Virus 版 (精华区)

发信人: VIP (星辰大海), 信区: Virus
标  题: KILL反病毒专题--主动内核技术
发信站: 哈工大紫丁香 (Tue Jan  4 12:58:24 2000), 转信

   KILL98采用的主动内核（ActiveK）技术简介

　
 
  一、技术背景  
  

   纵观反病毒技术发展，从防病毒卡到自升级的软件反病毒产品，再到动态、实
时的反病毒技术，所经营的从来都是被动式防御理念。这种理念最大的缺点在
于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用
软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防
治病毒。这种做法就给计算机系统的安全性、可靠性造成了很大的影响。

   能在操作系统和网络的内核中加入反病毒功能，嵌入操作系统和网络系统底
层，使反病毒成为系统本身的底层模块，而不是一个系统外部的应用软件，实
现各种反毒模块与操作系统和网络无缝连接的反病毒技术，一直是反病毒厂家
追求的目标。

   作为全球第二大软件企业的CA公司以及冠群金辰借助于和全球各大系统厂商
的底层合作关系和独特的反毒技术，推出了独有的、史无前例的主动内核
（ActiveK）技术。这项技术的采用，对计算机反病毒产业，乃至整个计算机安
全领域，都是一场革命。主动内核技术ActiveK是CA和冠群金辰公司向全球计算
机用户提供的新一代全面安全解决方案。


 
 
  二、ActiveK 的技术细节  
  

   ActiveK，全称Active Kernel，是CA拥有的专门技术。

   ActiveK（主动内核）技术的要点在于它采用了与“主动反应装甲”同样的概
念，能够在病毒突破计算机系统软、硬件的瞬间发生作用棗这种作用一方面不
会伤及计算机系统本身，另一方面却对企图入侵系统的病毒具有彻底拦截并杀
除的作用。以往的反病毒技术，甚至连“被动反应”都称不上，因为它们本身
不具备防护能力，当病毒入侵系统时根本不会产生反应。实时化的反病毒技
术，可以被称为“主动反应”技术，因为这时反病毒技术能够在用户不关心的
情况下，自动将病毒拦截在系统之外。

   ActiveK 通俗的说法，是指从操作系统内核这一深度，给操作系统和网络系统
本身打了一个补丁，而且是一个“主动”的补丁，这个补丁将从安全的角度对
系统或网络进行管理和检查，对系统的漏洞进行修补；任何文件在进入系统之
前，作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。主
动内核主要突出的特点是：

   ActiveK 有力地保障了操作系统的安全。当代病毒技术的发展，已使病毒能够
很紧密地嵌入到操作系统的深层，甚至是内核之中，这种深层次的嵌入给彻底
杀除病毒造成了极大的困难，以往的反病毒技术无法保证在病毒被杀除时不破
坏操作系统本身，CIH病毒就是一例，甚至对CIH不可靠的杀除会破坏Windows的
VxD机制，因此，全面的反病毒解决方案必需从系统低层做起。

   ActiveK 不是任何厂商都有能力实现的 。事实上， Active K 的基础是 CA 的
Unicenter TNG无缝连接技术。这种技术可以保证反毒模块从底层内核与各种操
作系统、网络、硬件、应用环境密切协调，确保了ActiveK在发生病毒入侵反应
时，不会伤及到操作系统内核，同时确保杀灭来犯的病毒。使用无缝连接技术
的ActiveK是保障内核安全性的最根本技术。

   ActiveK 本身体现出的是一种团队开发的精神，与微软和网络系统厂家内核的
完美结合，充分表现出CA与世界领先企业的密切合作关系和对操作系统、网络
系统底层技术的深入了解。

   ActiveK 最杰出的特点是对网络的管理能力。对各种网络，它都可以自动地探
测网络的每一个计算机是否都安装了主动内核，是否都已经升级到了最新的版
本，如果有一个计算机没有做到，主动内核就可以对这个计算机进行安装或升
级，使得全网络没有一个漏洞，即使用户是一个全球性的远程大型异构网络，
ActiveK也能轻易地实现。没有这项技术要实现全网络的可靠反病毒，是非常困
难的。

   ActiveK 是建立在它之上 CA 所有反病毒解决方案的出发点。事实上，仅当使用
ActiveK技术，反病毒产品才有可能对病毒进行从内存、存储设备到压缩文件等
所有方面的全面、细致而精确的定位棗这是杀除病毒的根本前提。

   ActiveK 从根本上解决了用户对病毒的未知性。用户所使用的计算机系统处于
主动内核保护之下，任何病毒的入侵都会被主动反应内核拒之门外，防患于未
然之中。而用户平时使用计算机时感觉不到反病毒主动内核的存在，对用户完
全透明。


 
 
  三、ActiveK 在不同环境中的应用  
  

   对应单机环境和企业异构网络环境，ActiveK分别派生出两项技术，它们分别
是：单机环境下的Win-FIX技术和网络环境下的Net-FIX技术。

   这两项技术的前缀为Win和Net自然指的是Windows 95/98应用环境和各种网络
应用环境。值得注意的是，Win和Net前缀的重要性在于，充分体现出冠群金辰
公司与微软以及全球众多网络供应商密切的合作关系。

   FIX作为一个独立的英语单词，本身有很多含义：一方面能够体现出ActiveK给
系统打了一个反病毒安全补丁的理念；第二方面体现出 ActiveK 的实时治愈技
术；第三方面还强调了ActiveK对被破坏的操作系统内核的安全修复功能。

    将FIX拆开分析，则F本身的意义在于对各种企图入侵系统的病毒的实时“过
滤”功能；I的意义在于“智能化”；X指的是使用ActiveK技术的用户对病毒不
用关心任何细节，只要将它们作为一个未知数“X”即可，都交给FIX治愈就行
了。


 
 
四、ActiveK和Win-FIX、Net-FIX的重要意义  
  

   ActiveK技术以及相应FIX技术的提出，对全世界反病毒业的发展都具有特别深
远的影响意义：

   首先，ActiveK 将被动、消级防御转化为主动、积极的防治，从根本上突破了
传统反病毒技术的发展模式，解决了用户对病毒的未知性给反病毒产品带来的
负面效应，以及病毒通过各种可能的途径（特别是Internet网）的传播问题。

   其次， ActiveK 将反病毒战线建立在内核基础之上，使用智能分析与过滤的方
法，对任何网络所有部位的内存、存储设备等一切用户可利用的计算机资源中
的病毒进行全面而准确的实时定位。这是传统反病毒技术无法实现的。


 
 
  五、ActiveK如何加强KILL98与用户的亲和力  
  

   由于建立在用户对病毒未知性基础上，传统反病毒技术都需要用户对病毒加以
经常性的关注，经常启动反病毒程序查杀，从这点上来看，传统实时反病毒技
术只不过是将这种用户经常性的工作以一种实时化、自动化的方式加以了实
现。在这种非透明、必需用户加以干预的情况下，反病毒解决方案存在很多不
可预知的不安全因素。最突出的表现在于，用户迟早要退出反病毒程序，以便
完成正常工作（实时化反病毒技术可以不退出）。用户所谓的正常工作，可能
是正常操作，也可能是一个病毒的传染过程（用户根本不知道）。传统反病毒
技术从某种程度上因为其不透明性，而影响了用户的正常工作。传统技术与用
户的亲和力并没有达到最理想的境界。

   ActiveK 给用户是一种透明的感觉，用户感觉不到 ActiveK 的存在，因为 ActiveK
是一个在操作系统内核级别上对系统打了一个全面的反病毒补丁。用户不必再
去关心病毒本身，无论是病毒通过软盘、Internet向系统实施感染，哪怕它打着
包也没有什么关系，因为主动内核在操作系统一级上将其自动拒之于门外，用
户甚至可以没有感觉。对网络用户，更是极大地减少了系统管理人员的负担。

   通过这种对内核打一个主动反应式补丁的办法，操作系统具备了很强有力的反
病毒能力。用户不必在日常工作是再去关心病毒，再去担心病毒对系统的传染
和发作，ActiveK帮助用户解决了反病毒问题。这样对用户就具有了很强的亲和
力。用户唯一需要关心的就是经常性地对ActiveK进行升级，保证它能够对各种
最新病毒都作出正确的反应。KILL98具有很强的自升级能力，对于连入Internet
的用户，甚至连升级也不会过多操心棗主动内核甚至会通过网络自动升级，个
人用户只要一根电话线就行。

 
from www.kill.com.cn


--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: VIP@rainy.hit.edu.cn]