2004年是计算机病毒疫情不断,反病毒技术提供商大显身手的一年。一方面是病毒大面积的爆发,给全球互联网带来了灾难,另一方面,反病毒技术也在病毒的帮助下得到了相当大发展,未知病毒扫描技术逐渐成熟,立体防毒体系的提出,全网安全的概念盛行都离不开病毒、木马、恶意攻击的大力帮助。本文就是对这一年来病毒和反病毒技术发展谈一下个人看法,仅供参考。
一、目的性、网络性是现代病毒的特征
2004年,目的性、网络性将成为病毒编写的主要特点。截止2004年中国上网用户已达8500万,这么大的上网群体将会吸引更多的病毒作者放弃传统的病毒编写模式,转而编写具有网络特性的病毒,这种情况会使明年的网络病毒大量增加。
网络的发展会使网站浏览、邮件、即时通讯、电子商务、网上银行等与网络有关的服务得到全面的发展,人们将会更加频繁地使用网络,更加依赖网络,这些情况会使带有目的性的病毒大量增加。象今年的小邮差病毒,从第9个变种以后,病毒就已经不再象以前的变种那样攻击某些网站了,而是伪装成信用卡信息填写栏来骗取用户的信用卡信息,已经具有很强的目的性了。因此在2004年,带有强烈性目的性、网络性的病毒成为病毒的主流。
二、补丁策略是病毒防范的有机组成
从2003年至2004年两年病毒与反病毒技术的较量过程中可以看出,病毒编写者往往是有针对性利用某一个漏洞进行攻击,攻击技巧大同小异。只是由于漏洞层出不穷,病毒也挥之不去。以“冲击波”,"震荡波"病毒为例,如果用户不进行系统补丁的安装,病毒就会乘虚而入。因此,未来的反病毒事业需要和漏洞防治紧密的结合在一起,每一个反病毒公司要做到未知病毒的预防,首先要抢在病毒编写者前面,发现系统漏洞,并根据系统漏洞的特点进行相应的预防和处理。
三、防范未知病毒技术期待突破
对于未知病毒的检测研究一直是多数反病毒厂商未曾放弃的,在主流的反病毒产品中都包含了相应的检测未知病毒的机制。
检测未知病毒将面对很多问题,首先,这个机制必须是智能的,而不能把大量合法的应用程序误报成病毒给用户带来不便。目前,对未知病毒的检测的最大的挑战是WIN32文件型病毒(PE病毒)和特洛伊木马。由于其内核不公开,导致许多漏洞除了微软自己知道外,不能被广大用户主动发现和知晓,只能依靠运气和概率去发现。这给反病毒造成了困难远远大于给病毒编写造成的困难。反病毒技术只能跟在病毒后面去亡羊补牢。另外,Win32程序的虚拟运行机制要比在一个DOS环境复杂很多,涉及到虚拟内存资源的API调用和很多系统资源进程调度,而很多特洛伊木马程序,都善打擦边球,反病毒程序很难用传统行为分析的方法去区别其和一些正常网络服务程序的区别,因为从技术的角度讲,这些木马程序的运行机制和正常的网络服务完全一样,区别的只是目的。
未知杀毒是对未知病毒进行有效识别与清除的技术。该技术的核心是以软件的形式虚拟一个硬件的CPU,然后将可疑文件放入这个虚拟的CPU进行解释执行,在执行的过程中对该可疑文件进行病毒的分析、判定。每个反病毒公司都在进行这种理论的研究工作,虽然取得了一些进展,但还未完全进入实用阶段。虚拟机机制在智能性和执行效率上都存在很多难题需要克服,在今后几年内,该技术将会有一个突破性的发展,完全进入实用阶段。
四、反病毒体系趋向于立体化
从以往传统的单机版杀毒,到网络版杀毒,在到全网安全概念的提出,反病毒技术已经由孤岛战略延伸出立体化架构。瑞星研发部副总经理马杰在近日的瑞星产品发布会中谈到过去防毒是警察抓小偷,零零散散;现在防毒是正规军进行剿匪,立体作战!用瑞星自己的解释就是新近推出的防毒墙!这种将传统意义的防病毒战线从单机延伸到网络接入的边缘设备,从软件扩展成硬件。从防火墙,IDS,到接入交换机,从软件到硬件的转变从计算机安全发展的角度讲,这是在长期病毒和反病毒技术较量中的新探索,也是计算机安全界在病毒网络化后的必然趋势。可谓以彼之道,还彼之身!
这种立体化的基本趋势有如下特点:
1 是对公司网络资源(如mail服务器)提供全面的保护。
2 提供域用户登陆的自动查毒探头安装,拉或者推的方式的升级并提供统一的控制中心对全部查毒探头进行管理,进行。
3 提供专门的隔离服务器。
4 提供独立设备的反病毒网关。
总结
计算机病毒是一段程序的运行,网络攻击也是一种网络服务,新的计算机技术,网络服务带来新便利的同时往往就是新型病毒和网络攻击横行的前奏。现行的计算机体系决定着病毒和恶意攻击本身具有"不可判定性",网络攻击和病毒从技术上讲是不可灭绝的,但也是可以防治的。
