实时反病毒技术的应用
来源:IT电脑顾问专家网 时间:2002-08-13 13:08:00
早在80年代未,就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的原因,用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面,当时国内就有人提出:为防治计算机病毒,可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中, 以避免病毒对这些文件的感染。这可算是实时化反病毒概念的雏形。
虽然固化操作系统的设想对防病毒来说并不可行,但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡插在系统主板上,实时监控系统的运行,对类似病毒的行为及时提出警告。这些产品一经推出,其实时性和对未知病毒的预报功能便大受被病毒弄得焦头烂额的用户的欢迎,一时间,实时防病毒概念在国内大为风行。据业内人士估计,当时全国各种防病毒卡多达百余种,远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑,还将防病毒卡的实时反病毒模式转化为DOSTSR的形式,井以应用软件的方式加以实现,同样也取得了较不错的效果。
为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时?从表面上来看,是因为当时静态杀毒技术发展还不够快,而且售后服务与升级一时半会也都跟不上用户的需要,从而为防病毒卡提供了一个发展的契机。但究其最根本的原因,
还是因为以防病毒卡为代表的产品技术,较好地体现了实时化反病毒的思想。
如果单纯从应用角度考虑,用户对病毒存在情况是一无所知的。用户判断是否被病毒感染,唯一可行的办法就是用反病毒产品对系统或数据进行检查,而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要他们干预就能够自动完成反病毒过程的技术,而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防病毒软件当时能够大受用户欢迎的根本原因。
实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约,一方面是因为它需要占用一部分系统资源而降低系统性能,使用户感到不堪忍受;另一方面是因为它与其他软件(特别是操作系统)的兼容性问题始终没有得到很好的解决。
近两年来,随着硬件处理速度的不断提高,实时化反病毒技术所造成的系统负荷已经降低到了可被我们忽略的程度,而Windows95/98和NT等多任务、多线程操作系统,又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始,实时反病毒技术又重整旗鼓,卷土重来。表面看来这也许是某些反病毒产品争取市场的重要举措,但通过深入分析不难看出:重提实时反病毒技术是信息技术发展的必然结果。
为什么在Windows环境下需要使用实时反病毒技术?这是由Windows的多任务特性决定的。对于同时运行多个任务的情况,传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能,因为它无法控制其他任务所使用的资源。只有在较高优先级上,对系统资源进行全面、实时的监控,才有可能解决Windows多任务环境下的反病毒问题。
有的用户可能会问:是否可以使用防病毒卡或传统的常驻内存(TSR)技术来实现这种实时化的反病毒功能? 答案是“不行”。由于防病毒卡存在与系统不兼容、只预防不杀毒、安装不便、误报警等原因,已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化,但它们却普遍存在兼容性方面的问题。即使我们抛开兼容性不谈,假定这种TSR能够很好地工作在Windows环境下,又将发生什么?我们将看到Windows 仍将它作为实模式窗口(有时又被称为DOS虚拟机)打开,这种实模式窗口所能访问到的资源是固定的,是由Windows分配的。出于安全性考虑,Windows不允许这个TSR访问不属于它的资源(特别是系统关键数据)。如果此时系统遭受病毒入侵(比如病毒企图改写硬盘主引导扇区),将会发生什么情况?一般情况下,TSR检测不到这种病毒行为, 即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为,但由于系统认为所涉及的资源与该TSR所属于的实模式窗口无关而产生了操作冲突,这种情况下,TSR非但杀不了病毒,还很有可能造成系统被挂起或系统崩溃。
实时反病毒概念最根本的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。用户的“未知性”其实是计算机反病毒技术发展至今一直没有得到很好解决的问题之一。值得一提的是,到现在还总是会听到有人说:“有病毒?用杀毒软件杀就行了。”问题出在这个“有”字上,用户判断有无病毒的标准是什么?实际上等到用户感觉到系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。
实时监测是先前性的,而不是滞后性的。任何程序在调用之前都被先过滤一遍。一有病毒侵入,它就报警,并自动杀毒,将病毒拒之门外,做到防患于未然。这和等病毒侵人后甚至破坏以后再去杀绝对不一样,其安全性更高。互联网是大趋势,它本身就是实时的、动态的,网络已经成为病毒传播的最佳途径,迫切需要具有实时性的反病毒软件。
实时反病毒技术能够始终作用于计算机系统之中,监控访问系统资源的一切操作,并能够对其中可能含有的病毒代码进行清除,这也正与“及早发现、及早根治”的医学上早期治疗方针不谋而合了。
病毒防火墙的概念正是为真正实现实时反病毒概念的优点而提出来的。病毒防火墙其实是从近几年颇为流行的信息安全防火墙中延伸出来的一种新概念,其宗旨就是对系统实施实时监控,对流入、流出系统的数据中可能含有的病毒代码进行过滤。这一点正好体现了实时防病毒概念的精髓—解决了用户对病毒的“未知性”问题。
与传统防杀毒模式相比,“病毒防火墙”有着明显的优越性。首先,它对病毒的过滤有着良好的实时性,也就是说病毒一旦入侵系统或从系统向其他资源感染时,它就会自动将其检测到并加以清除,这就最大可能地避免了病毒对资源的破坏。其次,“病毒防火墙”能有效地阻止病毒从网络向本地计算机系统的入侵。而这一点恰恰是传统杀毒工具难以实现的,因为它们顶多能静态清除网络驱动器上已被感染文件中的病毒,对病毒在网络上的实时传播却根本无能为力,但“实时过滤性”技术就使杀除网络病毒成了“病毒防火墙”的拿手好戏。再者,“病毒防火墙”的“双向过滤”功能保证了本地系统不会向远程(网络)资源传播病毒。这一优点在使用电子邮件时体现得最为明显,因为它能在用户发出邮件前自动将其中可能含有的病毒全都过滤掉,确保不会对他人造成无意的损害。最后,“病毒防火墙”还具有操作更简便、更透明的好处。有了它自动、实时的保护,用户再也无需隔三差五就得停下正常工作而去费时费力地查毒、杀毒了。