反病毒技术(反病毒技术是谁提出来的)

zhangyang 2022-05-09 阅读:19
  

目前反病毒技术有哪些?这些技术原理是什么?

  一种常用的反病毒软件技术

  签名技术:基于对已知病毒的分析和解决方案的反病毒技术。

  目前大部分杀毒软件主要采用特征码检测和手动杀毒的方法,即病毒检测采用特征码检测,病毒查杀采用手动杀毒代码。

  实际上,签名病毒检测方案是人工病毒检测经验的简单表达。它再现了人工识别病毒的一般方法,采用“同一病毒或同类病毒的某一部分具有相同代码”的原则。即如果病毒、其变种和变种具有相同的身份,就可以对其进行描述,通过程序体与描述结果(即“特征码”)的比较就可以发现病毒。不是所有的病毒都能描述其签名,很多病毒很难描述甚至无法用签名来描述。使用签名技术需要实现一些补充功能,比如最近压缩包和压缩可执行文件自动查杀技术。

  然而,签名病毒检测方案也有很大的局限性。签名的描述取决于人的主观因素。要从几千字节的病毒中检索出十几个字节的签名,需要对病毒进行跟踪、反汇编和分析。如果病毒本身有反追踪技术、变形和解码技术,追踪反汇编获取签名的情况就会变得异常复杂。此外,为了检索病毒的特征,有必要获得病毒的样本。由于对签名的描述不同,签名方法很难在国际上得到广泛支持。病毒查杀的主要技术缺陷是大量的误检和误报,病毒查杀技术导致杀毒软件的技术滞后。

  虚拟机技术:启发式检测未知病毒的反病毒技术。

  虚拟机技术的主要功能是能够运行具有一定规则的描述语言。因为判断一个病毒的最终标准是它的复制传染性,而这个标准是不容易使用和实现的,如果病毒已经被感染了,肯定会给病毒的消灭带来麻烦。

  两条原则

  那么用什么方法查病毒呢?客观地说,在各种病毒检测方法中,特征值法是最适用、最快、最简单、最有效的方法。但由于其自身的缺陷,只适用于已知的病毒。对于未知病毒,如果病毒能在控制下运行一段时间并自我恢复,那么问题就相对清楚了。可以说虚拟机是这种情况下的最佳选择。

  虚拟机在反病毒软件中的应用越来越广泛,已经成为反病毒软件的一种趋势。一个相对完整的虚拟机不仅能识别新的未知病毒,还能清除病毒。我们会发现这个杀毒工具不再是一个程序,而是一台可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先,虚拟机必须提供足够的虚拟化,以完成或接近完成病毒的“虚拟感染”;其次,虽然根据病毒的定义建立的“感染”的标准是明确的,但是如果这个标准能够执行的话,在病毒的判定上还是有问题的。第三,如果上一步可以通过,那么就要检查确认所谓的“被感染”文件是不是真的被这个病毒或者它的变种感染了。

  目前虚拟机的处理对象主要是文件病毒。理论上,开机病毒、word/excel宏病毒、木马都可以用虚拟机来处理,但目前的实现水平还差得很远。就像病毒编码的扭曲会使传统的特征值方法失效一样,针对虚拟机的新病毒也很容易使虚拟机失效。虽然虚拟机会在实践中不断发展。而pc的计算能力是有限的,杀毒软件的制造成本是有限的,病毒的发展可以说是无限的。虚拟技术想要得到更多的实际效果,甚至是基于它来消灭未知病毒,都是相当困难的。

  受限于病毒在理论上不可确定的根本前提,实际上无论是启发式还是虚拟机都只能是一个工程上的努力,成功的概率永远不可能达到100%。这是唯一但无奈的缺陷。

  未来的防病毒技术:

  未来技术的前景可能只是一个近乎缥缈的幻想,但就像科幻小说中出现的计算机病毒的原始描述一样,虽然还有很多我们还在实现但尚未实现的技术,甚至还有很多我们根本没有考虑到的因素。只要技术足够成熟,网络世界完全有可能出现类似人工智能的反病毒技术。

  未来反病毒的一个难点是,我们永远无法写出一个合理的程序来识别和查杀病毒。病毒掌握了人类掌握的一切。它还可以识别和分析反病毒程序,并对自身进行重新编程。反病毒程序应该以同样的方式检测病毒,然后自行编程。病毒和反病毒程序的竞争变成了自我编程能力的实现,这样的结果只能导致网络空间的紧张甚至崩溃!

  还可以考虑另一种方式:手动进入计算网络世界查杀病毒。人们有足够的智慧和经验来识别和杀死病毒,而这只剩下在人和计算机之间建立“桥梁”的问题。

  目前,虚拟现实技术侧重于人与人之间的自然交流——“感官”病毒计数是一个程序。不同种类的病毒有不同的代码,谁也无法预测明天会出现什么新的病毒。但有一点是肯定的,只要一种新的计算机技术出现,一种充分利用这种新技术编制的新病毒肯定离我们不远。但由于软件类型极其丰富,一些正常程序也会使用类似病毒的操作,甚至借鉴一些病毒技术。所以,虽然有些人利用了病毒的一些常见操作的共性(比如驻留内存,改变中断),做出了号称可以检查所有病毒的程序。然而,这种病毒检测方法势必会导致更多的误报,并且不够可靠。目前只能作为辅助手段,不能独立推广。事实上,计算机病毒学的鼻祖早在20世纪80年代初就已经提出了计算机病毒的模型,证明了只要对当前的计算机系统进行扩展,就会出现计算机病毒的“不确定性”。要查杀一个病毒,首先要采集病毒样本,使其成为已知病毒,然后对病毒进行分析,进而准确传播病毒。

颠倒过来,使被感染的计算机恢复原状。因此可以看出,一方面计算机病毒是不可灭绝的,另一方面病毒也并不可怕,世界上没有杀不掉的病毒。

  常用的反病毒软件技术

  特征码技术:基于对已知病毒分析、查解的反病毒技术

  目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行,亦即在查病毒时采用特征码查毒,在杀病毒时采用人工编制解毒代码。

  特征码查毒方案实际上是人工查毒经验的简单表述,它再现了人工辨识病毒的一般方法,采用了“同一病毒或同类病毒的某一部分代码相同”的原理,也就是说,如果病毒及其变种、变形病毒具有同一性,则可以对这种同一性进行描述,并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒。而并非所有病毒都可以描述其特征码,很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能,例如近来的压缩包、压缩可执行文件自动查杀技术。

  但是,特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素,从长达数千字节的病毒体中撷取十余字节的病毒特征码,需要对病毒进行跟踪、反汇编以及其它分析,如果病毒本身具有反跟踪技术和变形、解码技术,那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外,要撷取一个病毒的特征码,必然要获取该病毒的样本,再由于对特征码的描述各个不同,特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上,而杀病毒技术又导致了反病毒软件的技术迟滞。

  虚拟机技术:启发式探测未知病毒的反病毒技术

  虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性,而这个标准是不易被使用和实现的,如果病毒已经传染了才判定是它是病毒,定会给病毒的清除带来麻烦。

  那么检查病毒用什么方法呢?客观地说,在各类病毒检查方法中,特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题,它只适用于已知病毒,对于未知病毒,如果能够让病毒在控制下先运行一段时间,让其自己还原,那么,问题就会相对明了。可以说,虚拟机是这种情况下的最佳选择。

  虚拟机在反病毒软件中应用范围广,并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机,不仅能够识别新的未知病毒,而且能够清除未知病毒,我们会发现这个反病毒工具不再是一个程序,而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先,虚拟机必须提供足够的虚拟,以完成或将近完成病毒的“虚拟传染”;其次,尽管根据病毒定义而确立的“传染”标准是明确的,但是,这个标准假如能够实施,它在判定病毒的标准上仍然会有问题;第三,假如上一步能够通过,那么,我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

  目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word/excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的,但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样,针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是,pc的计算能力有限,反病毒软件的制造成本也有限,而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效,甚至要以此为基础来清除未知病毒,其难度相当大。

  受病毒在理论上就是不可判定的这一根本前提的制约,事实上,无论是启发式,亦或是虚拟机,都只能是一种工程学的努力,其成功的概率永远不可达到100%。这是惟一的却又是无可奈何的缺憾。

  未来的反病毒技术: 虚拟现实

  对于未来技术的展望可能只是一种近乎飘渺的幻想,但是就如同计算机病毒最初的描述出现在科幻小说里,虽然还有许许多多我们目前仍在实现却仍未实现的技术,甚至还有许多我们根本未考虑到的因素。只要技术足够成熟,网络世界中是完全有可能出现类似人工智能的反病毒技术。

  未来反病毒的疑难之一就是:我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切,它同样能辨识和分析反毒程序,并对自身重新编程;而反毒程序要可能同样地对病毒进行探测,再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现,而这样的结果只能导致网络空间紧张,甚至崩溃!

  我们还可以考虑用另一种方式:人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除,而这就只剩下建立人与计算机之间的“桥”的问题了。

  目前的虚拟现实技术重点放在了对人与人的自然界交流方式―――“感官”的计算机描述的实现上,它如同人们所有的知觉都最终传感给大脑,大脑对这种传感作出一种体验上的描述,从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息,并通过神经传感给大脑,则完全可以描述并引导、控制人的一切思维。简单地说,人的思维与计算机语言存在了这样一个通用的接口!

  这种理论如果得以实现,则虚拟现实技术将进入新的发展领域。虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防,但是在实际应用中,经过反病毒专家多年的统计、分析、研究积累的经验,完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序,在相当程度上达到较精确地防御未知病毒的侵入。特征码:人工找出同类病毒的一些代码,杀之,主要针对已知病毒。

  主动防御:判断病毒的行为。比如启动方式,工作方式等。主要针对未知病毒。

反病毒技术

反病毒技术的发展经历是哪七个阶段?

  计算机病毒的历史

  第一个计算机病毒是在科学家的实验室诞生的,这一天是1983年11月3日,距离今天整整20年。在这20年间,共诞生了一万多种病毒,极大地威胁着我们的计算机信息安全。

  在第一个病毒诞生后,一些技术天才逐渐掌握了病毒的制作技术。1986年初,在巴基斯坦小镇拉合尔,巴锡特和阿姆杰德两兄弟编写了Brain病毒,被感染的电脑都会在屏幕上闪烁一则信息,为两兄弟经营的Brain计算机服务公司做广告。Brain病毒在一年内流传到了世界各地,使人们认识到计算机病毒对 PC机的影响。1987年,计算机病毒第一次大爆发,大麻、IBM圣诞树、黑色星期五等病毒突然袭击,使众多计算机用户甚至专业人员都惊慌失措。人们甚至只好在星期五关闭计算机以免被黑色星期五摧毁系统。1988年,一个蠕虫病毒钻进了Internet网络,致使网络中的6000多台UNIX计算机受到感染,直接经济损失达9600万美元。作者是美国康耐尔大学23岁的研究生罗伯特莫里斯,不过他后来改邪归正,成为了美国军方的安全专家。同年,著名的小球病毒登陆中国,中国的计算机用户第一次尝到了病毒的厉害。

  到了1995年,病毒的制作技术更加多样化,传统的反病毒技术已经力不从心。以变形金刚病毒为代表的变形病毒出现了。它可以根据数学原理改变自身的特征,让反病毒软件难以察觉它的存在。科学家发现在它背后有一种“计算机病毒生产机”软件,这种软件可以随意产生变形病毒。“魔高一尺,道高一丈”,反病毒专家终于研究出了虚拟机技术,这种技术可以引诱变形病毒现出真身,从而把它消灭。

  1996年,病毒继续发展,出现了针对微软公司Office系列的宏病毒。它看起来像是Word文件,却包含有一段病毒程序,打开之后就可以运行。1998年,台湾的陈盈豪编写了历史上破坏最大的计算机病毒――CIH,它是第一个直接攻击、破坏硬件的计算机病毒。

  1998年后,随着Internet的高速发展,病毒的种类越来越多,传播越来越广,红色代码、尼姆达、冲击波等病毒为代表的网络病毒大量出现,给用户造成的经济损失也越来越大。反病毒技术期待再次创新,人们和计算机病毒之间的战争注定将继续下去。

评论(0)

二维码