CPU内嵌的防病毒技术是一种硬件防病毒技术,与操作系统相配合,可以防范大部分针对缓冲区溢出(buffer overrun)漏洞的攻击(大部分是病毒)。Intel的防病毒技术是EDB(Excute Disable Bit),AMD的防病毒技术是EVP(Ehanced Virus Protection),但不管叫什么,它们的原理都是大同小异的。严格来说,目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。
& g5 X; l3 Y5 h! }$ M3 e% T 从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:病毒预防技术、病毒检测技术及病毒清除技术。
8 N% {: O- P6 S, P: M! A9 J 1、计算机病毒的预防技术8 r) T* A3 O# P& \" _
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。 预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。# _- j: _& ^3 n
2、检测病毒技术
$ s; H4 K) _7 D& i 计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
8 ~' X2 U% X) o0 \ 3、清除病毒技术
. r" i% Y& f* u/ s. w& k% Q 计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。4 x, X: V8 T/ ?9 }3 k
在网络环境下,防范病毒问题显得尤其重要。这有两方面的原因:首先是网络病毒具有更大破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦,而且有时恢复几乎不可能。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式,需要从服务器和工作站两个结合方面解决防范病毒的问题。在网络 上对付病毒有以下四种基本方法:$ w: g, n. d2 o- L
1、基于网络目录和文件安全性方法) A& z) y+ g0 N, v2 F3 ]
以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。“访问权限有:防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力,分配不同的访问权限和属性。例如,对于公用目录中的系统文件和工具软件,应该只设置只读属性,系统程序所在的目录不要授予修改权和管理权。这样,病毒就无法对系统程序实施感染和寄生,其它用户也就不会感染病毒。 由此可见,网络上公用目录或共享目录的安全性措施,对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录,由于其限于个别使用,病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。( z8 f3 Q( L! U4 {. m2 J
2、采用工作站防病毒芯片- A( J2 j6 v9 X0 a) a
这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。 Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片,因为多数网卡的Boot Rom并没有充分利用,都会剩余一些使用空间,所以如果安全程序够小的话,就可以把它安装在网络的Boot Rom的剩余空间内,而不必另插一块芯片。 市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中,ROMBIOS,Extended BIOS装入后,Partition Table装入之前,Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:①不占主板插槽,避免了冲突;②遵循网络上国际标准,兼容性好;③具有他工作站防毒产品的优点。但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。 |