关于反病毒软件的话题

hwj3

众所周知，目前的反病毒软件名目繁多，究竟谁好谁坏，也不清楚。
只知道国产的，瑞星的广告是挺多的。
老外的，以前用诺盾，这几年估计也钝了，卡巴斯基成了后起之秀。

但是，我发现，所有的杀毒软件都是一个道理。就是必须升级病毒库。
通常所说的查杀未知病毒，也就是根据病毒行为特征，进行启发式扫描查杀。
但目前杀毒软件最主要的查毒方式依然是根据病毒特征代码来判定。

这种依赖网络升级病毒库的方式，我觉得始终不是很好的。
比如家庭使用的pc,如果不能够联网，就是你买了杀毒软件，也是废品。

我最近萌发一个想法，就是什么是病毒。
病毒的理解，我这样认为：在你使用机器期间，能正常工作，并能保证数据的完整性，准确性，不发生信息泄露。那么我可以认为，这台机器不存在病毒。

这就是病毒与正常程序共存的理念。
这就好比一个人得了癌症，但是在癌症发作前，这个人已经死了。我们就可以说，这个人根本没有癌症，是一个道理。

这个想法有什么用处呢。

我在考虑，就是这台机器即使感染了病毒，但是病毒特征无法表现出来。那么就可以说，这台机器没有感染病毒。在反病毒软件工作中，我们可否这样考虑：对基于操作系统的文件系统的利用序列密码（利用完全基于硬件的LFSR形成）加密，形成一个连病毒都不认识的操作系统和文件它怎么感染阿。就象unix下ELF格式的文件相关病毒较少，而不像WIN下的PE文件病毒较多一个道理。只有我要处理数据的时候，才在内存中进行解密相关数据（解密密钥同加密密钥）。应该是可以抵抗多态啊，变形之类的病毒。再也不用升级病毒库拉！
系统还有改善的就是如何对付内存病毒，我还没想到好点子。
还有系统的反病毒的实现，不仅仅是软件，还要依靠部分硬件。如LFSR,否则要利用软件来实现LFSR，我想这样会大幅度降低系统性能的。

希望大家给提提意见.

注：LFSR（liner feedback shift register)构成的m序列为序列密码的驱动序列。

[ 本帖最后由 hwj3 于 2006-6-26 16:53 编辑 ]

testab

[quote]原帖由 hwj3 于 2006-6-26 16:49 发表
众所周知，目前的反病毒软件名目繁多，究竟谁好谁坏，也不清楚。
只知道国产的，瑞星的广告是挺多的。
老外的，以前用诺盾，这几年估计也钝了，卡巴斯基成了后起之秀。

"卡巴斯基成了后起之秀。"  这个说法是错误的,卡巴斯基一直都很优秀.

"保证数据的完整性，准确性，不发生信息泄露。那么我可以认为，这台机器不存在病毒。"
晕倒,这样的想法真的很可怕,看来是没有分析过病毒.有人说过,分析1个病毒,10个病毒,100个病毒,1000个病毒之后的境界和认识想法有很大的区别. 简单的例子:这个病毒就是占用cpu资源,每隔5秒钟弹出一个对话框.也满足你说的要求.这样的机器还能用吗?


病毒可以在内存中感染系统文件.所以你后面说的 基本不成立.  请不依靠所谓的密码来保证程序的安全性.

hwj3

"卡巴斯基成了后起之秀。"  这个说法是错误的,卡巴斯基一直都很优秀.
呵呵，我一直没有使用过卡，最近下载安装使用了下。是应为在今年年初的杀毒率排行榜上，它排了老大吧。
但是我在使用过程中发现，该软件特别耗费系统资源。有时候，机器就不动了。所以，我平时用瑞星（正版）的防护，卡是停止使用的。感觉系统有异样的情况下，再使用卡来彻底扫下系统。

晕倒,这样的想法真的很可怕,看来是没有分析过病毒.有人说过,分析1个病毒,10个病毒,100个病毒,1000个病毒之后的境界和认识想法有很大的区别. 简单的例子:这个病毒就是占用cpu资源,每隔5秒钟弹出一个对话框.也满足你说的要求.这样的机器还能用吗?

呵呵，的确，我没有分析过病毒。但是病毒的分析过程往往都是被动的，都是接受到病毒样本后，再分析，写出相应的杀毒代码出来。

“有人说过,分析1个病毒,10个病毒,100个病毒,1000个病毒之后的境界和认识想法有很大的区别.”呵呵，我觉得分析10个病毒与分析100个病毒的差别，就是技巧熟练，经验丰富了，当然薪水也不一样了：（
本质上来说，都是疲于奔命的分析不同的新病毒样本，而没有一劳永逸地来解决杀毒办法。

“简单的例子:这个病毒就是占用cpu资源,每隔5秒钟弹出一个对话框.也满足你说的要求.这样的机器还能用吗?”
我再“保证数据的完整性，准确性，不发生信息泄露。那么我可以认为，这台机器不存在病毒”之前，还有段文字，楼上的可能忽略了。那就是前提条件：在你使用机器期间，能正常工作。

“病毒可以在内存中感染系统文件.”这点也就是我所说的内存病毒吧？我担心的问题，不是该类型的病毒感染我假想中加过密的系统文件。而是，我假想中的数据解密过程得在内存中完成。这个时候，解密的数据是裸露的，能被内存病毒认识而感染。

“所以你后面说的 基本不成立.  请不依靠所谓的密码来保证程序的安全性”
呵呵，我只是假想，想利用密码系统来保证系统的安全。当然，是否成立肯定还得依赖大家多多指点，
提出宝贵意见啊。

谢谢楼上的分析阿，能不能再提出一些一招让我毙命的问题。

其实，我的想法核心问题就是：病毒能否侵害我所谓加密过的系统（包括从bios里开始引导数据到平时使用的DOC文件都给加密了过的系统）。

testab

[quote]原帖由 hwj3 于 2006-6-27 10:48 发表
"能不能再提出一些一招让我毙命的问题。"

去反病毒厂商那 做两年病毒分析,然后做三年程序员(方向:写杀毒引擎).
瑞星 江民 金山 根本和AVP不是一个重量级的.原因如下:
1.病毒库结构
2.特征码的提取和计算方式
3.虚拟机和启发扫描
4.驻留内存的病毒清除
5.脱壳的能力(实际上是数学功底)
.... 这些国内的几乎无法和AVP 相比.

testab

原帖由 hwj3 于 2006-6-27 10:48 发表
我的想法核心问题就是：病毒能否侵害我所谓加密过的系统（包括从bios里开始引导数据到平时使用的DOC文件都给加密了过的系统）。  ...

肯定能侵害.因为doc文件在使用的时候要解密.
很多病毒也用加密方法,最终在内存中要有解密的过程,否则自己都不认识自己了.

uuhs_hiei

用正版操作系统，及时打补丁，安装合法发布版的软件，那防病毒基本没用