各類防毒技術
病毒碼掃描法
將新發現的病毒加以分析後,根據其特徵,編成病毒碼,加入資料庫中。以後每當執行掃毒程式時,便能立刻掃描程式檔案,並作病毒碼比對,即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect,利用深層掃描技術,在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間),大多數防毒軟體均採用這種方式,但其缺點是無法偵測到未知的新病毒及以變種病毒。
加總比對法 (Check-sum)
根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼,再將檢查碼附於程式的後面,或是將所有檢查碼放在同一個資料庫中,再利用此Check-sum系統,追蹤並記錄每個程式的檢查碼是否遭更改,以判斷是否中毒。這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。
人工智慧陷阱(Rule-based)
人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺,並告知使用者。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin,就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。
軟體模擬掃描法
軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於每個中毒的檔案中,傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。
VICE(Virus Instruction Code Emulation)-先知掃描法
VICE先知掃描技術是繼軟體模擬後的一大技術上突破。VICE將工程師用來判斷程式是否有病毒碼存在的方法,分析歸納成專家系統知識庫,再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒,則可分析出新病毒碼對付以後的病毒。
即時的I/O掃描(Realtime I/O Scan)
Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用Realtime I/O scan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是沒有什麼差別的。
文件巨集病毒陷阱(MacroTrap)
MacroTrap是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule- based) 來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!
描述語言陷阱(Script Trap)
結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule- based) 來偵測已知及未知的快樂時光( Happy time)、愛情蟲(ILoveYou)等描述語言病毒(Script Virus),在這些病毒進入電子郵件信箱前予以攔截,即便是潛藏在壓縮附件檔中的病毒也能有效防堵。
木馬殺手(Trojan System Cleaner)
傳統的掃毒程式在面對難纏的特洛伊木馬病毒時,只能掃瞄病毒檔並加以刪除,無法徹底還原系統中已被病毒修改的部分。PC-cillin2002新整合的『木馬殺手』,是專門對付特洛伊木馬病毒的掃毒解毒工具,對於知名的多種特洛伊木馬病毒,都能自動偵測、徹底移除,並自動還原檔案,讓您的電腦即時恢復正常運作。
[ 本帖最後由 harry_chang2003 於 2006-12-28 14:23 編輯 ]
