PersonalCorpus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: 以毒攻毒是一种异想天开
发信站: 哈工大紫丁香 (2001年07月29日18:17:44 星期天), 站内信件

以毒攻毒是一种异想天开
文/江海客
   一个叫VirusMD的美国安全公司CTO Cyrus Peikari博士（生物学），
在拉斯韦加斯的黑客大会上大力宣传了以毒攻毒的思想，就是所谓 “设计
一种反电脑病毒的电脑病毒”，而这种非常荒唐的观点，竟然被某些国内媒
体追捧为美国专家的提出反病毒新思路。
    其实以毒攻毒即不是一种新观点，也并不是一种新实践，早在80年代，
清除Jerusolem等恶性病毒的所谓“好”病毒就多次出现，最近又出现了
可以修补lion蠕虫留下的漏洞的病毒。根据我们的不完全统计，类似目的
的病毒至少出现过大约几十个。
   为什么以毒攻毒，是一种异想天开。
  让我们首先从病毒的数量说起，根据现有的资料，国际上先后流行或
者局部流行过的病毒约45000-50000种左右，那种影响力非常广的病毒（in
the wild），在 wildlist 2001年7月列表上是213个，除了其中的十几
个还是dos病毒外，其余的都是对当前系统，依然具有极大威胁的病毒。
况且，并非只有在wildlist列表中的病毒对用户才有威胁。
   如果让当前国内外流行的反病毒产品处理这些病毒，当然是易如反掌，
但如果让本身就需要非常小的病毒来来处理不要说成千上百种机理各不相
同的流行病毒，就是简单的处理十几个当前最流行病毒也几乎是不可能的。
   当前，能查杀4万种以上的反病毒软件的大小一般是20M左右，去掉了
监控、控制台等程序，反病毒库和反病毒引擎的容量大约在10M 以内，如
果把容量平均到病毒总数上，只有2k左右,似乎很小。但事实上，如果反
病毒软件是采用子程序1对1的方法，反病毒软件的大小恐怕早就突破
100M了。目前反病毒产品都是采用一个通用的扫描引擎，和一个定义比较
合理的检测清除数据库。这样才提高了软件的可靠性，也大大降低了反病
毒软件自身的大小。
同时，反病毒软件所采用的虚拟机、启发式扫描等技术形成的对未知
病毒的检测技术，综合的系统监控对病毒的防御能力、通过控制台调度扫
描行为并自动升级等等，都是非常成熟有效的技术，根本不是以毒攻毒这
种粗糙的方法能够比拟的。
80年代是那种能查某一种病毒的小程序的流行的时代，所谓以毒攻毒
的思想，其实是把反病毒技术退化到1对1的时代。
以毒攻毒的另一个问题其实是更严重的，是传播的不确定性，既然
Peikari是从生物学的天花疫苗获得了启示，那我们就从生物学的角度说
起。因为接种是一种人的意识行为，或者一种主动行为，即使婴儿接受疫
苗，也是监护人许可的行为，是在医疗控制之中的。如果科学家制造出一
种新的微生物，假定这种微生物能预防美国正在大爆发的脑炎，科学家会
像使用细菌武器一样散播这种生物来预防脑炎么？肯定不会，因为离开了
实验室或者工业化的培养基，离开了确定的培养条件、温度，微生物如何
变化，不得而知，会不会由治病变成一种恶性的致病菌，也完全可能。因
此科学家只会用其通过严格监控条件下的工业生产，做成类似青霉素一样
的药品。而绝对不会通过蚊子、跳蚤去传播。
电脑病毒同样是如此，在传播的过程中，同样有很多不确定性，会不
断遭到各种修改，发作条件，发作现象都可以被熟练的程序员的修改。比
如， Anti-cih（一种能够对抗cih病毒的病毒）完全可以被改造成破坏力
被cih还大的病毒。而同时，这种Peikari设想中的疫苗病毒其如果感染
手段越丰富，运行越可靠，对用户影响越小，其传播感染机制和程序就越
会为病毒的编制者感兴趣。这样的结果，最终只是给病毒编制者提供了新
的营养或者参照系而已。只要把我们良性的“Peikari病毒”的检测清除
代码换成cih的破坏代码，那么一个新的恶性病毒Peikari.cih就诞生了。
而Cyrus Peikari居然说：“生产反电脑病毒软件的公司肯定会强烈反
对我的主意，而且他们可能永远不会接受这个主意，因为那样这些公司就
无事可做了。”我不知道这是一种巧妙的自我标榜还是真的很天真，如果
Cyrus Peikari的鼓动真能引起编写反病毒之病毒的热潮，反病毒公司的
业务只会更加繁忙。
让我们看看所谓以毒攻毒技术可能带来的大好局面，譬如Peikari 的
FANS们，可以不要任何杀毒软件，他们所面对的是：
1、当他们感染了病毒A 后，只能等待病毒anti-A传播到他们机器上
的时候，A才能被清除。而且他们必须祈祷传播来的anti-A不是已经被别
有用心的人修改为了另一个恶性病毒B.由于anti-A过了3个月也没有传
播到一些用户的机器上。这些用户的机器被病毒a破坏了。
2、Peikari突然发现出现了一个专门对付ANTI-A的恶性病毒，ANTI
-ANTI-A，因此他只好又写了个病毒anti- anti- anti-A.
3、这时候又有病毒c、d、e、f流行了，Peikari发出警告，想要防
御c、d、e、f的用户，机器需要同时被anti-c、anti-d、anti-e、anti-f
四种病毒感染。
4、不巧，那年病毒大爆发，一下又有10种蠕虫通过邮件传播，于是
Peikari编写了一个能查杀这十个病毒的新病毒ANTI-10VIURS。由于
ANTI-10VIURS需要快速的传播，因此也像一个蠕虫一样通过邮件附件传
播。ANTI-10VIURS的大小是2M，用户邮箱反复被包含ANTI-10VIURS的邮
件占据，都被堆满而无法正常使用。
5、由于病毒越来越多，Peikari最终决定把自己的产品做成一个带有
感染机理的，能通过邮件传播的可以查杀10000种病毒的超级病毒
ANTI-10000VIURS，ANTI-10000VIURS经过优化大小只有10m，那天无论局
域网络的共享目录上还是internet上，都是 ANTI-10000在通过不同手段
发送自己的copy，最后，整个网络瘫痪了，那天被定为Peikari日。
尽管推理的有些夸张，但我想足够使Peikari的fans们清醒。
另外，Peikari同样是免疫法的鼓吹者，所谓免疫就是在引导区或者
程序中加上某种病毒的感染标记。这其实同样是一种早就被否定的方法。
世界上有这样多的病毒，依靠加感染标记的方法，根本是不切实际的。同
时即使是应急来针对某种流行的病毒，这种方式也是不可靠的，老一点的
反病毒工作者是否记得pingpang病毒那条非常典型的指令CMP BYTE PTR
[81FB],00，在病毒中埋下反免疫的特性，当pingpang泛滥，用户无奈的
为程序加上感染标记1357H作为预防时，VXER只变化了一个字节 ，就使
变种的病毒，轻松的感染哪些已经加了感染标记的程序。
避免通过修改用户引导区、用户文件的极端方式保护安全，已经是成
熟反病毒技术基本准则。CPAV因为加壳免疫而名噪一时，但最终还是被兼
并它的公司放弃了。
我想试图误导反病毒技术Peikari还没有这样的能力，无论Dr
somolon还是Kaspersky 都只会对此嗤之以鼻。但必须避免所谓"稳定全
球网络、防止文化崩溃需要电脑病毒"以及"病毒编写者能够挽救世界"
的观点对公众和程序员的误导，不能让程序员认为，为了某种善意的目的
写病毒是合法。我们的程序员们必须知道底线在哪里。病毒不可能不占用
系统资源，不可能不非法取得整个系统或者局部的控制权，不可能不对用
户运行没有任何影响，不可能不给系统带来任何不稳定的隐患。从这个角
度来说，破坏力为零的病毒是不存在的。编写病毒的人可能其实是善良的，
但病毒传播的结果谁也无法保证，特别期望国内的程序员们注意的是，既
然不存在善意病毒，也就不存在正义的病毒。写病毒都是违法的。
VirusMD只是一家做单机FIREWALL、加密产品的小型安全企业，在反
病毒问题上没有什么业绩。Cyrus Peikari的新思路也没有表现出一个安
全公司 CTO应有的技术水准，至少除了一个作为生物学博士的善意联想，
没有提出任何技术上可操作的东西。也许作为在生物学方面，他会是一个
专家。但至少在我的“反病毒专家”的字典里，没有他的名字。

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客      seak@163.net
\-----/               |之天涯看台  seak.163.net
ぺべぺべぺべぺ                             
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 天外飞仙]