| 
|  |
|
病毒特征 病毒的主要作用是影响系统正常运行。 病毒是一种破坏程序,人为所致,可通过互联网、局域网、磁盘等方式入侵或传播。目前全球病毒种类基数170多种,变种超过18万,能对系统起明显破坏作用并被认定的病毒样本数量约有2万。尽管病毒数量不少,但种类有限,基本都是具有“宏病毒”本质的“蠕虫”病毒(以消耗系统资源为目的)和一部分木马病毒(以攻击系统端口使之瘫痪为目的)。有些致命性病毒可直接攻击您的硬件系统比如硬盘、芯片、CMOS等。 如果您的机器变变得越来越慢,十之八九就是蠕虫病毒所致。带有攻击性的病毒往往通过不断发送数据包的形式占用计算机通讯端口,让其它机器不能与您通信。一种doc病毒可改写您的文档或让文档中出现错误符号。最致命的病毒会让您的数据“一夜之间”荡然无存!(CIH) 由于病毒是程序,是人编写的,所以也越来越“人性化”。理论上讲,你能想到的破坏方式都能通过程序实现。病毒的通道太多,防不胜防,系统管理员很难通过人力去应付,并且病毒会经常让系统“宕”掉或以令人“忍无可忍”的速度运行。所以,在系统安全上,反病毒往往是首先要部署的产品。 反病毒产品大观 目前市场上反病毒产品种类繁多。国内著名的有:江民(KVW)、瑞星(RISUN)、冠群金辰(KILL)、金山毒霸(DUBA)、北信源(VRV)、豫能(AV)、上海源创(安全之星)等。国际或地区级反病毒产品有:麦咖啡(Mcafee)、冠群(ETRUST)、赛门铁克(SYMANTEC)、诺顿(NORTUN)、趋势(TREND)、熊猫卫士(PANDA)、卡巴斯基(KASPERSKY)等。 反病毒产品重要技术指标 了解产品的重要指标对用户帮助很大,这些指标有: 1、权威机构认证——来自国际的权威机构认证是产品质量的重要保证,原则上认证机构越多越好,说明该产品已经受不同环境和要求的检验。 2、病毒样本特征库是否健全——病毒特征库要“全”并要“优化”,否则会因不全而漏掉重要危害性病毒,会因未优化造成病毒库膨胀而影响查杀速度。 3、内核技术与无缝连接——内核技术不过关则势必占用过多的系统资源使杀毒软件成为系统运行的负担。无缝连接不过关则会与您的应用软件冲突,不能正常使用。好的杀毒软件在系统中应该是“安静”的和“流畅”的。 4、实时监控与交叉扫描——无实时监控则病毒入侵后不能报警和防范;但一扫描会造成病毒漏网。 5、策略、规则、网管——科学的策略及量化的规则能使反病毒软件根据用户当前需要进行针对性处理。 6、“智能陷阱”主动查杀——该功能会使反病毒系统从被动型转为主动型,可预防未记录在案的新病毒对系统的破坏。 7、处理应急事件能力——如果有高危病毒入侵系统,须有应急处理能力以保证网络主体的安全,即本地服务机构的快速响应和处理能力。 8、升级、服务与支持——病毒特征库实时在线升级、服务响应时间、技术支持力度及解决问题的效率等都是考核系统是否合格的重要指标。 反病毒产品挑选原则 基本原则:反病毒产品本身须具备可靠性和安全性。 市场上能够买到的反病毒产品很多,我们如何选择? 权威机构认证—— 反病毒软件的优劣并不取决于厂家的广告宣传,而是需要通过权威机构的认证,以权威机构本身的名誉担保产品的质量。在选择反病毒软件时,不仅仅要看它们是否持有我国公安部颁发的计算机安全产品销售许可证,也一定要考查它们是否通过国际安全权威机构(如ICSA和Checkmark)和计算机产品主流软硬件平台生产厂商(如Microsoft和Intel)的多方认证。由于国际安全权威机构具有世界上最全面的计算机病毒样本库,反病毒产品如果通过这些机构的认证,则说明其查杀病毒的能力是可信的;而通过权威软硬件平台的测试认证,则说明该产品与这些软硬件平台不存在任何兼容问题,并且不会影响软硬件平台的运行效率。当然,在此基础上,打探一下反病毒软件在用户中的口碑如何,对我们的选购也是一个比较有用的参考。 稳定性与兼容性—— 其次,反病毒软件可靠性、兼容性与它的反病毒效果同样重要。我们不能光注意宣传的杀毒数量和种类的多少,也要注意它们的可靠性、兼容性。试想一下,一个杀毒数量和种类都很多的软件经常与机器中其它软件发生冲突,导致死机现象频繁发生,这样的软件对您又有什么用呢?实际上这一条是对平台测试认证的一个补充,考察的重点是在与其它软件同用时可靠性和兼容性。 实时监控能力—— 实时监控是一种主动防范措施。如果我们还停留在使用静态反病毒产品阶段,最终的结果必然是被动挨打、防不胜防。当代计算机病毒最明显的一个特点,就是已经能够将病毒的作用机理与操作系统底层技术紧密结合起来。比如CIH病毒使用了Windows 95/98特有的VxD技术,它仅仅感染Windows 95/98系统,但对DOS及Windows NT系统则没有任何影响。这种能够与操作系统紧密结合的病毒针对特定系统,不但传播隐蔽,而且速度很快,令使用传统反病毒手段的用户很难及时发现。使用带有实时监控功能的反病毒软件,就可以为计算机构筑起一道动态、实时的反病毒防线,拒病毒于计算机系统之外。 解压缩能力—— 反病毒软件对压缩文件检测能力的强弱和支持压缩文件格式的多少,可以成为我们选购的一个重要依据。Internet和分布式计算的日益普及,使数据交换摆脱了传统物理介质(如软盘等)的束缚。一般从Internet下载的共享软件都是压缩文件包,Internet——特别是在Internet上转输的压缩文件所携带的病毒,正在对我们的计算机系统构成严重的威胁,压缩文件已逐渐成为了计算机病毒传播的温床。因此反病毒软件具有压缩文件反病毒检测能力是非常必要的。同时我们也应看到Internet上流行的文件压缩标准有很多种,相互之间并不兼容。所以我们在选择具有压缩文件反病毒检测能力的产品时,一定要搞清楚它们是不是能够适用于所有流行、通用的压缩格式,否则相当于给我们的反病毒工作留下了一个死角。例如有些反病毒产品能够检测扩展名为ZIP之类的压缩文件,但不支持用户自定义的扩展名和诸如微软CAB这样软件生产商专用的压缩格式,这样的软件我们当然不能选购。 专用技术能力—— 在技术方面,反病毒软件除了要有实时监控功能和压缩文件反病毒检测功能外,还应具有如下一些技术:内存解毒技术、查解变体代码机和病毒制造机技术、虚拟机技术、未知病毒预测、实时解毒、病毒源跟踪、应急恢复、Vxd和VDD技术、查解Trojan、查解Java病毒、查解宏病毒、多平台支持、网络反病毒-……这些都是判断一个反病毒软件好坏的重要标志!同时也是判断一个反病毒软件技术是否先进的一个标志。作为普通用户您可能不知道这些,但您可通过各厂商的宣传资料比较而知,再有从其他用户和报刊媒体(如电脑报)中也能得知这些。 另外,反病毒软件的防病毒、检测病毒和消除病毒的能力是首要的。在此基础上,作为反病毒软件它的误报率不能太高,查毒速度应该较快。应急恢复功能是一个优秀的反病毒软件所必须具有的功能,它创建的急救盘必须包括本机的DOS/WINDOWS启动文件,能够正确备份和恢复主引导记录和引导扇区,以便在系统受病毒侵犯而崩溃时进行恢复。版本智能升级功能同样很重要,在公安部的检测中它也占有一席之地。另外一个好的反病毒软件应有良好的用户界面和全面的在线帮助手册以及翔实的病毒资料,以方便使用和管理。反毒软件的安装和卸载均应以向导形式进行,并应提供多种选择,这样可以方便用户同时使用两种以上的软件,在某些功能上根据各软件的特点加以取舍,这虽然不是一定要有的,但通过它可以看到一个反病毒软件在微小细节上做得怎样。 技术服务能力—— 服务质量也是考察重点。由于病毒的产生日新月异,每天都有新病毒产生,因此要求反病毒软件厂家提供及时、快捷、简便的升级服务。同时由于反病毒软件将在不同的计算机环境下被不同熟练程度的用户使用,这就要求反病毒软件厂家为不同用户提供不同的服务,诸如解答用户在安装、卸载、使用反病毒软件过程中遇到的问题以及对用户计算机异常现象的处理等。最后,反病毒软件升级速度的快慢也是我们要考察的重点,它显示了厂家对新病毒反应速度的快慢和对用户服务的及时性。如同医院一样,反病毒软件厂家应为用户提供有关病毒防治的全天候服务,并且要求及时、准确。当然,服务态度的好坏也是靠察的重点。 抓住重点,解决主要问题: 有病毒感染系统时不要惊慌,不要随便胡抓一个反病毒软件使用。最好先和我们的系统安全工程师联系(电话:5833182),说明情况,获得帮助。在上反病毒系统时也要根据自己的实际情况和需求,我们建议:20台机器组成的小网络可不必急着上网络版反病毒系统,上单机版系统即可,这样维护工作量不大,还能省钱。 在一个机器上不要使用两个以上的防病毒软件,这样做会增加系统维护的工作量并且还会使系统的稳定性和安全性变差。 病毒并不可怕,无须夸大其作用和危害,只要你能保持警惕,做好基础工作,与服务商保持紧密联系。尽管在“战略上”我们要藐视敌人,但在“战术上”,我们要重视敌人!反病毒方案的设计和部署是有技巧的。对系统来说应该做到:比较特征,明确对象,防范高危,减少损耗。 病毒种类大观 对常见病毒做扼要归类分析并提供简捷处理办法: 病毒分类法有很多,有按破坏强度分类的,也有按病毒机理或感染对象分类的,目前尚未统一。以下分类是按病毒行为特性进行的,可供参考: 又称米开朗基罗病毒。藏匿在盘片或硬盘的第一个扇区,具有潜伏期不易察觉。因为DOS的架构设计有“中断请求” (Interrupt) , 使得病毒可以在开机时操作系统尚未加载之前被注入加载到内存中,从而完全控制系统并有很大的传染与破坏性。 处理办法: 关机用反病毒软件对启动盘进行(自动)扫描或查杀。 通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成常驻型以及非常驻型两种 : (1) 常驻型病毒(Memory Resident Virus) : 常驻型病毒“常驻”在内存中,寄生在如Interrupts功能中,只要执行文件被执行, 它就对其感染, 效果显著,往往对磁盘造成很大的伤害。 处理方法:冷开机。 (2) 非常驻型病毒(Non-memory Resident Virus) : 非常驻型病毒将自己寄生在 *.COM, *.EXE, *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。 兼具开机型病毒以及文件型病毒的特性,可以传染 *.COM, *.EXE 文件,也可以传染磁盘的引导系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,破坏程度很强! 处理办法: 用反病毒软件查杀。 又称“中断截取者”(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。 处理办法: 用反病毒软件查杀。 千面人病毒 (Polymorphic/Mutation Virus)可怕的地方在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说是一个考验。有些高级的“千面人”几乎无法找到相同的病毒码。 处理办法: 用反病毒软件查杀。 宏病毒 (又称台湾1号Taiwan NO.1):主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。 处理办法: 用反病毒软件查杀。 特洛依木马和蠕虫之间有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。 " Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力。 处理办法: 用反病毒软件查杀。 走后门、发黑色信件、瘫痪网络。 处理办法: 用反病毒软件查杀。 反病毒技术发展趋势 重点:变被动为主动。 下一篇 上一篇 回到栏目 回到主页 |