反病毒是一场漫长的战争

王学海

层出不穷的病毒给计算机用户带来了巨大的损失与烦恼，
人们不禁要问：今后病毒的发展将会怎样？我们如何应对？

病毒的发展趋势

病毒的发展史几乎就是计算机技术的发展史。

80年代末，病毒开始出现和流行。最初的病毒主要是引导型、
文件型以及两者结合的混合型，主要是用来攻击计算机的引导
区和文件，当时人们很难想象还有其他的方式来攻击计算机系统。

DIR病毒的出现打破了防病毒的所有防线，它利用计算机系统
的特定结构，找到了攻击计算机的新方法，当时几乎所有的反
病毒产品都吃了败仗。

随后人们不断发现，只要计算机技术有新的发展，病毒技术就
立刻有新的突破：随着WINDOWS的出现，出现了专门攻击WINDOWS
格式文件的病毒；由于微软提供了宏指令，立即有人制造了完
全利用宏编写的病毒，而且由于宏指令简单明了，方便强大，
极易修改，大大降低了编写病毒的难度，因此造成了宏病毒及
大量变种的泛滥；NT网的商业化普及，又使得专门攻击NT网络
服务器的网络病毒开始流行，病毒甚至学会了如何窃取网络管
理员的特权，在网络比较空闲的时间进行复制和破坏；主板厂
家为方便用户，开发了无跳线、可用软件修改系统参数的计算
机主板，反应敏捷的病毒设计者马上使用这些刚出现的新技术
编制了有名的CIH病毒，居然可以毁坏计算机！最令人头痛的是
伴随因特网出现的邮件病毒，例如今年3月27日出现的美丽杀手，
其爆炸性的传播能力可以保证其在24小时内传遍全球，造成全球
性的网络瘫痪。

任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯
定，只要出现了一项新的计算机技术，充分利用这项新技术编制
的新病毒就一定离我们不远了。

无论我们是否愿意，新病毒将伴随着我们走向明天。

　

　

杀病毒面临独木桥

对任何反病毒厂商来说，病毒可以分为两类：已知病毒和未知病毒。

杀病毒的过程是：先收集病毒样本，剖析病毒，将病毒传染的过程
准确地颠倒过来，反着运行一遍，被感染的计算机就恢复了原状，
病毒就被杀掉了。这方法听起来似乎十分原始，但世界上所有的杀
病毒软件，无论其宣称使用的杀毒技术术语如何深奥，实际上至今
还没有人发明出第二种更高明的实用杀毒方法。杀毒唯此一条独木
桥。

对付未知的病毒，虽然人们已经想出了许多办法，但由于都不够可
靠，目前都只能作为辅助的手段配合使用，无法独立推广。

因此可以看出，世界上没有杀不掉的病毒，但必须先搜集到病毒样
本，使其成为已知病毒，然后向用户提供升级库，不断升级。这就
是为什么主要反病毒公司都要频繁升级。

目前的杀病毒技术和产品已经完全能够杀除所有的约两万种已知病
毒，用户只需阅读一下杀病毒软件里列举的已知病毒名单就知道其
杀毒能力，但用户对付未知新病毒的手段只能是不断升级。

技术上不能一劳永逸解决病毒问题，决定了我们只能永远跟在新病
毒后面不停地爬行。

成熟的全面防病毒技术

杀病毒只是反病毒技术最原始的要求，根本不能满足用户的需要。

用户早就明白要经常使用杀病毒软件对计算机进行查杀，但只要用
户使用磁盘、光盘、网络或硬盘中的文件，时时都存在重新染毒的
可能性，谁也做不到每天都无数次频繁进行查杀，单位的网络更不
可能停下来进行全网杀毒。这就要求反病毒软件必须具有全面防毒
功能。

以中国证券报社的计算机系统为例：由13个NT和NETWARE网络服务器
为骨干，通过卫星和有线网连接深圳、上海的证券交易所和各地券
商以掌握实时股票行情，通过电话线路和分布各地记者手中的电脑
传输各种信息，并与行情、采编、办公、出版、发行等部门通过网
络共享。众多的客户端分布在如此广泛的地域，每个点每时每刻都
存在感染病毒的可能性。报社最后采用了具有实时监视、自动解压
缩和全平台防护三项技术的防病毒方案，实现了全网防毒，网络连
接的每一个点上即使全部遭遇病毒的攻击，病毒也不能进入报社网
络，系统管理员只需有空时看一看系统日志，就知道系统何时、何
地受到何种病毒攻击，防病毒体系是如何处理的。

如将使用上述三项技术的防病毒软件用于个人的单机，那么所有的
已知病毒就再也不能进入计算机。这种保护水平和频繁杀毒的做法
完全是两个概念，不可同日而语。这就是为什么在4月26日的CIH病
毒大爆发中，大批计算机损失惨重，但使用全面防毒技术的大量用
户却无一受损的根本原因。

仅有杀毒是不够的，必须尽快采用全面防毒技术，使我们避免已知
病毒的攻击。

反病毒的难点在哪里

从对付一个具体病毒来说，收集分析样本、编写一个针对性的杀毒
软件，然后将其杀除，并不是一件很难的事，一般的软件工程师稍
加培训就能胜任。但要形成一个优秀的商业化反病毒软件，反病毒
厂商将遇到两大难题：

一是病毒收集网的建立耗资巨大。随着因特网的迅猛发展，信息的
交流已经没有国界限制，从隔壁办公室获取信息与从美国获取信息
对因特网来说并无区别，甚至速度上也感觉不到差别。但信息的无
国界必将带来病毒的无国界，为了尽快将大约每月几百个新出现的
未知病毒变成已知病毒，就必须在全球范围建立病毒收集网，这是
一件耗资巨大的工作。今后反病毒行业的竞争很大程度上将是病毒
收集能力的竞争，这就是为什么许多厂商要投入巨资建立全球性的
病毒搜集网。

二是计算机系统的底层资料难以掌握。微软的DOS是人们掌握得比较
彻底的操作系统，因此DOS版的软件编写就容易些。但WINDOWS、MOCRO、
NT、NETWARE等大量的操作系统、应用系统和网络平台的底层技术资
料都没有完全公开，作为系统支撑层的防病毒软件由于要实现防毒就
必须对系统全面监控，就必须作到与系统底层的无缝连接，不能象应
用软件那样仅从应用层编写即可，否则系统运行的效率将很低。但要
掌握众多平台的底层资料，就必须和国外众多大型系统厂家保持密切
合作，并有一个相当规模的开发队伍来分别掌握这些底层技术，小型
厂商很难拥有这种实力。未来反病毒技术的竞争将集中在一些实力雄
厚的大型软件厂商之间进行，实力是竞争的基础。

反病毒对中国人来说，难度将更大。

病毒能否作为未来信息战的武器

今年3月28日，美国发生了历史上第二次重大的全国性病毒灾难。一个
名叫美丽杀手的邮件病毒借助因特网进行了一次爆炸性的传播：一个
用户收到带毒邮件，病毒将立即搜索用户通信簿上前50个地址，并将
自己复制50份发出去。这50个收信者只要看一看信件，每人就又向50
个新地址发出病毒，这样，病毒只须被看上5次，即可传播上亿个用户。
因此，美丽杀于3月26日被制造出来，只过了一天即传遍美国，28日是
星期一，早上一上班即造成了大泛滥，美国发达的因特网络为美丽杀的
传播提供了条件，也造成了大批网络由于病毒的疯狂传播，不堪重负而
瘫痪，政府机关、企业、公共信息系统等众多社会部门都因网络瘫痪而
损失惨重。美国联邦调查局亲自介入，组织计算机专家破案，最后将病
毒制造者抓获。

台湾人编制的CIH病毒也于4月26日大爆发，中国大陆至少有几十万台计
算机被攻击，损失严重。

这些病毒的攻击目标是所有的因特网和所有的计算机，并无明确的攻击
对象。但如果病毒编制人员有目的地攻击特定的目标，就可以写出有作
战意义的病毒，使敌对方造成社会混乱和重大经济损失。

病毒将来可以作为武器来使用，是关系社会稳定甚至国家安全的重要问
题。

反病毒对策

去年10月1日生效的新刑法写入了有关计算机病毒的条款，规定将制造和
传播病毒定为刑事罪，可判5年有期徒刑，这是一个巨大的进步，对遏止
病毒的产生和传播将起到很大的作用。但相关的法规还需要尽快补充。
目前执法和管理部门对社会的计算机安全管理还不够完善，法规的完备
性和可操作性都需改进，要通过法规和管理从根本上减少病毒的制造和传
播。

目前用户的防病毒技术水平都不高，绝大多数单位在设计信息系统时没有
考虑全面防病毒问题，多数人都是亡羊补牢，很少是未雨绸缪。CIH大爆发
中受损最重的是计算机应用水平并不高的中国，受损最轻的是计算机应用
发达的美国，说明了两国在反病毒技术上的差距。要通过行业或地区协调
和管理，按条条或块块提出要求，尽快提高所有单位的全面防病毒技术水
平。

要强化对病毒和反病毒技术的宣传。我们还缺乏高水平的科普，缺乏有指
导意义的专业技术文章，缺乏有组织的宣传活动。用户对病毒存在着轻视
或无奈的态度，要通过宣传普及正确的知识。

要鼓励和支持军队、科研、国有机构有组织地进行病毒技术科研，鼓励与
国际主流计算机系统厂商加强技术合作与交流，形成自己的高水平技术队
伍，尽快缩小与世界先进水平的差距，以免在将来的信息战中遭受损失。

今后病毒和反病毒技术之间的对抗将是一场漫长的战争，我们必须有充分的准备。