杀毒软件怎样才能更加完美,今后的病毒技术会如何发展,反病毒技术会有何突破?这是许多人都关注的问题。
此时我们有必要先来简单了解一下病毒及反病毒的发展史及其现状。 其实现在大众所指的"病毒"一词在学术界统称之为"恶意程序"(Walware),其中包括病毒、木马后门、蠕虫等。但为了大众的习惯,本文中就用病毒一词指代"恶意程序",即广义上的病毒。
早在DOS就已病毒横行,当时杀毒采取了特征码技术。特征码技术是反病毒技术中最基本的技术,也是反病毒软件普遍采用的方法。反病毒研究人员通过对病毒样本的分析,提取病毒中具有代表性的代码写入反病毒软件的病毒库。当反病毒软件查毒时发现目标文件中的代码与反病毒软件病毒库中的特征码相符合时,就认为该文件含毒并对其进行杀毒。后来反病毒研究人员受哲学上"事物存在普遍联系"的思想创造出了广谱特征码技术。因为有些病毒具有共性,相互存在联系,只需分析某类病毒的共同点提取出 广谱特征串,即可以高效简洁的查杀此类病毒。
病毒编写者为了提高病毒的生存能力,增加反病毒人员分析病毒代码的难度,将花指令技术运用到了病毒编写中。什么是花指令呢?所谓花指令就是在编写病毒程序时加入一些似乎没有什么意义但不会妨碍程序正常运行的代码。在反病毒研究人员静态反汇编病毒程序进行分析时,花指令会使病毒本身的源代码不被正确的"翻译"出来,从而加大了反病毒研究人员分析病毒查杀病毒的难度。呵呵,反病毒人员也不是吃素的哦!静的不行,我动起来不就行了么?反病毒人员只需对病毒程序实行动态跟踪,即可实行对病毒的分析,以便找出查杀此病毒的方法。
斗争继续着,病毒技术与反病毒技术都在不断发展中。随后的病毒又采用了多态技术和变形技术 。所谓病毒的多态技术,就是病毒使用了不同的密钥在病毒每次感染其他文件时实行了自身加密。这样一来每个病毒样本的代码都不相同。普通的仅仅采取特征码技术的反病毒软件只能望毒心叹了!病毒技术的发展同时也推动了反病毒技术的发展,反病毒研究者研究出了虚拟机法。虚拟机法也称模拟法,它就是让软件在虚拟的环境的运行并对其进行分析。虽然被采用多态技术的病毒感染后的带毒文件的病毒特征码不同,但其运行时加密代码会在内存中解密还原为原先固定代码。因而只要采用虚拟机技术结合特征码技术,就可以对多态病毒进行查杀。一波虽平,一波又起,病毒技术方面又有了发展,出现了变形技术。变形技术可以说是病毒加密的最高境界,它比多态技术高明多了。与多态技术相比,采用变形技术的病毒运行时在内存中解密后的代码也不相同,真正实现了变形的目的,这样反病毒人员就很难提取出该病毒的特征码,所以反病毒软件也就很难查杀该类病毒。
随着网络的普及,木马后门类病毒又汹涌而来,其所用的技术也在越来越厉害。它们采用的比较高级的技术有:"反弹端口"、"HTTP隧道"、"ICMP隧道"等技术。反弹端口技术在刚出现时可以逃过大部分防火墙,随即网络防火墙采用了对本机连接网络的应用程序进行限制的方法,就使得反弹端口技术不是那么的灵验了,当然聪明的木马病毒编写者此时又利用了下文所提及的"DLL线程插入"技术来对付这种防火墙。采用"ICMP隧道"以及"HTTP隧道"技术的木马病毒增强了木马的隐蔽性,而且可穿透绝大部分防火墙。其中"ICMP隧道"技术就是采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,从而使得木马在不开端口的情况下就可以进行通行,加强了木马的隐蔽性。"HTTP隧道"技术就是采用HTTP协议交换木马与控制端的数据,因为一般情况下防火墙是不管通过HTTP协议传输的数据的,采用这种技术后就可以穿透防火墙了!病毒为了加强隐蔽性,又采用了"DLL线程插入"技术,从而实现了插入别的进程的效果,大大加强了病毒的隐蔽、增强了被查杀的难度。同时运用"DLL线程插入"、"反弹端口"、"HTTP隧道"、"ICMP隧道"的木马的危害是比较大的。
随着WINDOWS操作系统的漏洞不断公布,蠕虫技术也都到了发展与创新。它们利用了如远程缓冲区溢出这类漏洞,使其传染力及破坏性得到了大大的增强,这类病毒有大家熟知的"冲击波"、"震荡波"等。
另外只得一提的是,病毒在病毒加载方式上也有了创新。病毒采用了通过网页、电子邮件、QQ/MSN等即时通讯工具的加载的传播方法。这些就是越来越被大家所熟悉的网页木马,邮件网页木马,QQ/MSN小尾巴等。而且今后的病毒还有多元化的趋势,手机病毒的出现正证明了这一点。
病毒技术发展日新月异,面对着此种局面,反病毒人员不得不努力探索查杀未知病毒的各种有效方法。计算机病毒学鼻祖早在80年代初期就已经提出了计算机病毒的模型,证明只要延用现行的计算机体系,计算机病毒就存在"不可判定性"。怎样才能使杀毒软件尽可能多的具有查杀未知病毒的能力呢?。反病毒研究者研究出了行为检测法和启发式扫描技术。因为起破坏的目的总通过要行为来实现,不管病毒伪装得再巧妙,它总是存在着一些与正常程序不同的行为,比如截取密码的木马程序一般都得调用那几个固定的API函数,引导性病毒必然截留盗用INT 13H。反病毒软件只需实时监控各个程序是否有异常行为即可发现已知及未知的病毒。行为检测法的优点就是能够相当准确的预报出病毒,但缺点就是有较高的误报率。所谓启发式扫描技术,就是用特定的方式对目标程序实行反汇编,对其中特定的指令序列进行理解,分析其正在的动机,判断是否为病毒。这种技术使反病毒软件具有了一定的智能化。
到目前为止,反病毒软件已经经历了4个阶段,分别为:
第一代反病毒软件采取单纯的特征码检测技术,将病毒从染毒病毒文件中清除。这种方法准确可靠。但后来由于病毒采取了多态、变形等加密技术后,这种简单的静态扫描技术就有些力不从心了。这类产品典型代表有:kill、kv100、kv200、kv300、瑞星、早期vrv、早期avxx等。
第二代反病毒软件采用了一般的启发式扫描技术、特征码检测技术和行为监测技术,加入了病毒防火墙,实行实时的对病毒动态监控。这类产品典型代表有vrv杀毒套装、killxx版、kv3000预览版等。
第三代反病毒软件在第二代的基础上采用了虚拟机技术,将查杀病毒合二为一,具有了能全面实现防、查、杀等反病毒所必备的能力,并且以驻留内存的形式有效防止病毒的入侵。
现在的反病毒软件已经基本跨入了第四代。第四代反病毒软件在第三代反病毒软件的基础上,结合人工智能技术,实现启发式、动态、智能的查杀技术。它采用了CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(这种技术能一定程度上查杀加壳伪装后的病毒)、内存杀毒模块、自身免疫模块(防止自身染毒,防止自身被病毒强行关闭)等先进技术,较好的解决了前几代软件的缺点。
今后的反病毒软件将会把现有的如启发式扫描技术、虚拟机等反病毒技术进一步发展完善,使其功能更强;进一步结合人工智能AI病毒分析技术,实现能对未知病毒的准确查杀,比如NAV的研究BLOODHOUND技术;改进行为监测技术,减少漏报误报率;构造更全面的立体监控与保护模块;加强与系统的集成及对系统恢复和保护;加强对多元化病毒的查杀;增强软件易操作性,使其便于没有任何信息安全技术的大众操作。当然现在还有许多正在研究中但未成熟的技术,比如由反生物病毒技术受启发而产生的"以毒攻毒"、"病毒免疫"等技术。在以后的时间内反病毒专家可能会使这些技术日趋成熟。
病毒技术日新月异,各种新的病毒以及新的病毒技术不断产生。相对而言反病毒技术有一定的滞后性,从而反病毒厂商应该把精力放在反病毒技术的研究上,少在广告宣传中搞噱头,夸大功能来愚弄误导消费者。
反病毒软件厂商任重道远,反病毒技术离理想中的目标还有很长的一段路要走。我们衷心希望他们一路走好,能够用他们的技术真正的捍卫广大用户的信息安全! |
|