|
||
|
||
| 自80年代末90年初反病毒产品市场初步形成以来,反病毒技术在我国已经走过了近十年的发展历程。病毒与反病毒技术不断发展、变化、斗争,推动着反病毒技术不断地向前发展。 计算机病毒往往从“底层”侵入、破坏计算机系统。所谓“底层”,指的是病毒直接利用操作系统控制系统资源,有时甚至直接越过操作系统强行控制计算机系统硬件资源。计算机病毒这一特点,决定了反病毒技术对操作系统具有很强的依赖关系。例如,普通PC机上使用的反病毒工具,有可能被重新编译成UNIX版本并在UNIX操作系统下运行,但它无法防治专门攻击UNIX操作系统的病毒。 即使同是基于PC机,面向不同操作系统的反病毒技术也有很大不同。就目前而言,PC机流行的操作系统不外乎就是两种:DOS或Windows95/98/NT,反病毒技术也就相应划分为两大阵营:DOS版或Windows版反病毒技术。 所谓“DO5版反病毒软件”,是指基于DOS界面的单机版反病毒软件,有时也被称为“静态”反病毒软件;而“Windows版反病毒软件”,则多指工作在windows95/98/NT环境下,具有真正的32位内核, 能够以多任务、多线程方式实时完成病毒检测、清除功能的反病毒软件,相对于“静态”而言,它们所使用的反病毒技术有时也被称为“动态”或“实时”反病毒技术。 传统DOS反病毒软件能够在Windows下运行,这是因为它们要么是打开了一个DOS窗口,要么是使用了Windows界面,而且它们能够在Windows下对硬盘进行查、杀毒处理。其实这是Windows为它们专门开辟了一个“实模式窗口”,而且这些“运行”在windows环境中的反病毒软件,并不具备在Windows环境下真正发挥反病毒功能。 但DOS版反病毒产品的16位文件分配表与Windows的32位文件分配表不兼容,16位FAT的DOS版反病毒软盘启动系统后不识别32位FAT的硬盘,因此16位FAT的DOS版反病毒产品无法在32位FAT的Windows环境下工作。 为预防病毒,人们希望采用“内存驻留”(TSR)程序的技术方案实现DOS环境下的实时反病毒技术。但因为 TSR本身需要使用很多未公开的DOS内部变量,其自身兼容性无法得到很好保证, 因此在其上实现实时反病毒技术几乎没有一点希望。即使这种TSR技术解决了与DOS的兼容性问题,但它能否与Windows兼容还难以预料, 而且即使解决了与Windows的兼容性问题,它也很难在Windows下发挥其预防病毒功能。 Windows版反病毒产品利用Windows95/NT多任务机制,随时在后台监控着系统关键性数据的完整性, 时刻保证系统不被病毒侵害,实现实时化反病毒。这种监控过程本身并不需要用户干预,对用户来说,一切操作都是透明的。 传统静态的DOS版反病毒技术,其病毒防治效果与用户对病毒的认识程度有着直接的联系。然而, 用户无法随时判断系统是否已经被病毒感染,除非病毒发作或已造成破坏。可见,DOS版反病毒技术具有很大的脆弱性。 用户使用DOS版反病毒技术来认证系统是否已被病毒感染,唯一的办法就是在每次开机时, 都用反病毒工具对系统进行一次全面防病毒扫描;每次使用软盘之前都对软盘进行一次防病毒检查。这种办法对于基于 DOS操作系统的老式机器可能还可以忍受(比如,只有40M的硬盘空间,总共不超过上百个文件需要扫描),新型计算机系统的硬盘达几百兆、几个G,文件(特别是电子文档)数量更是数以千计,完成7次扫描工作,往往需要花上好几分钟时间。 这对用户来说往往是无法忍受的。可以说,传统基于DOS的“静态”反病毒工具,正在逐步失去其固有的“可用性”而逐渐为用户所摒弃。 传统的查杀病毒的方法主要是手动或定时查杀,对于今天日益广泛、元孔不入、随时随地威胁着数据安全的计算机病毒的防范无疑是力不从心。随着互连网的飞速发展和计算机的日益普及,人们越来越多地接触到计算机病毒,在进行一般计算机操作时都会感染计算机病毒。例如我们进行文件拷贝、下载、传递、运行等操作时,甚至仅将光盘放人驱动器中而未做任何操作(许多光盘都带有自动执行功能:autorun)都有可能被计算机病毒所感染。 传统的查杀病毒方式不能满足对病毒随时随地、每时每刻地进行查杀的要求。1999年4月26日CIH病毒大规模爆发的时候,许多受害者的手里都有杀毒软件,但却没有防住恶性病毒的破坏,正是传统杀毒软件杀毒方法的局限性所致。 Windows版的反病毒产品的实时反病毒技术能够用于计算机系统工作整个过程中,随时防止病毒从外界 (可移动介质或网络)侵入系统,全面提高了计算机系统整体的防护水平,同时也免去了用户每次开机必须完成的“病毒扫描”之繁琐。 病毒实时监控程序可做到常备不懈、随时杀毒。当您在进行计算机操作时,无论是拷贝文件、打开文件、浏览文件还是接收电子邮件、网上下载文件、执行应用程序等等,只要有病毒出现,“防火墙”马上会提出警告,同时将病毒拒之门外。实时监控程序处于随时工作的状态,因此它能做到自动地对病毒进行每时每刻的监控,避免了人为的疏忽或没有及时查杀而导致的病毒破坏。实时监控功能的使用能极好地防范病毒的入侵,确保计算机高效正常地运行。 随着Windows操作系统逐步取代DOS操作系统,成为绝大多数用户的操作平台,反病毒产品也必将是 Windows版反病毒产品取代DOS版反病毒产品。这是发展趋势,但并不是说DOS版反病毒产品己元存在的价值。首先对于那些至今仍只使用DOS的用户就需要DOS版反病毒产品,因为Windows版反病毒产品是无法在DOS下工作的。其次,由于现在的Windows版反病毒产品是在Windows基础上工作的,它只有在Windows启动后才运行, 无法对Windows自身所必须的程序以及在反病毒产品运行前加载的其他程序进行反病毒处理,如果这些程序染毒,破坏系统,使Windows不能启动, 那么系统就无法使用Windows环境下的反病毒产品,只能求助于DOS反病毒产品。最后,除非将来微软彻底摒弃DOS, 那么DOS版反病毒产品就彻底没有生存空间,但是,目前微软还是同时提供两种操作平台,因此, 反病毒产品在提供具有实时反病毒功能的Windows版反病毒产品的同时仍提供DOS版反病毒产品。这一来解决了传统 DOS用户的反病毒需求,二来也是向用户提供了~条向Windows完成最终过渡的可靠途径。 当代计算机病毒最明显的一个特点,就是已经能够将病毒的作用机理与操作系统底层技术紧密结合起来,比如CIH病毒就使用了Windows 95/98特有的VxD技术。这种能够与操作系统紧密结合的病毒针对特定系统,不但传播隐蔽而且速度很快,令使用传统反病毒手段的用户很难及时发现。如何帮助用户迅速发现这些病毒并将它们杀除?如何结合操作系统本身彻底防治这类病毒?这是当代反病毒技术所面临的重大挑战。然而众所周知,就操作系统本身而言是不具备反病毒功能的-无论是DOS还是Windows 95/98,乃至Windows NT和UNIX均是如此。通常使用的反病毒产品都是建立在操作系统应用层上的应用程序。这就给防治当代新型计算机病毒带来了很大的麻烦。 (责任编辑:郁单曰) |
||
| :查看相关: | ||