優點
早在80年代未,就有一些單機版靜態防毒軟體在國內流行。但由於新病毒層出不窮以及產品售後服務與升級等方面的原因,用戶感覺到這些防毒軟體無力全面應付病毒的大舉進攻。面對這種局面,當時國內就有人提出:為防治計算機病毒,可將重要的DOS引導檔案和重要系統檔案類似於網路無盤工作站那樣固化到PC機的BIOS中, 以避免病毒對這些檔案的感染。這可算是實時化反病毒概念的雛形。雖然固化作業系統的構想對防病毒來說並不可行,但沒過多久各種防病毒卡就在全國各地紛紛登場了。這些防病毒卡插在系統主機板上,實時監控系統的運行,對類似病毒的行為及時提出警告。這些產品一經推出,其實時性和對未知病毒的預報功能便大受被病毒弄得焦頭爛額的用戶的歡迎,一時間,實時防病毒概念在國內大為風行。據業內人士估計,當時全國各種防病毒卡多達百餘種,遠遠超過了防病毒軟體產品的數量。不少廠家出於各方面的考慮,還將防病毒卡的實時反病毒模式轉化為DOSTSR的形式,井以套用軟體的方式加以實現,同樣也取得了較不錯的效果。為什麼防病毒卡或DOSTSR實時防病毒軟體能夠風行一時?從表面上來看,是因為當時靜態防毒技術發展還不夠快,而且售後服務與升級一時半會也都跟不上用戶的需要,從而為防病毒卡提供了一個發展的契機。但究其最根本的原因,還是因為以防病毒卡為代表的產品技術,較好地體現了實時化反病毒的思想。如果單純從套用角度考慮,用戶對病毒存在情況是一無所知的。用戶判斷是否被病毒感染,唯一可行的辦法就是用反病毒產品對系統或數據進行檢查,而用戶又不能做到每時每刻都主動使用這種辦法進行反病毒檢查。用戶渴望的是不需要他們干預就能夠自動完成反病毒過程的技術,而實時反病毒思想正好滿足了用戶的這種需求。這就是防病毒卡或DOSTSR防病毒軟體當時能夠大受用戶歡迎的根本原因。
弊端
實時反病毒技術一向為反病毒界所看好,被認為是比較徹底的反病毒解決方案。多年來其發展之所以受到制約,一方面是因為它需要占用一部分系統資源而降低系統性能,使用戶感到不堪忍受;另一方面是因為它與其他軟體(特別是作業系統)的兼容性問題始終沒有得到很好的解決。近兩年來,隨著硬體處理速度的不斷提高,實時化反病毒技術所造成的系統負荷已經降低到了可被我們忽略的程度,而Windows95/98和NT等多任務、多執行緒作業系統,又為實時反病毒技術提供了良好的運行環境。所以從1998年底開始,實時反病毒技術又重整旗鼓,捲土重來。表面看來這也許是某些反病毒產品爭取市場的重要舉措,但通過深入分析不難看出:重提實時反病毒技術是信息技術發展的必然結果。為什麼在Windows環境下需要使用實時反病毒技術?這是由Windows的多任務特性決定的。對於同時運行多個任務
的情況,傳統基於DOS的反病毒技術無法在Windows環境下發揮正常的反病毒功能,因為它無法控制其他任務所使用的
資源。只有在較高優先權上,對系統資源進行全面、實時的監控,才有可能解決Windows多任務環境下的反病毒問題。
有的用戶可能會問:是否可以使用防病毒卡或傳統的常駐記憶體(TSR)技術來實現這種實時化的反病毒功能? 答
案是“不行”。由於防病毒卡存在與系統不兼容、只預防不防毒、安裝不便、誤報警等原因,已使其無法在市場上立
足。雖然在傳統DOS環境下有些反病毒產品使用了TSR實現了病毒防治的實時化,但它們卻普遍存在兼容性方面的問題。
即使我們拋開兼容性不談,假定這種TSR能夠很好地工作在Windows環境下,又將發生什麼?我們將看到Windows 仍將
它作為實模式視窗(有時又被稱為dos虛擬機)打開,這種實模式視窗所能訪問到的資源是固定的,是由Windows分配
的。出於安全性考慮,Windows不允許這個TSR訪問不屬於它的資源(特別是系統關鍵數據)。如果此時系統遭受病毒
入侵(比如病毒企圖改寫硬碟主引導扇區),將會發生什麼情況?一般情況下,TSR檢測不到這種病毒行為, 即發生
了所謂“漏報”。更嚴重的情況可能是TSR發現了這種病毒行為,但由於系統認為所涉及的資源與該TSR所屬於的實模
式視窗無關而產生了操作衝突,這種情況下,TSR非但殺不了病毒,還很有可能造成系統被掛起或系統崩潰。
實時反病毒概念最根本的優點是解決了用戶對病毒的“未知性”,或者說是“不確定性”問題。用戶的“未知性”
其實是計算機反病毒技術發展至今一直沒有得到很好解決的問題之一。值得一提的是,到現在還總是會聽到有人說:
“有病毒?用防毒軟體殺就行了。”問題出在這個“有”字上,用戶判斷有無病毒的標準是什麼?實際上等到用戶感
覺到系統中確實有病毒在做怪的時候,系統已到了崩潰的邊緣。
實時監測是先前性的,而不是滯後性的。任何程式在調用之前都被先過濾一遍。一有病毒侵入,它就報警,並自
動防毒,將病毒拒之門外,做到防患於未然。這和等病毒侵人後甚至破壞以後再去殺絕對不一樣,其安全性更高。互
聯網是大趨勢,它本身就是實時的、動態的,網路已經成為病毒傳播的最佳途徑,迫切需要具有實時性的反病毒軟體。
實時反病毒技術能夠始終作用於計算機系統之中,監控訪問系統資源的一切操作,並能夠對其中可能含有的病毒
代碼進行清除,這也正與“及早發現、及早根治”的醫學上早期治療方針不謀而合了。
病毒防火牆的概念正是為真正實現實時反病毒概念的優點而提出來的。病毒防火牆其實是從近幾年頗為流行的信
息安全防火牆中延伸出來的一種新概念,其宗旨就是對系統實施實時監控,對流入、流出系統的數據中可能含有的病
毒代碼進行過濾。這一點正好體現了實時防病毒概念的精髓—解決了用戶對病毒的“未知性”問題。
與傳統防防毒模式相比,“病毒防火牆”有著明顯的優越性。首先,它對病毒的過濾有著良好的實時性,也就是
說病毒一旦入侵系統或從系統向其他資源感染時,它就會自動將其檢測到並加以清除,這就最大可能地避免了病毒對
資源的破壞。其次,“病毒防火牆”能有效地阻止病毒從網路向本地計算機系統的入侵。而這一點恰恰是傳統防毒工
具難以實現的,因為它們頂多能靜態清除網路驅動器上已被感染檔案中的病毒,對病毒在網路上的實時傳播卻根本無
能為力,但“實時過濾性”技術就使殺除網路病毒成了“病毒防火牆”的拿手好戲。再者,“病毒防火牆”的“雙向
過濾”功能保證了本地系統不會向遠程(網路)資源傳播病毒。這一優點在使用電子郵件時體現得最為明顯,因為它
能在用戶發出郵件前自動將其中可能含有的病毒全都過濾掉,確保不會對他人造成無意的損害。最後,“病毒防火牆”
還具有操作更簡便、更透明的好處。有了它自動、實時的保護,用戶再也無需隔三差五就得停下正常工作而去費時費
力地查毒、防毒了。
