關于反病毒技術的探討

摘要:計算機病毒威脅著網絡的安全。本文重點探討了目前流行的反病毒技術，涉及到軟件反毒、硬件反病毒及虛擬機反毒。該文對于解目前常用的反病毒技術及反病毒技術未來的發展趨勢有一定的參考意義。

關鍵詞:計算機病毒;反病毒;虛擬機;虛擬現實;趨勢

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)35-9927-02

Study on Anti-Virus Technology

LI Meng

(Hefei Economic Management School， Hefei 230041， China)

Abstract: Computer viruses threaten network security. This paper focuses on popular anti-virus technology， anti-drug related to software， hardware and virtual machine anti-virus drug. In this paper， commonly used for the solution of the current anti-virus technology and anti-virus technology development trend of the future has some reference value.

Key words: computer virus; anti-virus; virtual machine; virtual reality， trends

自從1987年發現了全世界首例計算機病毒以來，病毒的數量和種類以幾何的速度不斷地遞增，困擾著涉及計算機領域的各個行業，從此，反病毒技術孕育而生。病毒與反病毒技術不斷發展、變化，推動著反病毒技術不斷地向前發展。現就目前反病毒技術手段概括為以下幾種方式:

1 軟件掃描查毒法

從殺毒技術上來講，當前，目前的殺毒軟件都是一個掃描器，目前常見的掃描方法有:

1) 特征值掃描

特征值掃描是當前最主要的查殺病毒方式，它主要通過檢查文件、扇區和系統內存，用“特征值”查找已知病毒，特征值就是病毒常用代碼的特征。病毒除了用這些標記，也用別的方法。有的根據算法來判斷文件是否被某種病毒感染，一些殺毒軟件也用它來檢測變形病毒。

特征值掃描從殺毒方式上可以分成兩種——“通用”和“專用”。“通用”掃描被設計成不依賴操作系統，可以查各種病毒;而“專用”掃描則被設計用來專查某種病毒，如宏病毒，可以使某些應用軟件的病毒防護更加可靠。

2) 啟發式掃描

啟發式掃描是通過分析指令出現的順序，或組合情況來決定文件是否感染，每個對象都要檢查，這種方式查毒效果是最高的。

3) CRC 掃描

CRC掃描的原理是計算磁盤中的實際文件或系統扇區的CRC值(檢驗和)，這些CRC值被殺毒軟件保存到它自己的數據庫中，在運行殺毒軟件時，用備份的CRC值與當前計算的值比較，可以知道文件是否已經修改或被病毒感染。

如今大部分反病毒軟件分都包括兩個部分:病毒掃描引擎和病毒特征庫。病毒掃描引擎負責從病毒特征庫中獲得病毒的特征值.然后用該特征值對磁盤上的所有或部分文件進行掃描，一般來說，病毒掃描引肇是不會經常變動的，但是反病毒軟件為了查殺最新出現的病毒，病毒特征庫需要及時更新，因此反病毒軟件為了查殺最新出現的病毒，病毒特征庫需要及時更新，以便及時對流行病毒進行查殺。

2 硬件防毒技術

80年代末，出現了一些單機版靜態殺毒軟件。但由于新病毒層出不窮以及升級方面的原因，并沒有達到人們預想的防毒效果。后來又就有人提出將重要的系統文件固化到PC機的BIOS中，以避免病毒對這些文件的感染。后來出現了防病毒卡。這些防病毒卡實時監控系統的運行，對類似病毒的行為及時提出警告。一時間，實時防病毒概念大為風行。

近兩年來，隨著硬件CPU處理速度的不斷提高，硬件反病毒技術所造成的系統負荷已經降低到了可被我們忽略的程度，操作系統日益完善，加之，反病毒廠商版本更新越來越頻繁，由原來數年一次，發展到現在的每年一次，病毒庫的更新更是由一月一次發展到了一周三次，這些升級措施能使殺毒軟件更加有效地防范病毒，因此重提硬件反病毒技術成為必然結果。目前在網絡中十分流行的病毒防火墻，帶防病毒功能的BIOS 芯片的主板重新受大家的青睞。

硬件反病毒技術的優勢是對未知病毒有防范功能，由于硬件級別高于任何軟件，所以特別有效和可靠。缺點是升級困難，只能查出病毒，而不具有殺毒功能。

3 虛擬機技術

多態和變形病毒的出現讓傳統的特征值查毒技術無能為力，因為特征值查毒技術是對于靜態文件進行查殺的，由于多態和變形病毒只有在開始運行后才能夠顯露原型。而病毒在機器上的執行，可能已經開始了對機器的破壞。為了檢測多態.變形等加密病毒，一種新的病毒檢測方法——“虛擬機技術”誕生了。如果能夠讓病毒在控制下先運行一段時間，讓其自己還原，那么問題就會簡單了。

虛擬機在反病毒軟件中應用范圍廣，并成為目前反病毒軟件的一個趨勢。一個比較完整的虛擬機，不僅能夠識別新的未知病毒，而且能夠清除未知病毒。雖然虛擬機也會在實踐中不斷得到發展。但是，目前計算機的計算能力有限，反病毒軟件的制造成本也有限，而病毒的發展可以說是無限的。讓虛擬技術獲得更加實際的功效，甚至要以此為基礎來清除未知病毒，還需要技術的不斷完善。

科技帶來了進步，也帶來了計算機病毒，反病毒是一個長期和艱苦的戰斗。它既需要全人類的共同努力又需要反病毒的利器。未來反病毒技術將有以下發展趨勢:

1) 虛擬現實技術

對于未來技術的展望可能只是一種近乎飄渺的幻想，但是就如同計算機病毒最初的描述出現在科幻小說里，雖然還有許許多多我們目前仍在實現卻仍未實現的技術，甚至還有許多我們根本未考慮到的因素。只要技術足夠成熟，網絡世界中是完全有可能出現類似人工智能的反病毒技術。

我們還可以考慮用另一種方式:人工進入計算網絡世界的方法來查殺病毒。人有足夠的智能和經驗積累來完成對病毒的辨識和殺除。目前的虛擬現實技術重點放在了對人與人的自然界交流方式———“感官”的計算機描述的實現上，它如同人們所有的知覺都最終傳感給大腦，大腦對這種傳感作出一種體驗上的描述，從而形成知覺意識。如果計算機將二進制代碼流表述成腦電波的流信息，并通過神經傳感給大腦，則完全可以描述并引導、控制人的一切思維。簡單地說，人的思維與計算機語言存在了這樣一個通用的接口。這種理論如果得以實現，則虛擬現實技術將進入新的發展領域。這樣，反病毒專家可以運用多年的分析、研究積累的經驗，就能相當精確地防御未知病毒的侵入。

2) 防、殺、恢復結合技術

以前，殺毒軟件的理論基礎是，首先要發現并確認一個病毒，然后，再進行防范，它的缺點是，對未知病毒的防范能力弱，反病毒技術總是存在滯后性。我們已經發現要免除病毒的災難，僅有殺毒是不夠的，因為在電腦世界中，除去泛濫的病毒，系統的漏洞、硬件或軟件的沖突、人為的誤操作、利用特洛伊木馬惡意進攻、電腦本身的不穩定性、黑客襲擊等形形色色的安全威脅不勝枚舉。所以，一個好的軟件，僅僅能殺毒是不夠的，必須把備份與災難恢復相結合起來。于是，未來的反病毒軟件必須要做到突破單一殺毒的局限性，針對用戶經常面臨急需數據搶修、系統恢復等難題，不僅可以殺滅入侵病毒、擊潰來犯黑客、消滅有害數據，還有智能災難恢復、全息數據救援、維護系統正常運行的全面保障信息安全的功能。

我們期望有一種針對惡性病毒發作時可能實施的破壞行為的截獲、阻止裝置，軟件的亦或是硬件的，對所有帶有危險級別的、可能影響系統運行和信息資料安全的操作加以禁止，就像過濾文件中的病毒特征碼一樣，對一個將要執行的操作進行安全性判斷。我們不難預料，這種在線式的以危險行為監控為特征的反病毒技術和產品也一定會出現，實現更高意義上的更加可靠的信息安全。

參考文獻:

[1] 孫剛.計算機病毒及防治策略[J].鐵道機車車輛工人，2005(6).

[2] 劉巧蘭.計算機病毒的危害與防范[J].水利規劃與設計，2004(S2).

[3] 王亞燕，許冰.淺談計算機病毒的防治[J].信息技術，1999(5).

[4] 斯日古楞.計算機病毒的防治[J].內蒙古統計，2001(5).