中国计算机反病毒20年重要反病毒技术
从1988年我国发现第一个病毒“小球”算起,至今中国计算机反病毒之路已经走过了二十年。二十年弹指一挥间,计算机病毒和反病毒技术发生了翻天覆地的变化,计算机病毒迄今为止已经超过了一百万种,而计算机反病毒技术也已经更新了一代又一代。作为中国最早从事计算机反病毒研究的安全软件企业之一,江民科技以亲身经历见证和参与书写了中国计算机反病毒二十年辉煌历史。中国计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。前十年历史主要是查杀感染文件型和引导区病毒的历史,后十年主要是针对蠕虫和木马的历史。发展到今天,计算机病毒更加复杂,多数新病毒是集后门、木马、蠕虫等特征于一体的混合型病毒,而病毒技术也从以前以感染文件和复制自身,给电脑用户带来麻烦和恶作剧为目的,变成了以隐藏和对抗杀毒软件并最终实施盗号窃秘为目的。特别是进入2008年以来,病毒逃避杀毒软件追杀的能力在不断提升,内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程/线程、加壳加密等等,病毒从来没有象今天这样,将新技术应用的如此全面,如此完善。而魔高一尺,道高一丈,计算机反病毒技术在与计算机病毒的较量中也得到了升华,与20年前相比已经已经有了质的飞跃。
DOS杀毒时代
无论是病毒还是反病毒,在一定时间阶段内必定是基于某一类主流平台的,从DOS时代至今,操作平台发生了三次重大演变,从DOS进展到WINODWS时代,从WINDOWS单机操作到目前互联时代,计算机已经单一的信息孤岛发展成为全球互联网中的一个信息节点,相应地计算机病毒的发展也与此息息相关。
DEBUG手工杀毒
1988年至1989年,我国先后出现了最早的计算机病毒“小球”和“大麻”,而当时国内并没有杀毒软件,这时候,一些程序员使用微软的软件缺陷调试程序DEBUG来跟踪清除病毒,这也成为最早最原始的手工杀毒技术。DEBUG通过跟踪程序运行过程,寻找病毒的突破口,然后通过DEBUG强大的编译功能将其清除。由于DEBUG强大的侦错能力,在早期的反病毒工作中发挥了重大作用,但由于使用DEGUG需要精通汇编语言和一些硬盘底层技术,所以,能够熟练使用DEBUG杀病毒的人并不多,而早期经常使用DEBUG跟踪破解病毒的程序员,在长期的杀毒工作过程中积累了经验以及病毒样本,多数成为后来计算机反病毒行业的中坚技术力量。
就在那个时候,江民科技创始人王江民每次利用DEBUG杀掉一个病毒,就编写一个程序,命名为KV1,当杀掉100个病毒,就把他们集中起来,叫做KV100,一直到风靡全国的KV300,这样,普通的电脑用户不需要掌握DEBUG,只需用KV就可以杀毒了。当然,计算机病毒发展到现在,仅江民杀毒软件KV2006就可以清除超过13万种病毒,我们的杀毒软件也早就不再用杀毒数来命名,而是采用了国际通用的以年代命名的方法。随着操作系统和病毒技术的发展,以及DOS病毒的退出历史舞台,现在的反病毒工程师已经很少用DEBUG去破解病毒,而是普遍应用了IDA、OllyDbg等反编译程序,但用DEBUG手工杀毒至今仍然是老一代反病毒人员津津乐道和难以忘怀的往事。
广谱智能杀毒技术
当病毒数量激剧上升,达到几千几万种的时候,人们发现,许多新病毒其实就是老病毒变种,病毒作者在老病毒的基础上修改一些字节数,添加一些新特征,这样就让杀毒软件无法识别了。这时候,如果仍然采用一个一个病毒分析的方法,无疑工作量很大。能不能有一种办法,提取出一个此类病毒的共同特征,以后不管这种病毒出现多少变种,都可以用一种特码征去查杀。经过技术上的攻关和一次次测试,我们研发成功了广谱智能杀毒技术,这种杀毒技术是在对此类变种病毒的充分剖解的基础上,精心提取的病毒共同特征,只要在杀毒软件中添加了广谱特征码,变种再多也可以做到以不变应万变。
宏病毒杀毒技术
1997年下半年,微软的Office逐渐普及,然而,不知从什么时候开始,许多用户开始发现,平时很正常的WORD文档无法打印,一篇稿件写完后去无法保存.....。一场“宏”病毒大潮来袭!江民公司反病毒中心接到的求助电话开始越来越多,经过反病毒工程师分析,导致此类怪现象的原因,是因为电脑用户的WORD文档中多了一个未知的“宏”。“宏”是WORD中的一种自动执行的一组操作命令,病毒正是利用WORD此项功能,将一些有害的代码添加为“宏”命令,从而破坏WORD的正常使用,甚至可以删除WORD文档。由于这种“宏”极具传染性,所以被称为“宏病毒”。
然而,由于微软的WORD文档格式和算法是保密的,而“宏病毒”所在的文件位置却并不确定,而且杀毒软件清除宏病毒的还不能破坏WORD文档,这给杀除“宏”带来很大的困难。在求助微软中国公司未果的情况下,经过江民反病毒研究中心一个月的攻关,终于把WORD格式研究的透透彻彻,于是马上升级KV300杀毒引擎和病毒库,彻底解决了宏病毒的难题。那个时候,衡量一款杀毒软件的杀毒能力,只要看他处理“宏”病毒的情况就可以了,而KV300是国内首家可以彻底解除宏病毒的杀毒软件,随着其它杀毒软件也开始加入清除“宏病毒”的功能,慢慢地“宏”病毒开始逐渐被消灭。
杀双料病毒和变形病毒
除了广谱杀毒技术和宏病毒杀毒技术外,清除变形病毒和引导区、文件型的“双料”病毒也是DOS时代较为典型的杀毒技术。“双料”病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统..。等等,这样,变形病毒的问题也得到了解决。
WINDOWS视窗时代 从“杀毒”到“反病毒”的关键一跃
随着WINDOWS95和WINDOWS98操作系统的逐渐普及,电脑开始进入可视化视窗时代,随着电脑与外界数据交换越来越频繁,电脑病毒开始从各种入口入侵。除了软盘,光盘、硬盘、网上邻居、电子邮件、网络下载、注册表等等都可能成为病毒感染的通道。病毒越来越多,一味地杀毒将使电脑用户疲于应付,这时,反病毒工程师开始意识到有效防御病毒比单纯杀毒对于用户来讲价值更大。1999年,江民公司首家研发成功病毒实时监控技术,首次突破了杀毒软件的单一杀毒概念,开创了从“杀毒”到“反病毒”新时代。从此,杀毒软件也开始摆脱了一张杀毒盘的概念,首次安装版本,以KVW3000等为代表。
安装版的杀毒软件与操作系统同步运行,对通过文件、邮件、网页等途径进入电脑的数据进行实时过滤,发现病毒在内存阶段立即清除,抵御病毒于系统之外。
随着这一技术的发展和完善,目前实时监控技术已经非常完善,如江民杀毒软件现在已具备了七套实时监控系统,具有文件监视、邮件监视、网页监视、即时通信监视、木马\注册表监视、脚本监视、隐私信息保护等七大实时监控功能,从各大病毒入侵通道封杀病毒,成为目前杀毒软件最主流最具价值的核心技术。目前,衡量一款杀毒软件的防杀能力,也主要通过测式实时监控性能,例如,发现网页上的病毒,是在下载过程中(内存阶段)报警并清除还是在下载完毕后才能报警并处理?经过层层压缩和加密的病毒,杀毒软件是根目录时便能侦测到并报警,还是选择了这个病毒压缩包才能报警?病毒实时监控技术又包含了比特动态滤毒技术、深层杀毒技术、神经敏感系统技术等,这些技术使得杀毒软件在实时监控病毒时更灵敏,清除病毒也更彻底。
互联网时代 主动防御新时代
近年来,伴随着互联网的高速发展,病毒也进入了愈加猖狂和泛滥的新阶段,并呈现出了以下几个特征:
1、病毒的种类和数量在迅速增长:
江民公司2008年1月2日发布的《2007年度病毒疫情报告》中显示表明:截止到2007年底,江民反病毒中心共截获新病毒总数为36万3000余种,较06年增长501%。截止到2007年12月份,病毒累计感染计算机 3441万4793 台,其中78%以上的病毒为木马、后门。而仅2008年上半年,江民反病毒中心共截获新病毒206439种,1至6月全国共有9871681台计算机感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万种。
2、传播手段越来越广泛:
木马、病毒通过移动存储设备、网页挂马、网址欺骗、视频文件传播、部分知名软件的漏洞等进行疯狂传播。
3、病毒的技术水平越来越高:
病毒制造者不断更新着病毒的制造技术,不断推出病毒的新变种,利用新的技术手段隐藏自身进程,通过加壳和免杀技术终止杀毒软件的运行,逃避杀毒软件对于病毒的查杀,达到传播有害程序、破坏数据文件、非法窃取利益的目的。更值得关注的是,进入2008年以来,大部分主流病毒技术都进入了驱动级,开始与杀毒软件争抢系统驱动的控制权,从而控制杀毒软件,致使杀毒软件功能失效。
4、病毒的危害越来越大:
更多的木马和病毒破坏电脑系统、造成死机、蓝屏、数据丢失、窃取用户帐号密码等,给用户造成巨大的损失和破坏。“熊猫烧香”、“机器狗”、“ARP病毒”、“磁碟机”这些病毒迅速在互联网上疯狂传播,被感染的计算机数量急速增长,严重影响着个人用户和企业用户的信息安全。
伴随着计算机病毒的飞速发展,一些新的计算机反病毒技术也应运而生。
未知病毒主动防御技术
未知病毒主动防御的核心原理是依据行为判断,不同于常规的特征扫描技术。主动防御监测系统主要是依靠本身的鉴别系统,分析某种应用程序运行进程的行为,从而判断它的行为,达到主动防御的目的。
当前的杀毒软件都是通过从病毒样本中提取病毒特征值来构成病毒特征库,采用特征扫描技术,通过与计算机中的应用程序或者文件等的特征值逐一比对,来判断计算机是否已经被病毒感染,即由专业反病毒人员在反病毒公司对可疑程序进行人工分析研究。杀毒软件厂商只有通过用户上报或者通过技术人员在网络上搜索才能捕获到新病毒,然后从新病毒中提取病毒特征值添加到病毒库中,用户通过升级获取最新的病毒库,才能判断某个程序是病毒。
如果用户不升级,用户计算机上安装的杀毒软件就不能防范新出现的病毒,这也是专业反病毒工程师一直强调用户要及时升级杀毒软件病毒库的原因。这种特征值扫描技术的原理决定了杀毒软件的滞后性,使用户不能对网络新病毒及时防御,网络病毒的频频爆发,已经使国际国内反病毒领域开始意识到,杀毒软件赖以生存的事后“补丁”式技术越来越被动,所以主动防御监测技术应运而生。
BOOTSCAN系统启动前杀毒技术
近年来,一系列计算机新技术被病毒利用,人们发现,病毒开始越来越难清除了,中了病毒无法查出,查出病毒无法清除,甚至杀毒软件被病毒干掉的事情经常发生。“ROOTKIT”、插入线程、进程这些计算机新技术已经成为木马病毒的常用办法。针对此类疑难病毒,BOOTSCAN系统启动前杀毒技术应运而生,江民反病毒研究中心在2005年9月研发成功的此项技术能够在系统启动之前就开始调用杀毒引擎扫描和清除病毒,而在这一阶段病毒的这些自我保护和对抗反病毒技术的功能还没有运行,因此在杀毒软件的快刀下被纷纷“斩首”。目前还没有发现BOOTSCAN杀不掉的病毒。
反病毒Rootkit、反病毒Hook技术
越来越多的病毒开始利用Rootkit技术隐藏自身,利用HOOK技术破坏系统文件,防止被安全软件所查杀。反病毒Rootkit、反病毒Hook技术能够检测出深藏的病毒文件、进程、注册表键值,并能够阻止病毒利用HOOK技术破坏系统文件,接管病毒钩子,防御病毒于系统之外。
启发式扫描 、虚拟机脱壳
启发式分为静态启发和动态启发,静态启发有点相当于广谱特征码技术,在杀毒软件中内置一个特别的启发特征库,然后将病毒的原码与这个库进行比较,如果符合或接近这个库里的病毒特征,就将其报为相应的病毒。江民杀毒软件KV2009不但具有静态启发,而且还有动态启发,动态启发与虚拟机结合的十分紧密,目前主要应用在对花指令病毒的扫描和查杀。
虚拟机的原理是在系统上虚拟一个操作环境,然后在这个虚拟环境下运行病毒,在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面,许多未知病毒其实是换汤不换药,只是把原病毒加了一个壳,如果能成功地把病毒的这层壳脱掉,就很容易将病毒清除了。对于虚拟机的应用,许多反病毒专家各执一词,有人强调虚拟机杀毒技术,认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度,原因是虚拟机需要占用太多的系统资源,虚拟机功能的强大是建立在消耗大量的系统资源基础上的,过分强调和应用虚拟机杀毒技术,可能会导致整个操作系统都不能进行其它工作。
“沙盒”(Sandbox)技术
“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念,多数杀毒厂商尚处于实验室研究阶段,江民杀毒软件KV2009成为国内首家将该项新技术应用到产品中的专业杀毒厂商。
虽然同为防范未知病毒的杀毒技术,“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截,终止运行;“沙盒”技术是发现可疑行为让程序继续运行,当发现的确是病毒时才终止。让程序的可疑行为电脑虚拟的“沙盒”里充分表演,但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后,“沙盒”则会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。
反病毒技术发展方向:内核级主动防御
计算机病毒与反病毒较量了20余年后,终于在2008年登峰造极。进入2008以来,大部分主流病毒技术都进入了驱动级,病毒已经不再一味逃避杀毒软件追杀,而是开始与杀毒软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒软件,使杀毒软件功能失效。
目前几乎所有的盗号木马病毒都具备了这一特征,病毒应用了包括ROOTKIT技术、内核级HOOK技术、进程注入、文件加密存放等主流编程技术,导致电脑一旦被病毒感染,事后清除十分困难。内核级主动防御系统能够防御驱动型病毒终止杀毒软件,在CPU内核阶段对病毒进行拦截和清除。
对于病毒的活动来说,由于反病毒软件必须保证其在内存阶段即被截获并作出处理,所以普通的用户级程序是无法监控的,只有工作于Ring0(系统核心层)的程序才能监控系统活动。内核级主动防御系统将查杀病毒模块直接移植到系统核心层直接监控病毒,让工作于系统核心态的驱动程序去拦截所有的文件访问。目前国内外杀毒软件普遍的技术研发现状只是部分监控模块运行于内核层,而内核级主动防御系统将查毒和杀毒模块都运行于系统内核层,可以有效防范未知病毒对计算机系统的入侵,并能够在系统内核阶段完成对计算机病毒的防御和清除,解决目前杀毒软件普遍面临的难以有效防御和清除驱动型病毒的技术难题。是计算机信息安全领域技术发展新方向。
综合来说,内核级主动防御系统既能解决层出不穷的新病毒的问题,而且针对病毒采用的对抗杀毒软件技术提出了有针对性的解决方法,能够解决电脑和互联网用户面临的越来越广泛的疑难病毒问题。
页:
[1]