在單機環(huán)境下，病毒只能通過軟盤或光盤在計算機之間傳播，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通訊機制迅速擴散。 1989 年， FORM 引導區(qū)病毒用了整整一年時間才流行起來， 1995 年， Concept Macro 宏病毒用了 3個月就開始盛行，而通過電子郵件， Sircam 病毒一周之內(nèi)就使全球數(shù)以萬計的計算機用戶受到波及， LoveLetter 的流行僅用了大約 3 天， Code Red 用了大約 90 分種， Nimda 更是用了不到 30 分種。電子郵件在為信息社會提供方便的同時，也使計算機病毒找到了一條新的傳播途徑和載體。這些蠕蟲病毒躲藏在電子郵件中，并冠以人們熟悉的姓名、重要提示或者美麗的圖案，使用戶不會產(chǎn)生任何懷疑，誘騙用戶打開郵件及其附件，從而破壞目標系統(tǒng)或者盜取用戶重要數(shù)據(jù)。

2．病毒與黑客技術(shù)相互融合

病毒結(jié)合黑客技術(shù)利用系統(tǒng)漏洞進行雙重攻擊的方式，已經(jīng)成為病毒編碼的新趨勢。這類病毒更具偽裝性、主動性和破壞性，所造成的威脅不容忽視。 2001 年引起軒然大波的"尼姆達"、"紅色代碼"和"求職信"病毒就是典型的黑客型病毒，尤其是利用微軟 MIME 漏洞、通過郵件進行大范圍傳播的"求職信"病毒，來勢洶洶，變種不斷涌現(xiàn)，至今仍在全球瘋狂肆虐； 2002 年 10 月，極具傳播力且呈蔓延擴散之勢的"妖怪"病毒甚至能建立后門程序，通過 36794 端口完成啟動、列表、終止系統(tǒng)中的進程，記錄用戶鍵盤操作、拷貝、刪除文件，格式化硬盤等操作，并將用戶信息通過 SMTP 服務(wù)器傳送給黑客。

3．病毒采取了諸多自我保護機制

計算機病毒為了能夠躲避現(xiàn)有病毒檢測技術(shù)，爭取較長的存活期，進而實現(xiàn)廣泛傳播的目的，想盡各種辦法隱蔽和保護自己，蠕蟲病毒更是采取主動抑制殺毒軟件的手段，加強對反病毒技術(shù)的對抗。如變形技術(shù)的廣泛應(yīng)用使反病毒廠商的單純特征碼技術(shù)完全失去作用；病毒通過獲取中斷 21H 、 13H 底層人口的方法，使 Vsafe 等駐留式殺毒軟件象啞巴一樣緘口不語；加密技術(shù)和壓縮技術(shù)使得通過檢查中斷向量表、文件長度、時間與日期等參數(shù)來發(fā)現(xiàn)病毒的常規(guī)查毒技術(shù)已不再有效； SHE 、結(jié)構(gòu)化異常處理、檢測 SoftIce 、搜索操作系統(tǒng)特定 API 調(diào)用等反跟蹤技術(shù)的應(yīng)用加大了查殺病毒的難度；"雙線程自我保護技術(shù)"使得"中國黑客"病毒屢屢逃過反病毒產(chǎn)品的查殺；"殺手 13 "病毒休眠 200 毫秒就遍歷一次系統(tǒng)進程列表，將可識別的反病毒軟件進程統(tǒng)統(tǒng)殺掉；"求職信"變種病毒 Worm.Klez.L 甚至還能夠抑制"尼姆達"、"紅色代碼"等著名病毒，只要是阻礙它傳播的軟件都不放過。筆者在國土資源部安裝 NORTON 企業(yè)版防病毒軟件時，發(fā)現(xiàn)很多客戶端很難一次安裝成功。失敗原因除了因為企業(yè)版與原有的單機版存在沖突之外，最主要的原因是這些用戶的計算機早已感染了具備抑制反病毒軟件能力的蠕蟲病毒。

4．大量采用壓縮技術(shù)

目前的大部份病毒都是在原生病毒的基礎(chǔ)上，經(jīng)壓縮變形而成。壓縮后的病毒內(nèi)容雖然同原生病毒一模一樣，但病毒特征代碼已經(jīng)完全改變，相當于產(chǎn)生了一個新的變種病毒。壓縮算法是公開的技術(shù)，而壓縮文件格式是不公開的，利用這些公開的技術(shù)，可以生成無數(shù)種他人短期內(nèi)無法破解的壓縮格式，進而也就可以利用原生的病毒，輕松產(chǎn)生出無窮多種新病毒。例如，普通用戶通過互聯(lián)網(wǎng)就可下載"程序捆綁器"等專用或自制的程序壓縮工具，從而制造出大量變種病毒，甚至可在原病毒的基礎(chǔ)上加載更多的破壞程序。據(jù)統(tǒng)計， 2002 年上半年，在新發(fā)現(xiàn)的 800 多個病毒當中，采用程序壓縮技術(shù)的變種病毒約占 70 ％左右，而利用捆綁器生成的病毒則以平均每月 1 到 2個的速度增加，約合上半年新病毒數(shù)量的 1.2 ％。更嚴重的是，病毒在被壓縮的情況下不會發(fā)作，其危害性往往得不到人們的重視，留下了嚴重的隱患， CIH 病毒的爆發(fā)就是一個最好的例證。

5．影響面廣，后果嚴重

病毒，尤其是蠕蟲病毒輕則降低網(wǎng)絡(luò)速度，影響工作，重則使之崩潰，破壞數(shù)據(jù)，使多年工作毀于一旦。 2001 年， " Sircam "、"紅色代碼"、"尼姆達"、"求職信"、"將死者"病毒先后給全世界造成 ro7 億美元損失，據(jù) Computer Economics 的統(tǒng)計，僅紅色代碼病毒就吃掉了全球電腦用戶 26 億美元，其中 11 億美元用于對 100 萬臺以上的受感染服務(wù)器進行清理和對 800 萬臺以上的其它服務(wù)器進行檢查。 2003 年 l 月 25 日， " SQL 殺手"病毒再次利用微軟 SQL Server 2000 的一個系統(tǒng)漏洞，不斷向網(wǎng)絡(luò)釋放和擴散，最終形成拒絕服務(wù)式攻擊，導致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓。

6．病毒編寫越來越簡單

傳統(tǒng)病毒的編程技術(shù)比較復雜，往往需要編程者對系統(tǒng)有深入的了解才行，但是病毒自動生產(chǎn)技術(shù)的產(chǎn)生，使得對計算機病毒一無所知的用戶，也能隨心所欲地組合出算法不同、功能各異的計算機病毒。更為嚴重的是，這類病毒生產(chǎn)軟件在互聯(lián)網(wǎng)上隨處可得，使得新病毒出現(xiàn)的頻率遠遠超出了以往任何時候。轟動全球的"庫爾尼科娃"病毒就是由一名年僅十幾歲、對編程知之甚少的年輕人、利用 VBS / I -WORM 病毒生產(chǎn)機制造出來的。據(jù)報道這種 VBS 病毒生產(chǎn)機已經(jīng)被人們從互聯(lián)網(wǎng)上下載了十五萬次以上。

7．惡意網(wǎng)頁給傳統(tǒng)的病毒定義帶來了新的挑戰(zhàn)

隨著 Internet 的逐步普及，又出現(xiàn)了能夠擺脫平臺依賴性的"惡意網(wǎng)頁"，它們以 ActiveX 技術(shù)和 java Applet 為載體，潛伏在 HTML 網(wǎng)頁里面，用戶只要瀏覽這類網(wǎng)頁，惡意程序就會悄然自動下載到硬盤中。雖然它們不能夠自我復制，又不具傳染性，也沒有遠程文件來控制，但卻帶有極強的破壞性和欺騙性。根據(jù)筆者的維護經(jīng)驗， 2002 年，國土資源部各司局計算機所感染的病毒當中，有相當部分都屬于惡意網(wǎng)頁所致。

三、反病毒技術(shù)的發(fā)展

20 世紀 80 年代未，各種基于行為、通過捕獲典型中斷調(diào)用來監(jiān)控病毒破壞行為的防病毒卡和 TSR 常駐內(nèi)存技術(shù)（像 Vsafe 、 Dog 等工具）風靡全國。但是由于其在單任務(wù)的 DOS 系統(tǒng)下運行，從而降低了系統(tǒng)性能，由于在 WINDOWS 系統(tǒng)下存在嚴重的兼容性等問題，所以逐步淡出了市場。

隨著網(wǎng)絡(luò)和操作系統(tǒng)的發(fā)展，人們對計算機病毒有了更新的認識，病毒防治理念也從原有的單純"殺毒"上升到"殺防結(jié)合"層面，可以說，計算機病毒的蔓延導致了計算機反病毒技術(shù)的發(fā)展。

1．病毒碼掃描法

該方法是利用病毒留在受感染文件中的病毒特征值（即每種病毒所獨有的十六位代碼集）進行檢測。發(fā)現(xiàn)新病毒后，對其進行分析，根據(jù)其特征編成病毒碼，加入到數(shù)據(jù)庫中。今后在執(zhí)行查毒程序時，通過對比文件與病毒數(shù)據(jù)庫中的病毒特征代碼，檢查文件是否含有病毒。對于傳統(tǒng)病毒來說，病毒碼掃描法速度快，誤報率低，是檢測已知病毒的最簡單、開銷最小的方法。目前的大多數(shù)反毒產(chǎn)品都配備了這種掃描引擎。但是，隨著病毒種類的增多，特別是變形病毒和隱蔽性病毒的發(fā)展，致使檢測工具不能準確報警，速度下降，給病毒的防治提出了嚴峻挑戰(zhàn)。

2．病毒實時監(jiān)控技術(shù)

傳統(tǒng)的反毒技術(shù)已無法對付不以文件形式存在的內(nèi)存型病毒；變種郵件病毒的不斷出現(xiàn)，客觀要求防毒系統(tǒng)必須具備針對協(xié)議層的郵件雙向監(jiān)控技術(shù)和對未知新型病毒的分析判斷能力；惡意網(wǎng)頁的出現(xiàn)，更需要在網(wǎng)頁瀏覽過程中實時過濾有害代碼、監(jiān)控注冊表信息，凡涉及到修改注冊表、刪除文件等惡意操作的行為，必須隨時報警并予以制止，所有這些都使得病毒實時監(jiān)控技術(shù)顯得格外重要。實時監(jiān)控進程處于隨時工作狀態(tài)，防止病毒從外界侵入系統(tǒng)，全面提高計算機系統(tǒng)整體防護水平。

國內(nèi)反毒廠商在實時監(jiān)控方面均有獨特的技術(shù)，如江民公司的 KV 3000 采用的"比特動態(tài)濾毒技術(shù)"，解決了傳統(tǒng)查殺郵件病毒技術(shù)所存在的局限，它在網(wǎng)絡(luò)層對所有網(wǎng)頁進行過濾、在網(wǎng)頁的緩存還沒有寫入硬盤之前就把有害部分給過濾掉。同時能夠?qū)ψ员磉M行實時監(jiān)控，排除病毒通過修改注冊表來達到其傳染及傳播的可能性。

3．虛擬機技術(shù)

虛擬機技術(shù)也稱為動態(tài)啟發(fā)技術(shù)，具有人工分析、高智能化、查毒準確性高等特點。備受推崇的俄羅斯的 KAV ( AVP，就是依靠其高效率的虛擬機和啟發(fā)式機制，在未知病毒檢測方面獨樹一幟。該技術(shù)的原理是：用程序代碼虛擬 CPU 寄存器，甚至硬件端口，用調(diào)試程序調(diào)入可疑帶毒樣本，將每個語句放到虛擬環(huán)境中執(zhí)行，這樣就可以通過內(nèi)存、寄存器以及端口的變化來了解程序的執(zhí)行，改變了過去拿到樣本后不敢直接運行而必須跟蹤它的執(zhí)行查看是否帶有破壞、傳染模塊的狀況。虛擬環(huán)境既然可以反映程序的任何動態(tài)，那么病毒放入虛擬機中執(zhí)行后也必然可以反映出其傳染動作。

目前，針對難纏的壓縮變形病毒，有些反病毒廠商提出了"智能解包還原技術(shù)"。它實際上是虛擬機技術(shù)的一項延伸。利用虛擬機引擎，將壓縮變形病毒放入虛擬機中虛擬執(zhí)行，且時刻監(jiān)視著病毒的狀態(tài)，一旦發(fā)現(xiàn)這些病毒在內(nèi)存中將自身還原成原始病毒形態(tài)，查毒引擎便介入進去，在這些原始病毒體中尋找病毒特征，一旦找到，便進行相應(yīng)的處理。雖然不同壓縮工具對原始病毒進行處理的方式不一樣，但"智能解包還原技術(shù)"都將這類變形病毒統(tǒng)一視為一種情況進行自適應(yīng)處理，而不是對這些工具進行一一對應(yīng)處理。通過該技術(shù)，可以解決自解壓程序格式繁雜、非公開壓縮方式造成大量變種病毒和新病毒的技術(shù)難題，徹底查殺由壓縮工具和捆綁器制造的各種變種病毒。這一技術(shù)有著極為廣闊的應(yīng)用前景。

WIN32 文件型病毒（ PE 病毒）和特洛伊木馬對于未知病毒檢測來說，一直是最大的挑戰(zhàn)。 WIN32 程序由于結(jié)構(gòu)復雜，對其的虛擬運行要比虛擬一個 DOS 環(huán)境復雜得多，它涉及到虛擬系統(tǒng)的 API 調(diào)用和很多資源，對系統(tǒng)資源的消耗比較大，運行速度相對比較慢；而且很多特洛伊木馬都非常邊緣化，就是直接運行行為分析的方法，也很難區(qū)別其和其它一些正常網(wǎng)絡(luò)服務(wù)程序的區(qū)別，所以，部份反毒廠商只選擇樣本代碼段的前幾 K 字節(jié)進行虛擬執(zhí)行，但即使如此，查毒效果也十分顯著。

4．自免疫掃毒技術(shù)

    該技術(shù)采用軟件認證和虛擬運行判斷的雙重機制，使用戶免除對反病毒軟件頻繁升級之苦。軟件認證機制記錄系統(tǒng)軟件正常的運行狀態(tài)，形成軟件特征運行庫，一旦軟件出現(xiàn)非正常運行，馬上采取措施，所以對網(wǎng)絡(luò)蠕蟲、求職信等已知病毒和未知病毒都能夠有效地進行遏制。如果用戶在安裝新軟件時，殺毒引擎會啟動，通過虛擬運行判斷或行為轉(zhuǎn)移機制，對所有軟件在系統(tǒng)下執(zhí)行的命令進行監(jiān)控，進行高效智能判斷，讓合法操作通過，過濾惡意操作，禁止病毒進行復制、刪除、格式化硬盤，破壞分區(qū)表，降低系統(tǒng)性能等危險性操作，保證系統(tǒng)的安全運行。同時隨機記錄文件的變化情況，必要時恢復各個時期的狀態(tài)。該技術(shù)極富創(chuàng)意，具有良好的發(fā)展前途。目前在國內(nèi)市場上，只有實達銘泰的"東方衛(wèi)士"反病毒產(chǎn)品使用了"自免疫掃病毒"技術(shù)。不過在實踐中發(fā)現(xiàn)，"東方衛(wèi)士"占用系統(tǒng)資源過多，性能有待進一步提高。

5．主動內(nèi)核技術(shù)

主動內(nèi)核技術(shù)改變了傳統(tǒng)的被動防御理念，將已經(jīng)開發(fā)的各種防病毒系統(tǒng)嵌入操作系統(tǒng)內(nèi)核，實現(xiàn)無縫連接。如將實時防毒墻、文件動態(tài)解壓縮、病毒陷阱、宏病毒分析器等功能，組合起來嵌入操作系統(tǒng)，作為操作系統(tǒng)本身的一個"補丁"，與其渾然一體。這種技術(shù)可以保證防病毒模塊從底層內(nèi)核與各種操作系統(tǒng)、網(wǎng)絡(luò)、硬件、應(yīng)用環(huán)境密切協(xié)調(diào)，確保在發(fā)生病毒入侵時，防毒操作不會傷及到操作系統(tǒng)內(nèi)核，而又能殺滅來犯的病毒。冠群金辰公司出品的 KILL 殺毒軟件利用的就是這種技術(shù)。

6. VxD 機制

VxD 是微軟專門為 Windows 制定的設(shè)備驅(qū)動程序接口規(guī)范，是操作系統(tǒng)底層接口技術(shù)，專門用于管理系統(tǒng)所加載的各種設(shè)備。由于 VxD 程序具有比其它應(yīng)用程序更高的優(yōu)先級，而且更靠近系統(tǒng)底層，所以，防病毒產(chǎn)品利用 VxD 機制可以全面徹底地控制系統(tǒng)資源，在病毒入侵之時及時報警，而且 VxD 技術(shù)占用系統(tǒng)內(nèi)存資源很小，對系統(tǒng)幾乎沒有什么影響，在 Win95 / 98 版本上具有良好的兼容性。

出于安全性角度設(shè)計， Windows 9x 將操作系統(tǒng)分為 Ring 0 和 Ring 3 兩個級別，其中 Ring 0屬于最底層的系統(tǒng)訪問，而常規(guī)文件一般都是在 Ring 3 級上進行操作，因此基于 Ring 0級的 VxD 文件監(jiān)控技術(shù)能夠在執(zhí)行、拷貝等文件操作之前得到其控制權(quán)，提前對可疑文件進行病毒行為識別，如果是染毒文件，則取得其控制權(quán)，在查殺病毒后再將控制權(quán)交還給操作系統(tǒng)。

有些病毒（如 CIH 病毒）本身就是基于 Ring 0 技術(shù)，如果防毒產(chǎn)品不處于 Ring 0，就根本無法偵測到這類病毒，即使監(jiān)測到了，病毒文件也往往已經(jīng)執(zhí)行或者已經(jīng)造成了破壞。所以，利用 VxD 技術(shù)的另一個特點–類似 DOS 操作中的中斷調(diào)用技術(shù)，可以在系統(tǒng)內(nèi)實現(xiàn)"后臺駐留"，從而實現(xiàn)對病毒的實時、永久和自動監(jiān)控。安全之星企業(yè)版病毒防火墻就是利用 VxD 技術(shù)實現(xiàn)對文件的病毒監(jiān)控。

7．網(wǎng)絡(luò)防毒技術(shù)

網(wǎng)絡(luò)防毒技術(shù)是在原有單機版殺毒軟件的基礎(chǔ)上發(fā)展起來的一種應(yīng)用于 Intranet 的高效解決方案。企業(yè)級用戶大多是在網(wǎng)絡(luò)環(huán)境下，如果采用單機版軟件，那么全網(wǎng)防毒能力的高低就取決于各節(jié)點殺毒軟件版本號的統(tǒng)一性，只要有一臺計算機還使用未升級的病毒代碼，那么病毒的發(fā)作將會波及全網(wǎng)。此時，網(wǎng)絡(luò)版殺毒軟件的"全網(wǎng)同步化智能升級"功能就顯得格外的重要，這也正是單機版殺毒軟件無法實現(xiàn)用戶需求的具體體現(xiàn)。

網(wǎng)絡(luò)防毒技術(shù)的最大優(yōu)勢就在于其網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員可以輕松地在局域網(wǎng)或廣域網(wǎng)環(huán)境下，遠程為客戶端安裝和設(shè)置防病毒軟件，在線監(jiān)控網(wǎng)絡(luò)中的所有服務(wù)器和客戶端，自動核對版本，并以自動或手動方式下載和更新病毒代碼，自動分發(fā)升級程序，進行統(tǒng)一升級，有效管理和保護所有的病毒人口，以實時作業(yè)方式掃描所有進出網(wǎng)絡(luò)的數(shù)據(jù)，確保網(wǎng)絡(luò)病毒的實時查殺與防治。

在網(wǎng)絡(luò)防毒方面， Symantec 公司、 Trend 公司和 NAI 公司均有比較成熟的技術(shù)、方案和應(yīng)用，市場占有率很高，國內(nèi)網(wǎng)絡(luò)版防毒軟件的代表–瑞星公司的產(chǎn)品在 For Windows 版本中技術(shù)特色也比較鮮明，但其整體技術(shù)性能尚有待進一步提高。目前，國土資源部在內(nèi)網(wǎng)和外網(wǎng)上均使用 Symantec 公司的 NORTON 企業(yè)版提供對所有客戶端的病毒保護。

8．網(wǎng)關(guān)防毒技術(shù)

網(wǎng)關(guān)級防毒是在網(wǎng)關(guān)處設(shè)防，防止病毒經(jīng)由 Internet 網(wǎng)關(guān)傳入內(nèi)網(wǎng)，或是防止網(wǎng)絡(luò)內(nèi)部染毒文件傳到其它網(wǎng)絡(luò)當中。網(wǎng)關(guān)防毒技術(shù)是目前阻絕計算機病毒，特別是郵件病毒、 FTP 病毒和惡意網(wǎng)頁的最佳手段。在病毒被下載并導致?lián)p失之前起到隔離和清除作用，并可以過濾內(nèi)容不當?shù)泥]件，避免造成網(wǎng)絡(luò)帶寬的大量消耗。有些防病毒廠商，例如 NAI 公司和 TREND 公司還將網(wǎng)關(guān)級防病毒軟件與高性能硬件相結(jié)合，形成可獨立操作、不需人力維護，有更高效能的專用系統(tǒng)–網(wǎng)關(guān)防毒墻。

四、結(jié)束語

從基本機理來看，只要我們使用的計算機還在使用馮 · 諾依曼體系結(jié)構(gòu)，數(shù)據(jù)和指令從形態(tài)上還看不出區(qū)別，就無法徹底消滅病毒，也無法杜絕病毒感染。我們所能做的就是盡可能地降低病毒感染的風險。就國土資源部而言，為了確保正在建設(shè)中的電子政務(wù)工程順利實施，應(yīng)當貫徹"層層設(shè)防、集中控管、以防為主、防治結(jié)合"的防毒策略，通過全方位、多層次的防毒配置，使國土資源部信息網(wǎng)絡(luò)系統(tǒng)具有強大的抵御各種病毒和惡意程序攻擊的能力。

多易