本文首发于http://www.jwx.com.cn/bbs/index.asp的技术交流板块,本着资源共享的原则,转发CDCMAN,希望能给大家的日常工作带来一定的帮助。同时欢迎转载(但请注明首发地址和作者)
安全防范类软件主要是这么几种:杀毒软件、防火墙软件、入侵检测软件、数据保障类软件、加密解密工具等等。这里面大家日常工作中估计最常用的就是杀毒软件和防火墙软件了,这里我就跟大家深入浅出的介绍一下,如何合理的选择、安装、配置、使用杀毒软件。
目前市面上主流的杀毒技术基本就是两个,一个是特征码识别技术,一个是虚拟机主动防御(heuristic)技术.
所谓特征码识别,顾名思义就是软件公司把搜罗来的恶意代码样本(包括病毒、蠕虫、木马等等)进行特征提取(通常用指纹技术),然后定期打包成病毒库发给用户(也就是通常所说的病毒库升级)。用户这边在进行任何操作(如运行程序)之前,杀毒软件会扫描相关文件代码,如果文件代码符合病毒库中的特征代码,则判断它为病毒,然后该怎么收拾怎么收拾,如果文件检查合格,则允许用户进行相关操作。
所谓虚拟机主动防御(国内叫启发式扫描),是这样的。用户要执行程序,安全软件先把相关程序在一个虚拟的电脑里试运行一下,看看程序起什么作用(也就是进行图灵试验),如果程序是恶意代码,它会在虚拟机中执行相关的恶意操作(如破坏数据,修改配置等等),这些恶意操作普通程序是不会做的,杀毒软件根据恶意操作,判断出要执行的程序代码是不是恶意代码,如果是则该怎么修理怎么修理它,如果不是则允许用户在机器上正常运行。
上面的两种技术都是相当成熟的无所谓高低优劣,目前大多数的杀毒软件都在使用,只不过侧重有所不同。
特征码识别的执行效率高,只需要很少的一点资源就可以高效率的执行。但是也有缺点因为它的识别完全依靠病毒库,所以对库中没有的样本它的识别率相当低,而且病毒库更新有一个或长或短的空窗期。
虚拟机主动防御刚好相反,它不依赖病毒库,可以对未知的风险进行一定的防护(完全防御未知风险是不可能的,只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒),但是缺点也不少。由于运行虚拟机,所以要消耗一定的资源,也容易造成肌肉事件(就是强制进入锁死状态),而且对于一些有特定的程序,容易发生误报。
说了半天,估计有人要说了,这里不是技术论坛我们不关心杀毒软件具体什么原理,我们只想找个权威问问,我们用什么好!(看来我的老毛病又犯了)
有时候我面对这种问题真的很无奈,跟用户说清楚了吧~~~人家没兴趣,不说清楚了吧又被人怀疑做广告当枪手,而且目前市场上的安全类软件各有特色,没有1款软件能做到“包打天下”。而这方面的东西又不能不写,我也只好硬着头皮写一些我的经验(有不同意见者,可以讨论,喷水的请自觉)
前言,记得以前网上有几个人跟我抬杠杀毒软件的问题,吵的不可开交。我就问了一句立刻安静了:安全支出低于300元/年的普通用户请闭嘴。我不清楚网上的所谓很多高人的文章是哪里蹦出来来的,对于普通用户来说广告、舆论、炒作似乎更有用。我的一些经验不一定适用普通用户,所以仅供大家参考。这里我只谈普通用户的单机版。(公平起见,我按字母顺序来排列) | 
发表于 2006-12-5 14:20
| 
发表于 2006-12-6 10:39
|