计算机防御系统一般由防火墙和杀毒软件构成,防火墙主要负责过滤异常数据保护计算机,而杀毒软件运行在计算机应用程序底层,监视整个计算机的运行,能够发现并消灭包括网络病毒在内的各种病毒。
计算机病毒可以在网络和计算机间肆意传播,如果说它们是攻击并破坏网络和计算机的“矛”,那么由防火墙和杀毒软件组成的防御体系就是“盾”。
“防火墙”是一个很形象的名字,它可以是硬件设备或软件程序,主要是起隔离作用。防火墙——般没有查毒、杀毒作用,但可以监控上网软件和网络流量并过滤异常数据,还可以设定哪些程序能够访问网络,开启或者关闭一些网络服务—防火墙的存在阻止了病毒与计算机系统的直接接触,是局域网或计算机的“城墙”。此外,如果计算机感染病毒,防火墙也能做出网络异常报警,为找到病毒提供线索,还有一些新型防火墙也整合了一定的杀毒技术。
不过主攻杀毒任务的是杀毒软件。它运行在计算机应用程序底层,监视整个计算机的运行,能够发现并消灭包括网络病毒在内的各种病毒。“杀毒引擎”是杀毒软件的核心,是软件中负责识别病毒或“疑似病毒”的程序,它具备清除病毒的能力,决定了整个软件运行的效率。
杀毒引擎要与通过另一个模块“病毒库”互动来识别病毒。早期的杀毒引擎内收录了病毒的特征码(一段病毒程序),杀毒引擎通过比对文件中的特征码来判断是否感染病毒。但随着病毒种类的增多,杀毒引擎过于“臃肿”,造成程序效率降低。现在常以特殊的格式将病毒代码特征和行为特征储存在一个独立病毒库中,供杀毒引擎调用。病毒库要经常更新,以收录最新出现的病毒,换言之,病毒库中没有的,杀毒软件是不能识别并杀灭的,这属于“被动防御”。2006年10月至2007年2月,一种名叫“熊猫烧香”的病毒使成千上万台计算机被感染和破坏。为了躲避杀毒软件查杀,病毒编写者多次升级“熊猫烧香”病毒程序,先后共编写并传播了数百种“熊猫烧香”病毒。病毒编写者甚至还在病毒中留言,公开挑战反病毒界,让传统反病毒策略一时“捉襟见肘”。
那时,基于主动防御技术的新一代引擎已经登场,它追求的是“智能 主动 拦截能力”。主动防御技术通过分析某一段程序的行为是否带有病毒特征,主动拦截有嫌疑的行为。软件智能化程度越高,分析和拦截病毒行为的准确率就越高,它可以有效阻止未知病毒的攻击行为。但主动防御技术有时只能阻止病毒行为,使它长期处于一种蛰伏状态,不能将病毒彻底清除,因此仍需结合传统杀毒技术。
杀毒软件要想杀毒,就得比病毒更厉害,为检测计算机不断变化的数据,引擎将自己注入系统进程中,这与木马病毒的做法如出一辙。为了追杀潜入系统深处的驱动级病毒,只能将一部分程序通过伪装以驱动程序的形式运行,以便能够深入系统内核。而杀毒引擎的“文件监控”就如同文件“寄生病毒”一样,只不过前者是驻留在内存中扫描每一个打开的文件是不是带毒,而后者是要伺机“感染”每一个打开的文件。如果杀毒软件没有病毒“狠”,不但不能杀灭病毒,反而自己落得一个被关闭甚至被破坏的下场。如2010年出现的“新机器狗木马”,能深入“研究”杀毒软件的主动防御原理,利用类似正常软件的驱动技术,一度能将40多种杀毒软件斩落马下。
因此,即使计算机上安装了防火墙和杀毒软件,也只是减少了感染病毒的概率,使用计算机时仍应注意安全,同时关注计算机的异常情况,如硬盘灯持续闪亮、计算机速度因不明原因变慢等。
声明:本篇经验系知识库原创,转载请注明出处。