 |
病毒代码与扫描引擎 由于近几年来电脑信息蓬勃发展 , 电脑病入侵及肆虐企业界的案例更是层出不穷 , 事实上 , 目前世界上的电脑病毒已经超过 10,000 只 , 根据美国国际电脑安全协会 (ICSA, International Computer Security Association) 的调查 , 几乎所有的北美的大型企业及机构 98% 都曾遭受过病毒的感染。 什么是病毒代码 (Virus Pattern)?所谓的病毒代码其实可以想像成是犯人的指纹 , 当防毒软件公司收集到一只新的病毒时 , 他们就会从这个病毒程序中截取一小段独一无二而且足以表示这只病毒的二进位程序码 (Binary Code) , 来当做杀毒程序辨认此病毒的依据 , 而这段独一无二的二进位程序码就是所谓的病毒代码。说到这里又有人要问 , 什么叫二进位程序码呢 ? 在电脑中所有可以执行的程序 ( 如 *.EXE, *.COM) 几乎都是由二进位程序码所组成 , 也就是电脑的最基本语言 -- 机械码。 就连当红的文件宏病毒 , 虽然它只是包含在 Word 文件文件中的宏 , 可是它的宏程序也是以二进位码的方式存在于 Word 文件档中。病毒代码是如何产生的 ? 上面提到病毒代码就是一小段二进位程序码的组合 , 可是一个执行档或是一个 Word 文件病毒要怎么取得病毒码 ? 又如何才算是独一无二的病毒代码呢 ? 其实病毒代码必须依照各种不同格式的文件及病毒感染的方式来取得。 举例来讲 , 如果有一个 Windows 的程序被病毒染感 , 那么我们就必须先研究出 Windows 文件的格式 , 看看 Windows 文件是怎么被系统执行 , 以便找出 Windows 程序的进入点 , 因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏 , 知道病毒程序在一个 Windows 文件中所存在的位置之后 , 就可以从这个区域中来找出一段特殊的病毒代码供杀毒程序使用。 在防毒软件公司中都会有一组电脑功力高强的人 , 专门在为各种不类型的文件或病毒抓病毒码 , 可是当病毒愈来愈多 , 要找出每一只病毒都独一无二的病毒码可能就不太容易 , 有时后甚至这些病毒代码还会误判到一些不是病毒的正常文件 , 所以通常防毒软件公司在将病毒代码送给客户前都必须先经过一番严格的测试 , 比方说拿这些病毒代码去扫描前 100 大 (Top 100) 软件都不会造成任何误判现象 , 而且都能检测到所有的病毒才能出货 , 经过这些手续之后一个病毒代码定义档才算是真正完成 , 可放在 Internet 或 BBS 上供用户自由 Download 。 何谓扫描引擎 (Scan Engine)?扫描引擎可以说是防毒软件中最精华的部分。当您使用一套防毒软件时 , 不论它的画面是否精美 , 操作是否简便 , 功能是否完善 , 这些其实都还不足以证明一套防毒软件的好坏 , 事实上 , 当您操作防毒软件去扫描某一个磁碟机或目录时 , 它其实是把这个磁碟机或目录下的文件一一送进扫描引擎来进行扫描 , 也就是说您所看到的漂亮画面其实只是一个用户介面 (UI, User Interface), 真正影响扫描速度及检测率的因素就是扫毒引擎 , 杀毒引擎是一个没有画面 , 没有包装的核心程序 , 它被放在防毒软件所安装的目录之下 , 就好像汽车引擎平常是无法直接看见的 , 可是它却是影响汽车性能最主要的关键。有了病毒代码 , 有了杀毒引擎 , 再配合一个精美的操作画面 , 就成了市面上您所看到的防毒软件。 为什么要更新扫描引擎和病毒代码 ?在一开始提到过绝大多数的人都以为安装了一套防毒软件之后 , 就可以从此高枕无忧 , 这是一个绝对错误的观念 , 因为病毒的种类及型态一直在改变 , 新病毒也每天不断的被产生 , 如果不经常更换最新的病毒代码以及杀毒引擎 , 再强悍的防毒软件也会有失灵的一天。举个最明显的例子来说 , 在还没有出现宏病毒以前 , 全世界没有任何一家防毒软件厂商支持宏病毒扫描能力 , 当然如果您还在沿用数年前的防毒软件 , 就无法检测到宏病毒了 , 所以您必须使用能扫到到宏病毒的病毒码及支持宏病毒的扫描引擎。 若只单单更换病毒代码或扫描引擎还是不够的 , 因为旧的病毒代码档可能还没加入宏病毒的病毒码 , 或者是旧的杀毒引擎跟本还没支持文件档的杀毒 , 因此这样的组合还是没办法发挥防毒的效果。病毒代码和扫描引擎是防毒工作中相当重要的一环 , 目前一些比较大的防毒软件厂商都有将病毒代码及杀毒引擎放在网站上供人免费下载 , 请记得定期下载最新的病毒代码或扫描引擎 , 千万不要让自身的利益睡着了哦。
|
