病 毒 防 治 的 原 理 比 較
■病毒碼過濾法
原理:
根據某一部份的特徵,去比對每一個可執行之程式,有該特徵者即判定為
該病毒,往往因特徵的選取不當而造成誤判,面對新病毒、千面人病毒及
變體病毒,因不知其特徵或特徵不易選取,使其早已中毒而不自知。
優點:
操作簡單,比對迅速可隔離大部份已知病毒。
缺點:
病毒碼選取不當,易造成誤判,病毒隻數過多,比對費時,且遇到新病毒
時,常中毒而不自知。
例如:
八十年三月六日所爆發的一隻
STONED 3(即米開朗基羅),當天有很多人的硬碟被破壞了,其原因是很多程式無該病毒之病毒碼,因此在不知其特徵
的情況下,就無法防止。但使用
ZLOCK Cases 之用戶,則安然無恙,直至八十一年米毒方為大家所熟悉。
採用者:
GSCAN(
金帥)、BVK(金帥)、VIRUS HUNTER(倚天)、TRACER(GOD WARE)、ANTI-VIRUS(CENTRAL POINT/NORTON)
、SCAN(McAFEE)。■加值總和法
原理:
將原始程式碼做特殊計算,記錄下來,由於每一個可執行程式都被做上記
錄,所以程式只要一有異樣,就會馬上被發現,因其不根據病毒碼,係根
據程式本身所記錄的資料,故不會誤判。但其在做特殊運算記錄前,須確
定程式無毒,因其判定根據為當時之記錄,如已遭感染,則其記錄為一已
中毒之程式,所以執行前須利用其他程式確定。
優點:
因其不認病毒碼,故不會誤判,亦不須時常更新版本,對新病毒依然有效
。
缺點:
作記錄前需確定無毒,而程式本身無法做這項工作,需仰賴其它程式完成
,使用者若自行修改程式或組譯執行檔,亦會被提出警告。
須對程式做備份,以便中毒後用備份去覆蓋中毒程式,故使用前須有萬全
的準備。
採用者:
MSCAN(
神通)、ANTI-VIRUS。■移植檢查法
原理:
事前對每一個檔案移植一段自我檢查程式,只要程式受感染就會自我發現
、自我治療,這一自我還原之預備動作,為移植一段自我檢查碼到可執行
程式後,如同加值總和法,需事前確定程式無毒,且須對每一程式做同一
動作。
優點:
因對原程式做好還原預備動作,只要程式受到感染,就會自行還原,無須
靠備份程式加以覆蓋。
因其對原程式做檢查碼,故不認病毒碼、不需時常更新版本,對於新的病
毒依然有效。
缺點:
做還原預備動作前,需確定無毒,而程式本身無法做這一項工作,須仰賴
其它程式,對每一程式都需作一自我檢查程式,十分麻煩,且每一個程式
的檔案長度都會增加,佔用許多記憶空間。
採用者:
病毒剋星
(VIRUS BUSTER)、病毒免疫大師(第三波)、ANTI-VIRUS、V-SHIELD(McAFEE)
。以上三種方式若遇到隱形式病毒,則根本無法發覺。
例如:
82
年4月才發現的新型隱形病毒 ─DREAMING KING (唅瞑國王),因為它為新發現的病毒,故病毒過濾法定無法於中毒時攔截,而且其每次感染均會自行
編碼,病毒碼的採碼工作十分不易;如欲檢查被該毒感染的檔案,則由於
DREAMING KING
會植入DOS 系統內,監控DOS 的行為,並且將程式的正確資料還原,故加值總和法與移植檢查法也無法查出檔案已中毒。
■防寫卡:
原理:
利用硬體控制硬碟的防寫動作,使病毒不易侵入。但當用戶真正要寫資料
時,卻可能使病毒有機可乘。
優點:
由硬體直接控制寫入的動作,病毒在該卡關閉狀態無法對硬碟進行感染或
破壞。
缺點:
當使用者需做寫入動作時,即失去偵測病毒之能力。
例如:
NOCOPY
是檔案感染型的病毒,該毒僅在作COPY的動作時才進行感染,若在COPY
的狀態下中此毒,該卡絲毫無防禦能力。採用者:
C
:CURE(Leprechaun)。■
EEPROM:原理:
利用記憶體的技術,備份
PARTITION TABLE、BOOT SECTOR,每次開機作比對,一旦發現異狀即表示中毒,可馬上進行備份覆蓋的解毒動作。
優點:
發現中毒時,可用備份覆蓋解毒。
缺點:
對於合法的修改也會當成病毒,對於檔案感染型兼開機型、爆炸型病毒則
無用。
使用者亦可自行以硬碟或軟碟備份開機區資料,取代所提供的功能。
例如:
CANCER
是開機型兼檔案感染型的病毒,每當執行中毒檔案時,便感染硬碟的開機區,亦可對檔案進行感染,
EEPROM此時並無法對病毒的感染進行攔截。
採用者:
PC-Cillin(
趨勢)。■防止軟碟啟動卡:
原理:
由於開機型病毒常由軟碟開機時進入,故此卡或防毒晶片在即時預防病毒
由軟碟進入。
優點:
可避免因軟碟開機所引起的部份開機型病毒。
缺點:
除了因軟碟開機所引起的開機型病毒之外,對於所有檔案感染型病毒、特
洛伊型病毒以及開機型兼檔案感染型病毒,即無法防治。
例如:
大榔頭第六代(
HAMMER VI) 即為開機型兼檔案感染型病毒,此毒即使不透過軟碟開機,亦可能由檔案的感染,達到
FORMAT硬碟的破壞力,使用防止軟碟啟動卡此時就無法盡到保護的責任。
採用者:
PC-cillin
、V-card(DIGITAL)、VirusStop(Multix)。■智慧偵防解毒法
原理:
根據病毒的行為,事先預知病毒的動作,進而攔截開機型、檔案感染型、
特洛伊型病毒,不必對程式作特殊處理,不需檢查病毒碼,無需事先處理
,任何中毒程式皆可偵測出來及防止其破壞爆炸。
其解毒方式為對舊有病毒提供現成之解毒配方,對新病毒進行採樣、分析
程式,根據分析配出新配方,解掉新病毒。
優點:
無須任何事前預備,可安心使用每個程式,無需花時間比對病毒碼,不浪
費時間、也不因此而誤判,對事前毫無症狀之炸彈型病毒亦可防止其破壞
;對已中毒,而無乾淨之備份程式亦可救回。
缺點:
觀念獨特、操作方式不如其它程式為人所熟悉;功能甚多,每一功能都有
其步驟,不如其它單一功能、單一操作簡單。
改進:
盡量簡化其步驟及其訊息使得使用更方便。
採用者:
ZLOCK(
金帥)、ZCOP(金帥)、ZCA(金帥)。■總結:
目前的防毒產品,可概分為由硬體輔助或純軟體來執行,以硬體為輔的解
毒產品,其功能幾乎均以硬碟開機或備份開機區資料為主。然而,以
1990年以後出品的
AMI BIOS而言,就已經提供了設定由硬碟開機的功能,足可取代由硬碟輔助的解毒軟體。使用者於電腦開機時,可壓
<DEL 或<ESC鍵即進入
BIOS的設定,其中選擇 ADVANCED BIOS SETUP,將游標移至<SYSTEM BOOT UP SEQUENCE
選項,設定<C:A:,即完成了由硬碟開機的設定。
至於,開機區資料的備份,當然可用軟碟或硬碟來存放。
為了防止開機型病毒及蔓延更廣的檔案感染型、爆壞力更強的特洛伊型病
毒的為害,慎選功能齊全的防毒軟體,方能一勞永逸。