对反病毒产品你应该知道的几个事实

申明：这里需要强调的是，反病毒产品（包括反间谍产品）是保证计算机安全的一个重要组成部分。本文的主要目的是为了让读者了解到反病毒产品的局限性，以便能更好的保护计算机系统。

我看到许多计算机用户在安全认识上都有着这么一个误区：只要我的系统上安装了一个反病毒产品，就可以高枕无忧，万事大吉了？反病毒产品自然会保护我的系统不受攻击，我的系统现在安全了。

错错错！

在安全领域中有这么一句话：比没有安全更糟糕的是虚假的安全。如果你采取的安全措施 仅仅是安装了一个反病毒软件的话，非常可能，你的系统只是拥有一个虚假的安全。

为什么？

事实一，反病毒产品的工作原理是基于样本文件的特征码扫描。

无论是反病毒软件，还是反间谍软件，工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。这个特征代码可以是一段特定的字符串，对程序特定区域的一个Hash，仿真运行（Emulation）时的一段特定指令，等等。

那么，如果反病毒公司没有拿到病毒样本，就无法提供查询病毒的特征代码。有了病毒样本，才有扫描的特征代码。所有反病毒产品，都是基于这种被动式的工作原理。至于炒作的很热的主动式防御，这类技术目前还并不成熟，最大的问题是虚假误报（false positive）。

但是，计算机攻击的目的和模式发展方向是更具有针对性和特定性的攻击。见2006年计算机安全发展最新趋势

(http://blog.csdn.net/chengyun_chu/archive/2007/03/17/1531842.aspx)

· 从大规模网络传播，向小规模受控传播变化。不再是以传播的速度越快越好，而是有意识的将传播的速度放慢，以延迟被安全软件公司发现的时间。

· 从没有特定用户，向针对特定的用户群变化。不再是以感染用户的数目越多也好，而是有意识的针对特定的用户群（如地域，公司等），以降低被安全软件公司发现的机会。

· 从没有特定攻击目的，向有特定的目的变化。不再是简单的要登上报纸的头版，或者是恶作剧，而是有特定的目的，即窃取用户的机密信息，如银号账号，密码等，以获取经济上的利益。

那么不难看出，

局限一：

对于小规模，特定范围传播的病毒（这是计算机病毒发展的最新趋势），反病毒软件公司可能没有得到病毒样本，因此也无法提供特征代码。那么，对这些病毒，反病毒软件就无法检测到。即使反病毒软件公司提供特征代码，与病毒传播也有时间间隔。这段时间里，用户也是不被保护的。

事实二，反病毒产品是运行于操作系统平台上的应用。它无法替代操作系统的核心安全性能。

以Windows系统上的反病毒产品为例。几乎所有的反病毒产品都包括以下两个部分，运行于用户模式（user mode）下的应用界面，和运行于核心模式（kernel mode）下的一个文件系统的驱动程序（file system driver）。一个反病毒产品能看到的系统状态，例如系统中有哪些进程在运行，系统的硬盘有那些文件，系统的注册表（registry）中有哪些配置，都是由操作系统的核心模式提供的。

一个令人担心的趋势就是Windows系统中的Rootkit的发展。所谓Rootkit，简单的说，就是这么一类软件，修改操作系统的工作方式，以达到隐藏特定信息（如系统中有哪些特定的文件，进程等等）的目的。那么，一旦操作系统的核心模式已经被Rootkit攻击，那么，反病毒产品看到的系统的目前工作状态都可能是虚假的信息，又如何能进行有效的扫描呢？

局限二：

对于针对操作系统的核心攻击，如Rootkit，仅依靠反病毒产品，是无法提供有效的保护的。

事实三，反病毒产品针对的是传统的通过文件传播（病毒，间谍软件）的攻击模式。

问题是，病毒，间谍软件，只是对计算机系统的攻击手段的一种。比如说对普通用户而言，网络钓鱼（phishing website），XSS（cross-site scripting）攻击以窃取用户的敏感数据，对企业用户而言，SQL攻击，提升权限攻击（elevation of privilege ）等等，都不是反病毒产品所能涵盖的。

局限三：

针对计算机系统的许多攻击手段，如XSS（cross-site scripting）攻击，是反病毒产品不能保护的。

总结：反病毒产品是计算机安全环节中的一个重要组成，但是，它仅仅是其中的一环，有自身的局限性。期待仅仅依靠反病毒产品来保护计算机系统的安全，是不现实的。一个完善的计算机安全系统，需要有其它许多构件支持，如操作系统的安全性能，补丁管理（Patch Management），防火墙，用户教育，物理安全，网络管理，数据库安全等等。