论坛: 病毒专区 标题: 往事历历在目—浅谈反病毒技术的前世今生 复制本贴地址    
作者: 地圣独行 [lqfrla]    论坛用户   登录
前言
  “冲击波”病毒、“振荡波”病毒,是一波未平,一波又起啊!如今人们真的是有些谈“毒”色变了!就像人类不仅要有上帝情结,还要有撒旦的情怀一样,当人类创造出神奇无比的计算机时,另一部分人却发明了一种可以与之“媲美”的东西“计算机病毒”。成为计算机用户挥之不去的魅影,更有人形象的将其比喻为计算机系统的“艾滋病”。

  历历在目

  其实,计算机病毒出现的历史并不长。

  1987年10月,美国得拉华大学受到了巴基斯坦病毒(Pakistan或称Brain病毒)的攻击。它是已知的首例计算机病毒攻击个案。

  随后计算机病毒的攻击事件不断出现,计算机病毒刚开始流行阶段,种类不多,传播主要是靠非法的程序和数据拷贝。随着网络的快速普及,互联网便成了计算机病毒的最好的载体,病毒的数量急剧膨胀,危害性更是不可“同日而语”。

  随着计算机病毒在世界上的泛滥,我国也难以幸免病毒的侵袭。1989年春,在我国发现了首例计算机病毒。随之病毒开始在我们泛滥成灾。

  CIH病毒

  一位名叫陈盈豪的台湾大学生所编写的CIH病毒,每年4月26日发作,相信计算机用户一定还心有余悸。虽然现在它的危害性已经没有那么大了,但仍为“病毒发展史”写下了浓重的一笔。因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,实时性和隐蔽性都特别强,一般的杀毒软件很难识别。

  瘟神“梅利莎”病毒

  1999年3月26日,对全世界的计算机用户来说又是一个灾难的开始,一种被称为“梅利莎”的电脑病毒像瘟疫般开始在全球蔓延。

  “梅利莎”病毒只是一个宏病毒,隐藏在一个微软Word97格式的文件里,以附件的方式通过电子邮件传播。其实她的传输手段并不新鲜,但很狡猾。“也许你会拒绝接收来自不认识的人的邮件,但是,这种病毒来自你信任的亲朋好友的邮件中,使人防不胜防。”这就是“梅利莎”的诀窍。就连大名鼎鼎的Microsoft公司也未能幸免,其危害性可见一斑。

  一场没有销烟的战争

  正邪不两立,事物总是相生相克的,随着病毒技术的不断发展,反病毒技术也在不断的完善自我,二者之间的斗争自从病毒出现以后,就一直没有停止过。

  在病毒的自动检测技术方面,杀毒软件均采用特征代码检测法,也就是说,当扫描某程序时,如果发现某种病毒的特征代码,便可发现与该特征码对应的计算机病毒。

  早期的特征代码法采用的是“单特征检查法”,后来发展成为“多特征检查法”,以便能够查出原种及其变种病毒。

  随着多态性病毒的问世,给在静态方式下采用特征代码检测法扫描病毒的方式带来了严峻的挑战。此种病毒每次感染时,病毒代码与上次感染时的代码没有连续三个字节是相同的,根本没有稳定的特征代码,“特征代码检测法”也就无能为力了。

  另一种计算机病毒检测技术是基于特征标记的方式,这种方法就是对磁盘上的可执行部分进行一种或几种特殊的运算得出一个特征标记,存于磁盘上,在适当的时机对这些可执行部分进行校验,若与原先存于磁盘的特征标记不同,一般可认为是染上了病毒,这种方法非常有效,并已发展得很成熟。缺点是无法检测出未知的文件是否染上病毒,而且在实现技术方面仍然有不完善的地方。有时在带毒环境下,这种方法将会失效。

  在计算机病毒的消除方面,一般而言,都是发现一个新病毒,然后再分析它的运行机制,感染原理,最后编制消毒软件。基本上是基于具体病毒具体分析的原理,这种过程即使对反病毒专家来说都是很乏味的,更不用说是普通的用户了。多态性计算机病毒的出现,更增加了这种分析的难度,这也是当前反病毒的瓶颈所在。

  另一种消除病毒的方法就是给系统中可执行文件加一层免疫外壳,凡是做过这种处理的程序都具有消除自身病毒的能力。然而从目前的相应产品来看,实现技术上仍有不尽人意的地方,对某些采取了隐蔽性技术的病毒就失去了作用。

  随着计算机病毒的日益增多,不可能对每一种病毒都进行分析消除,更由于被动处理是在计算机系统已染上病毒后才进行,很可能已对系统造成不可恢复的破坏。因此,防治计算机病毒应尽可能“御病毒于计算机之外”。


地主 发表时间: 04-07-19 11:57

回复: 猪头猪脑 [ftpftp]   论坛用户   登录
俺比较欣赏CIH的设计思路

B1层 发表时间: 04-07-19 15:07

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号