http://www.jiangmin.com/news/jiangmin/ne.../2008101593929.htm 近年來,新病毒出現的頻率和數量越來越讓人吃驚,江民科技2008年度上半年的計算機病毒疫情報告顯示,僅2008年上半年,江民反病毒中心就截獲新病毒206439種,這一數字是2007年同期的3倍左右!反病毒廠商在加強對病毒樣本的快速搜集和處理機制的同時,對於未知病毒的判斷和查殺的功能顯得越來越重要。
在對未知病毒的查殺上,國際計算機反病毒領域主要有虛擬機、啟髮式、「沙盒」三大主流技術。目前,這三項技術在國內已經在江民科技最新推出的KV2009版本上得到成功應用。
虛擬機技術近年來提的較多。虛擬機的原理是在系統上虛擬一個操作環境,然後在這個虛擬環境下運行病毒,在病毒現出原形後將其清除。虛擬機目前主要應用在脫殼方面,許多未知病毒其實是換湯不換藥,只是把原病毒加了一個殼,如果能成功地把病毒的這層殼脫掉,就很容易將病毒清除了。對於虛擬機的應用,許多反病毒專家各執一詞,有人強調虛擬機殺毒技術,認為這項技術可以很好地清除未知病毒。而有的專家則對此持保留態度,原因是虛擬機需要佔用太多的系統資源,虛擬機功能的強大是建立在消耗大量的系統資源基礎上的,過分強調和應用虛擬機殺毒技術,可能會導致整個操作系統都不能進行其它工作。
江民殺毒軟件KV2009對虛擬機的應用恰到好處。KV2009應用虛擬機對病毒進行脫殼處理,目前除了通常的殼以外,還增強了對花指令和生僻殼的脫殼能力。在對未知病毒的處理上,KV2009並不單純依賴虛擬機,這就大大降低了佔用系統資源,確保強大的殺毒功能外,電腦仍然能夠順利流暢地進行其它工作。
啟髮式近年來在國外殺毒軟件中提的較多。啟髮式分為靜態啟發和動態啟發,靜態啟發有點相當於廣譜特徵碼技術,在殺毒軟件中內置一個特別的啟發特徵庫,然後將病毒的原碼與這個庫進行比較,如果符合這個庫裡的病毒特徵,就將其報為相應的病毒。江民殺毒軟件KV2009不但具有靜態啟發,而且還有動態啟發,動態啟發與虛擬機結合的十分緊密,目前主要應用在對花指令病毒的掃瞄和查殺。
「沙盒」技術是國際反病毒業界近年來最新提出的反病毒新概念,多數殺毒廠商尚處於實驗室研究階段,江民殺毒軟件KV2009成為國內首家將該項新技術應用到產品中的專業殺毒廠商。
雖然同為防範未知病毒的殺毒技術,「沙盒」技術與主動防禦技術原理截然不同。主動防禦是發現程序有可疑行為時立即攔截,終止運行;「沙盒」技術是發現可疑行為讓程序繼續運行,當發現的確是病毒時才終止。讓程序的可疑行為在電腦虛擬的「沙盒」裡充分表演,但是沙盒會記下他的每一個動作。在病毒充分暴露了其病毒屬性後,「沙盒」則會執行「回滾」機制,將病毒的痕跡和動作抹去,恢復系統到正常狀態。
隨著病毒變種如潮水般湧現,殺毒軟件的未知病毒查殺技術將會顯得越來越重要。目前流行的「雲安全」概念側重於對已知病毒的響應速度,在應對未知病毒上仍然有著天生的缺陷,因為必然是先有病毒發作然後才能被「雲安全」防毒系統捕獲,而虛擬機、啟髮式、「沙盒」等技術則彌補了這一缺陷,只有融入了虛擬機、啟髮式、「沙盒」等技術的「雲安全」防毒系統才是真正安全的防毒系統。江民殺毒軟件KV2009致力於「雲安全」防毒系統與三大未知病毒防殺技術的有機融合,為用戶提供從「已知病毒的迅速響應到未知病毒的立體防殺」這一無間隙的安全防範體系。
ps.文中的國內指中國而非台灣
