當前,殺毒軟件普及率很高,已經成為裝機必備軟件,但是,據國家計算機病毒應急處理中心的調查數據顯示,我國計算機病毒感染率2007年達到91.47% ,比2006年增加了17.41%,感染3次以上的計算機將近54%。為什么計算機安裝了殺毒軟件,而病毒感染率卻在逐年上升。國外反病毒廠商甚至發出“殺毒軟件已死”的論斷,那么當前殺毒軟件的現狀到底如何呢?我們先了解一下殺毒軟件的防病毒技術。
殺毒軟件的核心技術
殺毒軟件的核心技術是特征碼掃描技術。 特征碼掃描技術就是反病毒公司從病毒體中提取一串或多串代碼作為識別病毒的特征碼,殺毒軟件將病毒碼與計算機中文件進行比對,如果包含病毒特征碼,就報毒。
現有殺毒軟件技術的局限性
1) 病毒特征碼依賴病毒
從殺毒軟件的核心技術原理我們可以看出,病毒特征碼是殺毒軟件發現病毒的關鍵,如果沒有病毒特征碼,殺毒軟件會把新病毒同樣當成正常程序看待。由于病毒特征碼是從病毒體中提取的,因此,只有收集到的病毒,反病毒公司才能從中提取出病毒特征碼;
2) 病毒收集依賴用戶
所以,收集病毒成為反病毒公司重中之重的任務,而病毒不是反病毒公司編寫的,反病毒公司主要通過以下兩種方式收集到病毒:
l 采用蜜罐等誘捕技術
在互聯網部署采用蜜罐等誘捕技術的計算機,能夠自動收集到部分病毒。但這種方式需要在互聯網部署大量的計算機,需要很高的成本,所以收集病毒的數量非常可憐。
l 依賴用戶主動上報
絕大多數病毒是反病毒公司從用戶提交的可疑程序中分析判斷后獲取的。有一定技術的用戶發現自己的計算機存在可疑程序,然后將可疑程序提交給殺毒廠家,再有反病毒工程師分析,現在殺毒廠商所宣稱的病毒監測網,實質上就是用戶。
結論:如果用戶沒有提交病毒樣本,反病毒公司就很難收集到病毒。
致命缺陷導致防范的脆弱性:
正是由于殺毒軟件技術局限性這個致命的缺陷,使得殺毒軟件防范病毒存在嚴重的脆弱性,主要體現在以下兩個方面
1) 不升級無法防范新編寫的病毒;
2) 不升級無法防范經過免殺技術處理的老病毒;
結論:能否防范病毒主要取決于反病毒公司能否收集到這個病毒。
各方觀點:當前殺毒軟件技術存在嚴重的滯后性,殺毒技術改革勢在必行
Ø 專家觀點
中國工程院院士倪光南: 當前所有的殺毒軟件都是跟著病毒跑,滯后于病毒。跟著病毒跑的話,特征庫也會越來越大,將來掃描起來可能需要很長時間。這也就意味著傳統的“病毒出現-用戶提交-廠商人工分析-軟件升級”的思路將被徹底拋棄,殺毒軟件行業升級迫在眉睫!
中國工程院院士周仲義:利益的驅使成為國家部委頻繁遭遇黑客攻擊、木馬植入的主要原因。木馬記錄鍵盤行為,竊取登陸口令,進而獲得相關情報,這對信息要求高度保密的國家部委來說危害極大。信息安全問題已經成為各部委工作任務的重中之重。下一代防病毒軟件的境界高低,已經上升到了事關國家信息安全的高度。863計劃課題所研究的主動防御產品,應在通過相關部門檢測認定的基礎上,首先在各部委大力推廣,保證國家機密信息的安全,讓政府機關也受惠于下一代防毒技術。
Ø 用戶呼聲
中辦秘書局一位負責信息系統的處長: 基于傳統原理的殺毒軟件每天都要升級特征碼,這個受不了;現在不是不升級,而是升級了實際上也沒有多少用。
一位殺毒軟件經銷商稱: 盡管殺毒軟件的日常升級越來越頻繁,用戶的病毒庫越來越大,可是查殺效果卻比新病毒的誕生及傳播速度慢上一拍。
Ø 廠商自爆
熊貓公司: 把殺毒軟件病毒庫升級到最新版本已經不足以保護用戶免受病毒感染。
McAfee: 傳統的反病毒工具到目前已經過時,無法面對今天的威脅,殺毒軟件已死。
國內三大殺毒軟件廠商―江民、金山、瑞星:在發布2007年病毒趨勢和各自認定的“毒王”及十大病毒的同時,幾乎無一例外地自曝,傳統殺毒軟件技術難以防范新病毒。
傳統殺毒軟件致命的脆弱性,面對當前病毒新威脅力不從心
傳統殺毒軟件在過去病毒數量不多、傳播速度不快的背景下還是比較有效的工具,但在互聯網廣泛應用、全球病毒特征出現了顛覆性變化的今天,顯然已經力不從心。
趨利性病毒的出現,凸現殺毒軟件更加不堪一擊。為了保護“勝利果實”,病毒制作者開始設法逃避殺毒軟件的查殺,并從技術的角度針對殺毒軟件的弱點進行攻擊。
人們不得不面對這樣一個尷尬現實,幾乎所有的計算機都配置了殺毒軟件,但面臨的病毒攻擊卻越來越猖獗。
實現反病毒技術由被動事后殺毒到主動防御的變革,不僅是全球反病毒產業的共同課題和新的競爭焦點,更是計算機用戶的迫切需求。
