Virus 版 (精华区)

发信人: SwordLea (飞刀李), 信区: Virus
标  题: 从技术的角度谈病毒防治 ZZ
发信站: 哈工大紫丁香 (Wed Jul 21 17:34:12 2004), 转信

从技术的角度谈病毒防治

病毒的防治技术总是在与病毒的较量中得到发展的。总的来讲，计算机病毒的防治技术分成四个方面，即检测、清除、免疫和防御。除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展。

1.病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏，实际上它是一种特征判定技术，也可能是一种行为规则的判定技术。也就是说，计算机病毒的预防是根据病毒程序的特征对病毒进行分类处理，而后在程序运行中凡有类似的特征点出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。

计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。计算机病毒的预防应该包括两个部分：对已知病毒的预防和对未来病毒的预防。目前，对已知病毒预防可以采用特征判定技术或静态判定技术，对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。

2.病毒检测技术
计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在。

计算机病毒的检测技术已从早期的人工观察发展到自动检测某一类病毒，今天又发展到能自动对多个驱动器、上千种病毒自动扫描检测。目前，有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能够检查隐藏在磁盘文件和引导扇区内的病毒，还能检测内存中驻留的计算机病毒。

3.病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果，是病毒传染程序的一种逆过程。从原理上讲，只要病毒不进行破坏性的覆盖式写盘操作，病毒就可以被清除出计算机系统。安全、稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。

计算机病毒的消除严格地讲是计算机病毒检测的延伸，病毒消除是在检测发现特定的计算机病毒基础上，根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。

4.病毒免疫技术
计算机病毒的免疫技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了，而目前尚没有出现通用的能对各种病毒都有免疫作用的技术，也许根本就不存在这样一种技术。现在，某些反病毒程序使用给可执行程序增加保护性外壳的方法，能在一定程度上起保护作用。若在增加保护性外壳前该文件已经被某种尚无法由检测程序识别的病毒感染，则此时作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。等检测程序更新了版本，能够识别该病毒时又因为保护程序外壳的“护驾”，而不能检查出该病毒。另外，某些如DIR 2类的病毒仍能突破这种保护性外壳的免疫作用。

摘自陈立新《计算机病毒防治百事通》 清华大学出版社

--
    I came, I saw, I conquered ! — Caesar


※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.246.241]