Trend Micro
產品介紹 下載專區 技術支援 網路安全百科 熱門活動 關於趨勢



line
line
line
line
line
line
line

基本概念

認識電腦病毒

認識病毒碼與掃瞄引擎

認識防毒技術

line
drip
drip space
防毒入門-基本概念-防毒軟體常用的病毒防治技術有那些?

病毒碼掃瞄法
加總比對法
(Check-sum)
人工智慧陷阱(Rule-based)
軟體模擬掃瞄法
VICE(Virus Instruction Code Emulation) - 先知掃瞄法
即時的
I/O掃描(Realtime I/O Scan)
文件巨集病毒陷阱(MacroTrapTM)
空中抓毒(On The Fly ?

病毒碼掃描法

將新發現的病毒加以分析後, 根據其特徵, 編成病毒碼, 加入資料庫中。以後每當執行掃毒程式時, 便能立刻掃描程式檔案, 並作病毒碼比對, 即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillinServer Protect, 利用深層掃描技術, 在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間), 大多數防毒軟體均採用這種方式, 但其缺點是無法偵測到未知的新病毒及以變種病毒。

加總比對法(Check-sum)

根據每個程式的檔案名稱、大小、時間、日期及內容, 加總為一個檢查碼, 再將檢查碼附於程式的後面, 或是將所有檢查碼放在同一個資料庫中, 再利用此Check-sum系統, 追蹤並記錄每個程式的檢查碼是否遭更改, 以判斷是否中毒。一個很簡單的例子就是, 當您把車停下來之後, 將里程表的數字寫下來。那麼下次您再開車時, 只要比對一下里程表的數字, 那麼您就可以斷定是否有人偷開了您的車子。 這種技術可偵測到各式的病毒, 但最大的缺點就是誤判斷高, 且無法確認是哪種病毒感染的。對於隱形飛機式病毒, 亦無法偵測到。

人工智慧陷阱(Rule-based)

人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來, 一旦發現記憶體的程式有任何不當的行為, 系統就會有所警覺, 並告知使用者。這種技術的優點是執行速度快、手續簡便, 且可以偵測到各式病毒;其缺點就是程式設計難, 且不容易考慮週全。不過在這千變萬化的病毒世界中, 人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-cillin, 就對病毒的可疑行為設下了將近12道的陷阱, 以達到預防重於治療的目標。

軟體模擬掃描法

軟體模擬技術專門用來對付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次傳染時, 都以不同的隨機亂數加密於每個中毒的檔案中, 傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行, 在其設計的DOS虛擬機器(Virtual Machine)下假執行病毒的變體引擎解碼程式, 安全並確實地將多型體病毒解開, 使其顯露原本的面目, 再加以掃描。

VICE(Virus Instruction Code Emulation)先知掃描法

VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器, 模擬CPU動作並假執行程式以解開變體引擎病毒, 那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此VICE將工程師用來判斷程式是否有病毒碼存在的方法, 分析歸納成專家系統知識庫, 再利用軟體工程的模擬技術(Software Emulation)假執行新的病毒, 則可分析出新病毒碼對付以後的病毒。

即時的I/O掃描(Realtime I/O Scan)

Realtime I/O Scan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作, 希望能夠在病毒尚未被執行之前, 就能夠防堵下來。理論上, 這樣的即時掃描程式雖然會影響到整體的資料傳輸速率, 但是使用Realtime I/O scan, 檔案傳送進來之後, 就等於掃過了一次毒, 整體來說, 是沒有什麼差別的。

文件巨集病毒陷阱(MacroTrapTM)

MacroTrapTM 是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rule base) 來偵測已知及未知的巨集病毒。 其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!

空中抓毒(On the flyTM)

「空中抓病毒」--趨勢科技網路防毒專利剖析
1997422日,對來自台灣的電腦病毒防治專家趨勢科?是一個很重要的日子。那一天,趨勢科技得到了一項重要的專利,一項可據以保護企業網路在使用InternetIntranet時不受電腦病毒侵入的技術專利。這個編號5,623,600的專利,其標題為「Virus detection and removal apparatus for computernetwork」,簡單地講,就是「在電腦網路中偵測並移除病毒的機置」。
這種抓毒的方式究竟有什麼特別呢?和傳統的防毒方式又有什麼不同呢?這一直是大家所好奇的問題。二、三年前,所有的防毒軟體,不管是在伺服器上或是在一般的用戶端電腦上,所採取的技術不外乎「偵測及清(
Huntand Kill)」,也就是攔截在所有的檔案輸出及輸入動作,當一台電腦上有檔案被寫入或被讀出時,馬上檢查其中是否含有電腦病毒。事實上直到現在這仍是很重要的電腦防毒的方式,那麼為何趨勢科技要發展什麼新觀念或新技術呢?吃飽了沒事幹嗎?這當然是有很重要的原因的……

新的病毒威脅

首先我們回到問題的原點如何防止電腦病毒的散播呢?讓我們先想想病毒是如何傳播的。由於超過95%的病毒都會附著在檔案上,再透過檔案的傳遞而散播,因此保護每一個傳播檔案的途徑,就是防毒軟體首先要考慮的重點。那麼在現在的企業網路環境中,檔案會透過那些途徑散播呢?基本上,這包含了:

透過PC磁碟片的拷貝。
透過檔案伺服器共用檔案。
透過電子郵件的附加檔。
透過
Internet下載,例如FTPHTTP等等。

傳統上我們只要管好每一台PC及檔案伺服器就可以了,但隨著郵件系統及Internet的盛行,每天有更多的檔案會來自電子郵件及Internet的下載,無形中也增加了更多病毒入侵企業網路的機會。事實上根據NCSA19974月的報告顯示,有45%的病毒感染是來自電子郵件的附加檔!因此對於企業用戶的防毒規劃而言,在保護好用戶端PC及檔案伺服器的同時,更需注意到別讓電子郵件及Internet的下載成為您系統安全的漏洞。也正就是預期到了這股防毒新趨勢,因此趨勢科技在1995年的時候,就開始規劃在郵件系統中及Internet連線時的防毒軟體。

新的解決方案

傳統的防毒軟體可以解決來自電子郵件或Internet的病毒威脅嗎?當您把一個有病毒的電子郵件的附加檔存入磁碟時,沒錯,在這台PC上的防毒軟體抓到它了。可是,當您要把這封電子郵件繼續傳遞給別人時,所送出的附加檔仍然是郵件伺服器中的那個有病毒的檔案。也就是說,傳統的防毒軟體所抓到的,只不過是那個含病毒的檔案的分身,如果要真正抓到病毒的本尊的話,就需要一個新的解決方案,在病毒進入郵件伺服器之前,就能把它抓到。
舉個例子來說,如圖
1,當一企業把網路連上Internet時,通常都會有一台smtp伺服器做為電子郵件的閘道器(Gateway),接著才有smtp伺服器或其它的電子郵件伺服器。如果我們能夠在這個進入點掃瞄所有的電子郵件附加檔,並即時地把病毒攔截下來,不就可以保障所有進入郵件伺服器的電子郵件都是乾淨的嗎?

這個觀念很簡單,可是卻沒有任何一個PC端或檔案伺服器的防毒軟體做得到。為什麼呢?當您仔細想想這個做為進入點的閘道器,您會發現,通常它都只做為一個電子郵件的中繼點。也就是說,它的左手從Internet收到smtp格式的電子郵件,可能右手馬上就送給真正處理電子郵件的伺服器,它完全不會把郵件的附加檔存在閘道器的磁碟中,因此那些攔截在檔案系統的防毒方式自然沒有辦法可以抓到隱藏在郵件附加檔中的病毒。那麼趨勢科技的解決方案又是如何做到的呢?

空中抓病毒

事實上,這套得到專利的技術並不是那麼艱澀難懂。簡單地說,就是在資料傳輸過程中所會經過的一個節點(Node,就是一台電腦)上設計一套防毒軟體,可以把網路中所有可能帶有病毒的資訊進行掃瞄,

接收從網路中送來的資料。
把我們要掃瞄的資料在這台電腦中暫時儲存起來。
掃瞄所儲存的資料,並根據管理者的設定處理中毒的檔案。
把檢查過或處理過的資料繼續送到它原來要傳送的電腦。

其實也就是「接收」、「暫存」、「掃瞄」、「傳送」四個步驟。我們在許多趨科技的文件中可以看到「Catch viruses on the fly--「空中抓病毒」,就是這個意思,因為我們在病毒被傳遞的過程中就可以把它攔截到了。聰明的讀者朋友們,一定會說:「這一點也不難嘛!」。沒錯,在現在看起來,這個觀念並不是非常地驚天動地,但在二年前Internet及電子郵件尚未成為主要的病毒傳播的管道時,趨勢科技卻是首先想到這樣子的防毒方式及技術,並且首先有了真正的產品?/FONT>InterScan VirusWall,當然同時也把這整套技術及觀念送去美國國家專利局申請註冊專利。

如何在空中抓病毒?這四個步驟的詳細情形又是如何呢?

接收
當我們在接收網路上的資訊時,為了不要影響到整體的網路效率,首先就是要能分辨出那些資訊是我們需要掃瞄的。例如沒有附加檔的電子郵件就不需要掃瞄,或是像使用Telnet時所傳送的封包(Packet)也不需要掃瞄。所以攔截資訊的地方就很重要,您可以在網路的底層以類似封包過濾(Packet Filtering)的方式來做;也可以攔截在郵件系統接收電子郵件的部份。以趨勢科技的InterScan VirusWall而言,我們是攔截在TCP的傳輸埠(Port)上,例如smtp為port 25、FTP為port 21等等。

暫存
當資料接收進來時,由於是以一個個封包收到的,為了要能夠分析或掃瞄它,我們必須把這些資料暫存起來;例如當我們發現一個被UUENCODE編碼過的電子郵件,或是一個被PKZIP壓縮的附加檔案,我們要能夠解碼及解壓縮。暫存的空間最方便的就是這台電腦的磁碟中了,不過如果系統允許的話,當然也可利用記憶體(RAM)來暫存以加快速度。這些暫存的空間一用完就要還給系統,暫存檔也要刪除掉。

掃瞄
當我們把可能帶有病毒的檔案儲存起來並解碼、解壓縮之後,就可以進行病毒掃瞄及相關的處理動作了。一般來說,這個階段包括了以下的工作:

病毒偵測掃瞄。
發現病毒時對帶毒檔案的動作,例如清除病毒、刪除附加檔等等。
發現病毒時,發出警訊給相關人員,例如系統管理者、送信人、收信人等等。
發現病毒時,在電子郵件的內容中加入警告訊息;或是確定附加檔案沒有病毒時,在電子郵件的內容中加入認證訊息等等。

傳送
最後,我們當然要把檢查過的資訊送到它原來的目的地,例如原來的smtp閘道器,以讓資訊可以正常地傳遞。

什麼資訊需要檢查?

網路中有各式各樣的資訊在傳遞,我們到底需要檢查那些資訊呢?一般說來,只要有可能據以傳送檔案的通訊方式都需要檢查,例如傳送電子郵件的smtp、傳送檔案的FTP、以及瀏覽網站的HTTP等等。因此,在趨勢科技的專利中,也分別針對這些通訊方式的保護有詳細的描述,不過基本上都是「接收」、「暫存」、「掃瞄」、「傳送」四個步驟。

該專利的影響

擁有了這個專利後,幾乎就等於宣告了在Internet閘道器及郵件伺服器上的防毒軟體,只有趨勢科技擁有獨家的技術。其它任何生產防毒軟體的廠商,如果未經趨勢科技授權而開發類似的產品,勢必侵犯到趨勢科技的專利權。事實上,過去幾年來,當趨勢科技專注於新技術開發的同時,由於沒有注意到如何保護自己的智慧財產,往往在一個新產品或一種新技術開發出來後不久,就遭到其它廠商的模仿。趨勢科技在技術領先的例子實在太多了:如第一個使用病毒行為監控的病毒陷阱技術、以及第一個在Novell的NetWare伺服器上做到即時掃瞄的技術等等。在鼓勵研發、注重專利的美國,一個來自台灣的防毒軟體公司居然可以領先全世界的同業開發出全新的網路防毒技術,並進而得到專利權,相信對台灣整體的軟體發展環境應有莫大的鼓勵作用。


產品介紹用戶下載專區技術支援採購指南
經銷商專區IT菁英會TCSE專區網路安全百科
           


Copyright 1989-2003 Trend Micro, Inc. All rights reserved. Legal notice