实时反病毒技术
纵观近年(2002年左右)来国内反病毒技术发展走向,不难发现,以单机静态反病毒软件为代表的非实时反病毒技术占据了绝对的优势;而以防病毒卡和基于DOS常驻内存模式(TSR)防病毒软件为代表的实时防病毒产品似已消声匿迹。是不是因为这些产品不好?其实也不尽然。虽然与反病毒软件相比,这些产品存在其固有的问题,但它们所体现出的“实时”反病毒思想,却始终为反病毒专业人士所重视。令人遗憾的是,在历经多年的“软”与“硬”、“静”与“动”的技术之争中,实时反病毒的思想、概念已被我们在不知不觉中淡化,甚至遗忘了。
实时反病毒概念的起源早在80年代未,就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的
原因,用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面,当时国内就有人提出:为防治计算机病毒,
可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中,以避免病毒对这些文件的感染。
这可算是实时化反病毒概念的雏形。
虽然固化操作系统的设想对防病毒来说并不可行,但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡
插在系统主板上,实时监控系统的运行,对类似病毒的行为及时提出警告。这些产品一经推出,其实时性和对未知病毒的
预报功能便大受被病毒弄得焦头烂额的用户的欢迎,一时间,实时防病毒概念在国内大为风行。据业内人士估计,当时全
国各种防病毒卡多达百余种,远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑,还将防病毒卡的实时反病
毒模式转化为DOSTSR的形式,并以应用软件的方式加以实现,同样也取得了较不错的效果。
为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时?从表面上来看,是因为当时静态杀毒技术发展还不够快,而
且售后服务与升级一时半会也都跟不上用户的需要,从而为防病毒卡提供了一个发展的契机。但究其最根本的原因,还是
因为以防病毒卡为代表的产品技术,较好地体现了实时化反病毒的思想。
如果单纯从应用角度考虑,用户对病毒存在情况是一无所知的。用户判断是否被病毒感染,唯一可行的办法就是用反
病毒产品对系统或数据进行检查,而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要
他们干预就能够自动完成反病毒过程的技术,而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防
病毒软件当时能够大受用户欢迎的根本原因。
实时反病毒概念的优点实时反病毒概念最根本的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。用户的“未知性”其
实是计算机反病毒技术发展至今一直没有得到很好解决的问题之一。值得一提的是,我们到现在还总是会听到有人说:
“有病毒?用杀毒软件杀就行了。”问题出在这个“有”字上,用户判断有无病毒的标准是什么?实际上等到用户感觉到
系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。
实时反病毒技术能够始终作用于计算机系统之中,监控访问系统资源的一切操作,并能够对其中可能含有的病毒代码
进行清除,这也正与“及早发现、及早根治”的医学上早期治疗方针不谋而合了。
病毒防火墙的概念正是为真正实现实时反病毒概念的优点而提出来的。病毒防火墙其实是从近几年颇为流行的信息安
全防火墙中延伸出来的一种新概念,其宗旨就是对系统实施实时监控,对流入、流出系统的数据中可能含有的病毒代码进
行过滤。这一点正好体现了实时防病毒概念的精髓——解决了用户对病毒的“未知性”问题。
实时反病毒概念的实现条件为什么代表着实时防病毒技术的防病毒卡等产品发展到最后,却没有取得长足的进展?这其中虽然涉及了各方面的原
因,但如果单纯从这些产品本身来考虑,最主要的原因不外乎是兼容性、误报率和安装使用困难等问题没有得到很好的解
决。
由于前些年DOS版本不断升级、DOS本身存在这样或那样的缺陷, 而一个像防病毒软件这样大型DOS内存驻留程序又需
要大量调用DOS未公开的调用并使用DOS未公开的标志, 这就势必造成DOS内存驻留式防病毒软件的兼容性不可能做得太理
想。特别是近年来国内PC机操作系统平台已从DOS向Windows或Windows95、NT大规模地转向, 兼容性更是无法得到基本的保证了。
误报率,其实是任何反病毒产品(不论是静态或实时)都无法避免的,但实时反病毒技术的误报问题却显得特别突出。
而这其实只是用户的使用体会:实时反病毒技术每时每刻都作用在系统之中,只要监视到类病毒的代码就会产生报警,而
静态杀毒技术只有当用户运行它的时候,才有可能会产生报警,所以相比之下静态杀毒软件误报率就显得小多了。不过从
用户角度考虑,当然是误报率越小越好,这就是为什么反病毒厂商都要声称其产品误报率“极低”的原因,从表面上看这
是一句广告词,但从根本上来讲,这才是各厂商反病毒技术孰优孰劣真正较量所在。
实时反病毒技术的实现并为用户所接受,从最根本上就是要真正解决以上几个看似简单但实际却很复杂的问题。所幸
的是,随着硬件技术与软件(操作系统)平台近几年来取得的长足发展,特别是新型操作系统的多任务、多线程机制,为
实时反病毒技术的实现提供了必要的物质保障和软件环境。
在目前反病毒市场中,真正强调实时反病毒概念的,主要是北信源(2002年左右)的病毒防火墙等产品。病毒防火墙要求实时性好,
并且必须较小地占用系统资源。由于北信源的VRV病毒防火墙专门针对Windows或Windows95开发,使用了基于Windows底层的FileHook技术并充分发挥了32位系统多任务机制的优势,决定了VRV病毒防火墙具有好的实时性和兼容性。 特别是其使
用的32位多任务、多线程机制,保证了每时每刻对系统所有资源的监控,从而真正在系统级上实现了实时反病毒的概念。
虽然,在VRV病毒防火墙的带动下,实时化防病毒技术再次受到人们的关注并开始重新对其应用价值开展研究, 但正
所谓尺有所短、寸有所长,防治计算机病毒是一项比较复杂而长期的社会性工作,任何反病毒技术都不可能一成不变地彻
底解决计算机病毒。也正因为如此,在向社会推出VRV病毒防火墙的同时, 北信源同时还向用户提供了单机版的静态杀毒
软件。事实说明,只有将反病毒技术“动”、“静”结合起来综合运用,才有可能取得较好的反病毒效果。