希望把這樣的觀念跟大家分享....
「世界上沒有百分之百做到完全防毒的防毒程式,只有正確的操作與觀念才能真正做到百毒不侵,防毒軟體只是輔助作用而已」
防毒程式如何運作? 【文/楊祥龍】
防毒程式是怎麼對付那些層出不窮的病毒呢?基本上防毒程式對於病毒的因應機制,至少都會有兩個步驟──「掃毒」與「解毒」。不過隨著網路的普遍,電腦可以上網已經是基本的功能,因此戰線已經從電腦「本機」拉大到「網路」,從電腦內到電腦外,除了保護電腦不受病毒與網路攻擊襲擾外,也要保護別人的電腦不受自己的攻擊,因為駭客會透過別人的電腦當跳板,進行入侵或攻擊的動作,而被當作跳板的電腦就叫做「殭屍電腦」。言歸正傳,筆者認為現在的防毒程式除了保護本機系統外,也要具有防火牆功能,才算具有較為完整的安全性。
|
要如何掃毒?
以往掃毒程式要偵測病毒,最常見的作法就是把電腦裡的每一個檔案,跟病毒定義檔(又稱病毒碼)做比對,其實跟現實生活中的警察捉小偷一樣,每隔一段時間,警察伯伯就會收到當期最新的通緝犯名單(就是病毒碼),名單上面記載著通緝犯(病毒)的個人資料,姓名、年紀及長相等詳細資料,如果在路上看到一個嫌犯,各個條件與名單符合的話,就直接抓起來。
病毒碼記載的資訊主要為有害程式碼的片段,以及其他的詳細資訊,因此筆數愈多,就能掃到更多的病毒,不過卻發現一個問題,隨著網路與電腦的普及,每天產生的病毒數量都有數百筆之多,以往病毒碼的更新週期通常以一週為基準,可是當防毒程式收到病毒碼的時候,新病毒早就鬧得天翻地覆了,所以就有廠商將病毒碼的發佈週期縮短,甚至縮短到一個小時一次,確實有收到效果,卻產生了另外一個問題。
掃描命中率高就是好?
因為病毒實在太多,而且每天都以一定的數量增加中,病毒碼記載的筆數自然跟著變多,而病毒碼體積也愈來愈大,因此在進行比對的時候,過於龐大的病毒碼造成防毒引擎效能表現的低落,病毒一定可以抓得到是沒錯,但是可能為了抓一隻病毒,光是存取肥大的病毒碼做比對,瞬間就吃掉大量的系統資源,有些得不償失。
後來廠商改用「行為特徵偵測」的技術,再以警察抓小偷來比喻,每種罪犯通常會有固定的犯罪模式,若警察用「行為特徵偵測」的方式來辦案,只要看到行為或動作疑似有犯罪嫌疑的,就問都不問直接帶回看守所(隔離),經過審問之後再放出來。即使病毒變種了,行為模式不會全盤改變,一樣可以準確地偵測出來。因此防毒程式就不必過於仰賴龐大的病毒碼,這樣的方式可以讓防毒程式維持在高命中率,而且有不錯的效能表現。
只要符合行為特徵,不必等病毒真正開始動作,防毒程式就主動偵測到並做處理,所以也人稱這模式為「主動式防護」。不過「行為特徵偵測」並不是完美的,因為判斷的機制不夠精確的關係,造成誤判的情況大增,試想,若是亂丟個垃圾,就被警察伯伯帶到警局審問,確定沒有嫌疑再放出來,會是什麼樣的情況。掃毒命中率雖然提高,但準確性與可靠性卻下降。
後來「行為特徵偵測」修正為依據行為的先後順序做判斷,不再以單一動作當判斷標準,再配合上病毒碼的比對,再加上各家廠商獨門偵測技術的組合,總算達到不錯的效果,變成為現在防毒程式的主流偵測模式。
病毒碼的發布
每當有新的病毒出現,防毒軟體在全球各地都會有據點,當地的據點通常具有類似「戰情中心」的功能,只要當地方發生災情,就會收集病毒樣本,在當地實驗室解毒,或是發送回總公司的實驗室作處理,經過再三確認,就會發布病毒碼到全球,這是以往正常的流程。
由於現今病毒產生的速度實在太快,這就考驗到廠商的應變能力,所以比較勤勞一點的,就會把病毒碼發布的頻率縮短,甚至到每小時一次,但是病毒產生與變種的速度已經超乎想像,很多時候根本來不及對病毒碼作確認的動作,於是就會寫所謂的「解毒程式」,先讓使用者頂著,但是這個程式僅能對付單一的病毒以及相關的變種;要不就是發出有問題的病毒碼,之前就有防毒程式會將Excel主程式誤判成病毒,便是一個很經典的例子,原因就是病毒碼在發布之前未作確實地驗證。由此可看出,防毒程式光靠病毒碼來作防護的基礎已經不敷使用。
|
要如何解毒?
簡言之,防毒程式本身可以看成一個超強的病毒,只是對系統是無害的,卻對病毒有害,一樣透過感染的方式去解毒。也因為如此,廠商有能力防毒,當然寫病毒也是輕而易舉,在安裝防毒軟體還不盛行的年代,就曾經出現陰謀論,大意是說為了提升防毒軟體的安裝率,就有不肖廠商寫了特別的病毒並散布,只能讓自家防毒程式偵測到,最後當然證明這是芭樂,因為病毒產生的速度,已經超過想像,廠商根本不必這麼麻煩。至於網路上會有惡意的病毒碼或木馬程式,只要連到網頁或交換資訊後就會被感染,早期的防毒程式都要等到病毒已經下載到暫存資料夾後,才能進行刪除,現在比較新的防毒程式,會直接掃描封包,把封包中有害的程式碼或檔案剔除,而防火牆的運作亦是如此。
沒有百毒不侵的防毒程式
奕瑞科技總經理張義淵提到:「世界上沒有百分之百做到完全防毒的防毒程式,只有正確的操作與觀念才能真正做到百毒不侵,防毒軟體只是輔助作用而已」,因此過於強調防毒軟體可以掃到多少病毒,以為有很棒的防毒軟體就可以高枕無憂,然後老愛瀏覽一些危機四伏的網站,這是捨本逐末的作法。
筆者曾經看過一個人,可以說是不懂電腦,平常用電腦只是上網收信,頂多用一下Office而已,他就沒裝防毒軟體,就連「網路流傳」的軟體也不裝,原因是省錢及怕用盜版被抓,但是從來沒中毒過,頂多就是硬碟空間不足,其關鍵原因在於用途真的很單純,反躬自省,為什麼裝了防毒軟體,卻還是會中毒呢?所以,只有正確的觀念才能常保平安。
【PChomeAdvance電腦王31期】
留言列表