā)揮出軟件應(yīng)有的功效,給計(jì)算機(jī)以保護(hù)。
2.2 下載文件后進(jìn)行殺毒掃描
我們下載文件要小心仔細(xì),網(wǎng)絡(luò)病毒之所以得以泛濫,很大程度上跟人們的惰性和僥幸心理有關(guān)。當(dāng)我們下載文件后,最好立即用殺毒軟件掃描一遍,不要怕麻煩,尤其是對(duì)于一些Flash、MP3、文本文件同樣不能掉以輕心,因?yàn)楝F(xiàn)在已經(jīng)有病毒可以藏身在這些容易被大家忽視的文件中了。
評(píng)論