现在病毒真是太猖獗了, 随便浏览个网站,收个email,都有可能让你的电脑彻底趴下,昨天一个同事又抱怨说他的电脑已经中毒,Norton简直就是个摆设,从来没见它杀过什么真正的毒,正赶上国庆长假,只能等到假期结束才能重装电脑了。在为他不幸的同时,我自己也很郁闷,前两天家里台式机因为我的一不小心中了个木马,居然让系统还原都没办法正常运行了,没办法,只好用ghost重新安装,结果玩的一些游戏记录全没了,只得从头过关。
我这个人就是容易走神,有一些看起来绝对不现实的事情我也会花很长时间去思考,而且经常也没有结果。现在终于决定写blog了,也许有些想法写下来就清楚些了,也就不会浪费脑细胞在这上面了。
回到正题,不管是Windows, 还是Linux,以目前的系统结构来说,抵抗病毒的能力都是来源于修改系统中的编程漏洞和用户的安全意识以及水平。一个病毒的生命周期基本如此:发现系统漏洞--编写病毒--传播--用户感染--杀毒公司分析--提取特征码--更新病毒库--系统升级完成。此种方式的缺点很明显,系统具备杀毒能力的周期较长,而且一定是在病毒已经感染过一定数量的用户之后才能采取分析杀毒的方法,用户可能已经遭受了巨大的损失。而且现在病毒的变种越来越多,传播方式越来越广泛,再警惕的用户也不可能完全脱机工作。
除了特征码识别外,很多系统通过限制可执行代码的功能来防止病毒的恶意行为,比如Java虚拟机的沙箱机制,ActiveX警告等,对于一定要突破这种限制的程序采取签名机制来保证安全。可以说,目前系统的主要防毒机制就是此种方法。
“安全的需求已不仅仅局限于PC了,”Yankee Group的分析师Jonathan Singer写道,“像智能手机与PDA之类的移动设备通常用于商业目的,但是却毫无安全防范措施,对恶性代码而言是门户大开。”
“在未来的2~4年,反病毒软件将由签名识别技术转移到签名与行为识别技术并用的时代。” Singer预言。
现在行为识别已经成为系统安全研究的热点,但是如何判别行为不是容易的事情。目前纳入行为识别范畴的主要有:对注册表的修改;占用INT 13H中断号;修改内存大小;创建或写可执行文件;在病毒程序和宿主程序之间来回切换。由于有一些良性程序也会做类似的事情,所以基于行为的病毒检测方法很容易误报,而多数用户由于缺乏相关的防护知识,无法做出合适的举措。不论现在的杀毒软件如何吹嘘,真正安全的使用电脑主要还是依赖于用户自己的安全意识和经验。
目前的行为识别,基本上都依赖于杀毒软件来实现,因为操作系统这一级在行为识别上的功能相当弱,比如Windows的系统文件,系统目录,普通应用程序就有能力去删除,修改,而Windows本身不会报告任何错误。Linux下如果有root权限,也基本上可以做任何事情。对于开发者和软件高手来说这会让人感觉很自由,但是对于普通用户来说则不是什么好事。江民公司的黑白名单保护方式中,白名单表示不能被修改的系统文件,其实这个功能就应该交给操作系统来做。
保护系统不被破坏,这只是操作系统应该实现的功能之一。系统的安全性,最重要的是保证用户数据的安全。(待续)
1027
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
