易索网

 

计算机、网络、信息技术

防病毒软件的防护机制及功能

 

[防病毒软件的病毒防护机制]
  病毒利用直接读写能进行感染, 利用驻留内存、利用截取中断向量等方法能进行传染和破坏。病毒正是利用系统安全存取方面的漏洞进行传染。预防计算机病毒的软件就是要监视、跟踪系统内类似病毒的操作, 提供对系统的保护。 
  老一代的防病毒软件只能对计算机系统提供有限的保护, 只能识别出已知的病毒。新一代的防病毒软件则不仅能识别出已知的病毒,提前在病毒获得运行权之前发出警报,还能屏蔽掉病毒程序的传染功能和破坏功能而不使受感染的程序得不到运行 (即所谓带毒运行技术) ,同时还能利用病毒行为特征,防范未知病毒的侵扰和破坏。另外,新研制的防病毒软件还应实现超前防御,即将系统中可能被病毒利用的资源都加以保护,不给病毒以可乘之机。 
  防御是对付计算机病毒的积极而又有效的措施, 比等待病毒出现之后再去扫描和清除更能有效地保护计算机系统。病毒的工作方式是可以按类划分的。防病毒软件就是针对这几类已归纳总结出 的病毒工作方式进行防范的。当被分析过的已知病毒出现时, 由于其工作方式早已被记录在案, 防病毒软件能识别出它是很自然 的事情。当以前未曾被分析过的新病毒, (又称为未知病毒)出现 时,如果其工作方式仍可被归入已知的病毒工作方式,则这种病毒 应能被防病毒软件所捕获。这也就是采取积极防御措施的防病毒 方法优越于"必须等待捕获到并分析以后才能进行扫描和清除这种病毒"的地方。当然, 如果新出现的病毒不按以往已知的方式 工作,这种新的传染方式又不能被防病毒软件所识别,则防病毒软件只得放其过关了。这时人们只能采取两种措施进行保护: 第一是依靠管理上的措施, 及早发现疫情,捕捉病毒,修复系统。第二是设计功能更加完善的、具有更多超前防御功能的防病毒软件, 尽可能多地堵住能被病毒利用的PC机和DOS的漏洞。 
  作为防病毒的主要技术措施之一,防病毒软件都是驻留内存的,有的以设备驱动程序的形式,有的以TSR程序的形式来提供对病毒的实时监测, 对类似病毒行为的监控和提供对重要的系统区域的保护。 
[防病毒程序应具备的功能]
下面列出计算机病毒防御程序应具备的功能: 
  (1)对请求运行的程序检查是否染有已知病毒,拒绝其运行请求或屏蔽其传染和破坏功能后,实现安全带毒运行。 
  (2)程序驻留请求的监视,发出警告或予以登记,待后续处理。这里的驻留请求是指DOS的INT 27H和INT 21H的31号子功能。 
  (3)对直接修改MCB方式驻留的程序进行监视,或予以登记,待后续处理。 
  (4)监视读写可执行文件的请求,因为文件型病毒主要是依靠 传染可执行文件。除了在软件开发环境下和个别软件要自我修改 配置的情况,在大多数计算机应用环境下,不应该有对可执行文件 的读写请求。这是个不容易准确判断的问题。采用不好的判别准 则会发生大量假警报,将正常操作当作病毒行为向用户报告,容易引起用户的反感,要么对这类警报不再留 意而一律放行,将病毒也放了过去;要么干脆放弃使用这类软件。采用较好的判别准则时,只会出现很少的假警报,而且为完成这种防病毒所做的操作只占用极少的CPU处理时间, 既高效又准确,使用户感觉不到由于使用了这种防病毒软件而使整机运行速度受到 影响。 
  (5)利用预先生成的文件校验码对被存取的文件进行检查,发现异常时进一步作病毒检查并发出警报。校验码的生成需要好的算法,否则发现不了由于感染了病毒而使文件发生的变化。 
  (6)监视PC机系统内一些特别中断向量的变化,予以登记或发 出警报。这些中断有2、8、9、13、16、1C、21、26、2F等(以上中断向量均以十六进制表示) 。这些中断有属于ROM BIOS的,有属于DOS的。 病毒利用这些中断进行抗跟踪、定时、传染、键盘 控制以及信息显示等。早期的防病毒软件特别重视中断向量表的 监视和管理, 甚至专门保留一份用于进行比较和恢复。这在一定程度上发挥了作用。但现在已出现很多新病毒不通过修改中断向 量表, 仍能完成传染功能。因此新一代防病毒软件应重视中断向 量表的变化, 但不应将其作为判断病毒的唯一条件和防护PC机的唯一手段。 
  (7) 病毒防御程序应检查DOS引导扇区是否已感染病毒,或者 利用预先生成的核验码进行检查。对这个扇区的写操作也应进行检查。 
  (8) 硬盘内的主引导扇区是一般DOS程序不必去存取的扇区, 除非要进行分区划分, 平时这个扇区内容不应被改变。防病毒程 序应对这个扇区提供保护。很多防病毒程序也都是这样做的, 在发生对主引导扇区的写操作或格式化操作时应发出警报。 
  (9)对重要的系统文件提供保护,例如引导时必需的COMMAND.COM等,对这类文件的非病毒变更一般只会发生在更新操作系统版 本的时候,不会是经常发生的情况。 
  (10) 对磁盘提供全面的写禁止功能,通过划分合适的分区大小, 对某些分区提供保护。例如对C∶盘设置写禁止功能后,可以保证病毒不会感染到C∶盘,从而使硬盘引导启动后的环境总是个无病毒的干净环境。根据不断总结出来的防病毒经验, 在具体实现一个防病毒系统时,可以按照实际情况对上述功能进行取舍,并增加新的功能。

    相关内容:计算机病毒的预防

 

 

关于我们   联系与反馈  ©易索网 ESOO.ORG