杀毒软件原理与不足.docxVIP

杀毒软件原理与不足 摘要：早在 20 世纪 80 年代中期，计算机病毒刚刚开始流行，种类不多，但危害很大， 往往一个简单的病毒就能在短时间内传遍世界各地。计算机反病毒工作者认识到病毒的危害后，在很短的时间内编制了一批早期的消毒程序。杀毒软件（Anti-virus Software ），也称反病毒软件或防毒软件，是可以用来扫描文件，以确定和消除计算机病毒、特洛伊木马和其 他恶意软件的一类软件。本文全面介绍了杀毒软件工作原理，详细剖析和对比目前杀毒软件 的关键技术，最后阐述杀毒软件的不足和发展趋势。 关键字：杀毒软件，反病毒，特征码，云安全 杀毒软件产生的背景 20 20 世纪 60 年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战” 的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。20 世纪70 年代，美国作家雷恩在其出版的p1 的青春一书中构思了一种能够自我复制的计算 机程序，并第一次称之为“计算机病毒”。计算机病毒作为计算机普及的一个副产品，越来越 为广大的用户所了解，而网络的发展让用户在感受到方便的同时，更是深深体会到了病毒的 威力。与此同时，反病毒软件也迎难而上，不断探索新的技术，充分利用网络的便利性，与病毒展开了一场旷日持久的较量。目前，杀毒软件采取的技术，主要是特征码技术、虚拟机 技术和主动内核技术。 杀毒原理与技术 杀毒原理 一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体。 扫描器顾名思义就是用来扫描病毒的，它是杀毒软件的核心，通过计算机扫描文件、扇 区和系统内存等发现病毒。杀软件不同的功能对应着不同的扫描器，所以，大多数杀毒软件都是由多个扫描器组成的。病毒库是存储病毒的特征码。而虚拟机可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的 CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。 杀毒软件技术 特征码技术 该技术是利用留在受感染文件中的病毒特征值进行检测。发现新病毒后，对其进行分析，根据其特征编成病毒码，加入到数据库中。今后在执行查毒程序时，通过对比文件与病毒数据库中的病毒特征码，检查文件是否含有病毒。对传统病毒来说，病毒码扫描技术速度快，误报率低，是检测已知病毒的最简单、开销小的方法。目前的大多数杀毒软件产品都配备了这种扫描引擎。但是，随着病毒种类的增多，特别是变形病毒和隐藏性的病毒的发展，致使检测工具不能准确报警，速度下降，给病毒的防治提出了严峻挑战。 虚拟机技术 虚拟机技术也称为动态启发技术，具有人工分析、高智能化、查毒准确性高等特点。该技术的原理是：用程序代码虚拟 CPU 寄存器，甚至硬件端口，用调试程序调入可疑带毒样本，将每个语句放到虚拟环境中执行，这样就可以通过内存、寄存器以及端口变化来了解程序的执行，改变了过去拿到样本后不敢直接运行而必须跟踪它的执行查看是 否带有破坏、传染模块的状况。虚拟环境既然可以反映程序的任何动态，那么病毒放入虚拟机中执行后也必然可以反映出其传染动作，着一技术有着极为广阔的应用前景。 主动内核技术 主动内核技术改变了传传统的被动防御理念，将已经开发的各种防毒系统嵌入操作 系统内核，实现无缝连接。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病毒分析器等功能，组合起来嵌入操作系统，作为操作系统本身的一个“补丁”，与其浑然一体。这种技术可以保证防病毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调，确保在发现病毒入侵时，防毒操作不会伤及到操作系统内核，且又能杀灭来犯的病毒。 杀毒软件的不足 随着计算机网络的发展，病毒种类增多，特别是变形病毒和隐藏性的病毒的发展，杀毒软件的缺陷越来越严重。主要体现在如下方面： 被动性。杀毒软件不能杀未知病毒（即新病毒），根据杀毒软件的杀毒机理，杀毒软件永远在病毒之后，用户发现病毒时，资源已经被病毒破坏，忙羊补牢，为时已晚。 病毒频繁升级。新的病毒的出现另杀毒软件报告你的计算机无毒，只能说明没有该查毒软件查出来的病毒。面对这个难题，在现实中只能靠杀毒软件的频繁升级来换取计算机资源的安全将越来越困难。 病毒加密。软件加密技术应用于病毒软件加密之后，这种反跟踪技术和变形性病毒的出现，使得杀毒软件编写者困难重重。 开发式反病毒方法的重大缺陷。开发式反病毒方法是让用户自行升级，故其接口必须设计的非常简单，这就留给病毒以可乘之机，用户在对病毒无任何戒备的状态下，即使文件被病毒破坏，用这种自行升级的软件去查也只能得到没有任何病毒的报告。 新一代杀毒软件技术 随着云计算技术的发展，各杀毒软件厂家也纷纷采用了“云安全（Cloud Security ）”技术，“云安全”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计 算、未知病毒行为判断等新兴技术和