Trend Micro
產品介紹 下載專區 技術支援 網路安全百科 熱門活動 關於趨勢



line
line
line
line
line
line
line

基本概念

認識電腦病毒

認識病毒碼與掃瞄引擎

認識防毒技術

line
drip
drip space
防毒入門-基本概念-認識病毒碼與掃瞄引擎

什麼是病毒碼(Virus Pattern)?
何謂掃毒引擎
(Scan Engine)?
為什麼要更新防毒元件(掃瞄引擎和病毒碼)?

由於近幾年來電腦資訊蓬勃發展, 電腦病入侵及肆虐企業界的案例更是層出不窮, 事實上, 目前世界上的電腦病毒已經超過 10,000 隻, 根據美國國際電腦安全協會 (ICSA, International Computer Security Association)的調查, 幾乎所有的北美的大型企業及機構 98% 都曾遭受過病毒的感染。
相信在工作上經常需要接觸到電腦的朋友, 應該多少都有使用過防毒軟體的經驗, 也許您現在正在計劃選購一套防毒軟體, 或許您已經是防毒軟體的忠實使用者, 可是在多數人的觀念中, 都認為只要在電腦中安裝了防毒軟體, 就從此可以高枕, 然而事實上卻不竟然, 許多人在安裝了防毒軟體之後, 最後還是難逃電腦病毒的魔掌, 這是什麼原因呢? 其實使用防毒軟體就好像您買車子一樣, 需要定期的更換機油, 檢查電瓶水。所以在接下來的內容, 就要為各位介紹使用防毒軟體的一些基本常識, 就好比您會開車也得瞭解一點機械常識, 以免萬一有天車子拋錨在一個雞不生蛋鳥不拉屎的地方, 可就求救無門了。

什麼是病毒碼 (Virus Pattern)?

所謂的病毒碼其實可以想像成是犯人的指紋, 當防毒軟體公司收集到一隻新的病毒時, 他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼 (Binary Code) , 來當做掃毒程式辨認此病毒的依據, 而這段獨一無二的二進位程式碼就是所謂的病毒碼。說到這裡又有人要問, 什麼叫二進位程式碼呢? 在電腦中所有可以執行的程式 (如 *.EXE, *.COM) 幾乎都是由二進位程式碼所組成, 也就是電腦的最基本語言 -- 機械碼。 就連當紅的文件巨集病毒, 雖然它只是包含在Word文件檔案中的巨集, 可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。病毒碼是如何產生的?上面提到病毒碼就是一小段二進位程式碼的組合, 可是一個執行檔或是一個Word文件病毒要怎麼取得病毒碼? 又如何才算是獨一無二的病毒碼呢? 其實病毒碼必須依照各種不同格式的檔案及病毒感染的方式來取得。 舉例來講, 如果有一個Windows的程式被病毒染感, 那麼我們就必須先研究出Windows檔案的格式, 看看Windows檔案是怎麼被系統執行, 以便找出Windows程式的進入點, 因為病毒就是藏身在這個地方來取得控制權並進行傳染及破壞, 知道病毒程式在一個Windows檔案中所存在的位置之後, 就可以從這個區域中來找出一段特殊的病毒碼供掃毒程式使用。

在防毒軟體公司中都會有一組電腦功力高強的人, 專門在為各種不類型的檔案或病毒抓病毒碼, 可是當病毒愈來愈多, 要找出每一隻病毒都獨一無二的病毒碼可能就不太容易, 有時後甚至這些病毒碼還會誤判到一些不是病毒的正常檔案, 所以通常防毒軟體公司在將病毒碼送給客戶前都必須先經過一番嚴格的測試, 比方說拿這些病毒碼去掃描前100大 (Top 100) 軟體都不會造成任何誤判現象, 而且都能偵測到所有的病毒才能出貨, 經過這些手續之後一個病毒碼定義檔才算是真正完成, 可放在Internet或BBS上供使用者自由 Download。

何謂掃瞄引擎(Scan Engine)?

掃瞄引擎可以說是防毒軟體中最精華的部份。當您使用一套防毒軟體時, 不論它的畫面是否精美, 操作是否簡便, 功能是否完善, 這些其實都還不足以證明一套防毒軟體的好壞, 事實上, 當您操作防毒軟體去掃描某一個磁碟機或目錄時, 它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描, 也就是說您所看到的漂亮畫面其實只是一個使用者介面 (UI, User Interface), 真正影響掃描速度及偵測率的因素就是掃毒引擎, 掃毒引擎是一個沒有畫面, 沒有包裝的核心程式, 它被放在防毒軟體所安裝的目錄之下, 就好像汽車引擎平常是無法直接看見的, 可是它卻是影響汽車性能最主要的關鍵。有了病毒碼, 有了掃毒引擎, 再配合一個精美的操作畫面, 就成了市面上您所看到的防毒軟體。

為什麼要更新掃瞄引擎和病毒碼?

在一開始提到過絕大多數的人都以為安裝了一套防毒軟體之後, 就可以從此高枕無憂, 這是一個絕對錯誤的觀念, 因為病毒的種類及型態一直在改變, 新病毒也每天不斷的被產生, 如果不經常更換最新的病毒碼以及掃毒引擎, 再強悍的防毒軟體也會有失靈的一天。舉個最明顯的例子來說, 在還沒有出現巨集病毒以前, 全世界沒有任何一家防毒軟體廠商支援巨集病毒掃描能力, 當然如果您還在沿用數年前的防毒軟體, 就無法偵測到巨集病毒了, 所以您必須使用能掃到到巨集病毒的病毒碼及支援巨集病毒的掃瞄引擎。

若只單單更換病毒碼或掃瞄引擎還是不夠的, 因為舊的病毒碼檔可能還沒加入巨集病毒的病毒碼, 或者是舊的掃毒引擎跟本還沒支援文件檔的掃毒, 因此這樣的組合還是沒辦法發揮防毒的效果。病毒碼和掃瞄引擎是防毒工作中相當重要的一環, 目前一些比較大的防毒軟體廠商都有將病毒碼及掃毒引擎放在網站上供人免費下載, 請記得定期下載最新的病毒碼或掃瞄引擎, 千萬不要讓自身的利益睡著了哦。


 

產品介紹用戶下載專區技術支援採購指南
經銷商專區IT菁英會TCSE專區網路安全百科
           


Copyright 1989-2003 Trend Micro, Inc. All rights reserved. Legal notice