AntiVirus

殺毒軟件（Antivirus 或Antivirus software）使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬的軟件。殺毒軟件通常集成監控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數據恢復等功能，是計算機防禦系統（包含殺毒軟件，防火牆，特洛伊木馬和其他惡意軟件的查殺程序，入侵預防系統等）的重要組成部分。

殺毒軟件的任務是實時監控和掃描磁盤。部分殺毒軟件通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啓動。殺毒軟件的實時監控方式因軟件而異。有的殺毒軟件，是通過在內存裏劃分一部分空間，將電腦裏流過內存的數據與殺毒軟件自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內存空間裏面，虛擬執行系統或用户提交的程序，根據其行為或結果作出判斷。殺毒軟件將會將磁盤上所有的（或者用户自定義的掃描範圍內的文件）做一次檢查。另外，殺毒軟件的設計還涉及很多其他方面的技術。脱殼技術，即是對壓縮檔案和封裝好的文件作分析檢查的技術。自身保護技術，避免病毒程序殺死自身進程。 修復技術，對被病毒損壞的文件進行修復的技術。

由於大量的殺毒軟件的出現，以及殺毒軟件病毒庫的不斷壯大，病毒被查殺的幾率也越來越大。所以有些病毒就開始通過加殼的方法來偽裝自己，企圖騙過殺毒軟件，矇混過關。為了做好病毒防禦，我們就該瞭解什麼是加殼？加殼的對立面是不是脱殼？如何脱殼等？

計算機軟件裏有一段專門負責保護軟件不被非法修改或反編譯的程序。它們一般都是先於程序運行，拿到控制權，然後完成它們保護軟件的任務，大家就把這樣的程序稱為“殼”了。從功能上抽象的講，軟件的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的文件執行時，殼－這段代碼先於原始程序運行，他把壓縮、加密後的代碼還原成原始程序代碼，然後再把執行權交還給原始代碼。軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的OEP（入口點，防止被破解）。

作者編好軟件後，編譯成exe可執行文件。有一些版權信息需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟件不被破解，通常都是採用加殼來進行保護。加殼就需要把程序搞的小一點，從而方便使用。於是，需要用到一些軟件，它們能將exe可執行文件壓縮。而在黑客界中“殼”則被用在保護病毒，給木馬等軟件加殼脱殼以躲避殺毒軟件，給網民帶來很多的麻煩。

在好萊塢間諜電影裏，那些特工們往往以神奇莫測的化妝來欺騙別人，甚至變換成另一個身份，國內對於這種偽裝行為有個通俗的説法——“穿馬甲”。而這種正與邪的爭鬥已經延伸到了病毒領域，很多病毒作者通過給病毒“穿馬甲”、甚至穿多個“馬甲”的方式，躲避殺毒軟件的查殺，這種技術就是“加殼”。 病毒作者可以通過給老病毒加殼，大批量製造出殺毒軟件無法識別的新病毒。所謂加殼，是一種通過一系列數學運算，將可執行程序文件或動態鏈接庫文件的編碼進行改變（還有一些加殼軟件可以壓縮、加密驅動程序），以達到縮小文件體積或加密程序編碼的目的。當被加殼的程序運行時，外殼程序先被執行，然後由這個外殼程序負責將用户原有的程序在內存中解壓縮，並把控制權交還給脱殼後的真正程序。一切操作自動完成，用户不知道也無需知道殼程序是如何運行的。一般情況下，加殼程序和未加殼程序的運行結果是一樣的。

既然加殼後的病毒不易被發現，那麼如何判斷一個可執行文件是否被加了殼呢？

有一個簡單的方法（對中文軟件效果較明顯）。用記事本打開一個可執行文件，如果能看到軟件的提示信息則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看文件具體加的是什麼殼。較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木馬綵衣”等等。

病毒加殼的原理很簡單，黑客營中提供的多數病毒中，很多都是經過處理的，而這些處理就是所謂的加殼。我們知道當一個普通的EXE程序生成好後，很輕鬆的就可以利用諸如資源工具和反彙編工具對它進行修改，但如果程序員給EXE程序加一個殼的話，那麼至少這個加了殼的EXE程序就不是那麼好修改了，如果想修改就必須先脱殼。病毒加殼後也是同樣的道理，我們也必須先為病毒脱殼。

有很多加殼工具，既然有矛，自然就有盾，只要我們收集全常用脱殼工具，那就不怕病毒加殼了。脱殼主要是通過工具來脱殼。

1．文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan,

2．OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3．dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4．PE文件編輯工具PEditor，ProcDump32，LordPE

5．重建Import Table工具：ImportREC，ReVirgin

6．ASProtect脱殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid

（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱殼就行了

（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版暫時沒有辦法。

（3）Upx： 可以用UPX本身來脱殼，但要注意版本是否一致，用-D 參數

（4）Armadill： 可以用SOFTICE+ICEDUMP脱殼，比較煩

（5）Dbpe： 國內比較好的加密軟件，新版本暫時不能脱，但可以破解

（6）NeoLite： 可以用自己來脱殼

（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脱殼

（8）Pecompat： 用SOFTICE配合PEDUMP32來脱殼，但不要專業知識

（9）Petite： 有一部分的老版本可以用PEDUMP32直接脱殼，新版本脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。

（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脱殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合PEDUMP32脱殼

國內也稱殺毒軟件“殺毒軟件”是由國產的老一輩反病毒軟件廠商，如金山毒霸、江民、瑞星、360殺毒等起的名字，後來由於和世界反病毒業接軌統稱為“反病毒軟件”或“安全防護軟件”。注意“殺毒軟件”是指電腦中毒，然後要殺掉病毒，反病毒則包括了殺毒和防毒兩種功能。

二十一世紀陸續出現了集成防火牆的“互聯網安全套裝”、“全功能安全套裝”等名詞，都屬一類），是用於消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。反病毒軟件通常集成監控識別、病毒掃描和清除和自動升級等功能，有的反病毒軟件還帶有數據恢復等功能。後兩者同時具有黑客入侵，網絡流量控制等功能。

一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進行清除的程序工具。

反病毒軟件的任務是實時監控和掃描磁盤。部分反病毒軟件通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啓動。大部分的殺毒軟件還具有防火牆功能。

反病毒軟件的實時監控方式因軟件而異。有的反病毒軟件，是通過在內存裏劃分一部分空間，將電腦裏流過內存的數據與反病毒軟件自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些反病毒軟件則在所劃分到的內存空間裏面，虛擬執行系統或用户提交的程序，根據其行為或結果作出判斷。

而掃描磁盤的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這裏，反病毒軟件將會將磁盤上所有的文件（或者用户自定義的掃描範圍內的文件）做一次檢查。

1．殺毒軟件不可能查殺所有病毒

2．殺毒軟件能查到的病毒，不一定能殺掉；

3．一台電腦每個操作系統下不能同時安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，且只能有一個軟件開啓防護功能）

4．殺毒軟件對被感染的文件殺毒有多種方式：1清除，2刪除，3禁止訪問，4隔離，5不處理

清除：清除被蠕蟲感染的文件，清除後文件恢復正常。相當於如果人生病，清除是給這個人治病，刪除是人生病後直接殺死。

刪除：刪除病毒文件。這類文件不是被感染的文件，本身就含毒，無法清除，可以刪除。

禁止訪問：禁止訪問病毒文件。在發現病毒後用户如選擇不處理則殺毒軟件可能將病毒禁止訪問。用户打開時會彈出錯誤對話框，內容是“該文件不是有效的Win32文件”。

隔離：病毒刪除後轉移到隔離區。用户可以從隔離區找回刪除的文件。隔離區的文件不能運行。

不處理：不處理該病毒。如果用户暫時不知道是不是病毒可以暫時先不處理。

大部分殺毒軟件是滯後於計算機病毒的（像微點之類的第三代殺毒軟件可以查殺未知病毒，但仍需升級）。所以，除了及時更新升級軟件版本和定期掃描的同時，還要注意充實自己的計算機安全以及網絡安全知識，做到不隨意打開陌生的文件或者不安全的網頁，不瀏覽不健康的站點，注意更新自己的隱私密碼，配套使用安全助手與個人防火牆等等。這樣才能更好地維護好自己的電腦以及網絡安全！

“雲安全（Cloud Security）”計劃是網絡時代信息安全的最新體現，它融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客户端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客户端。

未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬，在這樣的情況下，採用的特徵庫判別法顯然已經過時。雲安全技術應用後，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時進行採集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯網就會更安全。

雲安全的概念提出後，曾引起了廣泛的爭議，許多人認為它是偽命題。但事實勝於雄辯，雲安全的發展像一陣風，360殺毒、360安全衞士、瑞星殺毒軟件、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山毒霸、卡卡上網安全助手等都推出了雲安全解決方案。

雲安全技術是P2P技術、網格技術、雲計算技術等分佈式計算技術混合發展、自然演化的結果。

值得一提的是，雲安全的核心思想，與劉鵬早在2003年就提出的反垃圾郵件網格非常接近。劉鵬當時認為，垃圾郵件氾濫而無法用技術手段很好地自動過濾，是因為所依賴的人工智能方法不是成熟技術。垃圾郵件的最大的特徵是：它會將相同的內容發送給數以百萬計的接收者。為此，可以建立一個分佈式統計和學習平台，以大規模用户的協同計算來過濾垃圾郵件：首先，用户安裝客户端，為收到的每一封郵件計算出一個唯一的“指紋”，通過比對“指紋”可以統計相似郵件的副本數，當副本數達到一定數量，就可以判定郵件是垃圾郵件；其次，由於互聯網上多台計算機比一台計算機掌握的信息更多，因而可以採用分佈式貝葉斯學習算法，在成百上千的客户端機器上實現協同學習過程，收集、分析並共享最新的信息。反垃圾郵件網格體現了真正的網格思想，每個加入系統的用户既是服務的對象，也是完成分佈式統計功能的一個信息節點，隨着系統規模的不斷擴大，系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智能的方法更成熟，不容易出現誤判假陽性的情況，實用性很強。反垃圾郵件網格就是利用分佈互聯網裏的千百萬台主機的協同工作，來構建一道攔截垃圾郵件的“天網”。反垃圾郵件網格思想提出後，被IEEE Cluster 2003國際會議選為傑出網格項目在香港作了現場演示，在2004年網格計算國際研討會上作了專題報告和現場演示，引起較為廣泛的關注，受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理，病毒、木馬等亦然，這與雲安全的思想就相去不遠了。

國內反病毒軟件，有三大巨頭：360殺毒、金山毒霸、瑞星殺毒軟件。反響都不錯。但是都有優缺點（均已實施雲安全方案），評價與介紹如下：

360殺毒是永久免費，性能超強的殺毒軟件。中國市場佔有率第一。360殺毒採用領先的四引擎：國際領先的常規反病毒引擎—國際性價比排名第一的BitDefender引擎+修復引擎+360雲引擎+360QVM人工智能引擎，強力殺毒，全面保護您的電腦安全擁有完善的病毒防護體系，且唯一真正做到徹底免費、無需任何激活碼。360殺毒輕巧快速、查殺能力超強、獨有可信程序數據庫，防止誤殺，誤殺率遠遠低於其它殺軟，依託360安全中心的可信程序數據庫，實時校驗，為您的電腦提供全面保護。最新版本特有全面防禦U盤病毒功能，徹底剿滅各種藉助U盤傳播的病毒，第一時間阻止病毒從U盤運行，切斷病毒傳播鏈。現可查殺660多萬種病毒。在最新VB100測試中，雙核360殺毒大幅領先 名列國產殺軟第一。

360殺毒採用領先的病毒查殺引擎及雲安全技術，不但能查殺數百萬種已知病毒，還能有效防禦最新病毒的入侵。360殺毒病毒庫每小時升級，讓您及時擁有最新的病毒清除能力。360殺毒有優化的系統設計，對系統運行速度的影響極小，獨有的“遊戲模式”還會在您玩遊戲時自動採用免打擾方式運行，讓您擁有更流暢的遊戲樂趣。360殺毒和360安全衞士配合使用，是安全上網的“黃金組合”。

金山公司推出的電腦安全產品，監控、殺毒全面、可靠，佔用系統資源較少。其軟件的組合版功能強大（金山毒霸2011、金山網盾、金山衞士），集殺毒、監控、防木馬、防漏洞為一體，是一款具有市場競爭力的殺毒軟件。金山毒霸2011是世界首款應用”可信雲查殺”的殺毒軟件，顛覆了金山毒霸20年傳統技術，全面超於主動防禦及初級雲安全等傳統方法，採用本地正常文件白名單快速匹配技術，配合金山可信雲端體系，實現了安全性、檢出率與速度。

金山毒霸2011極速輕巧，安裝包不到20MB，內存佔用只有19MB。配合中國互聯網最大雲安全體系。

金山毒霸2011技術亮點1. 可信雲查殺：增強互聯網可信認證，海量樣本自動分析鑑定，極速快速匹配查詢。

2 .藍芯II引擎：微特徵識別（啓發式查殺2.0）, 將新病毒扼殺於搖籃中，針對類型病毒具有不同的算法，減少資源佔用，多模式快速掃描匹配技術，超快樣本匹配

3． 白名單優先技術：準確標記用户電腦所有安全文件，無需逐一比對病毒庫，大大提高效率，雙庫雙引擎，首家在殺毒軟件中內置安全文件庫,與可信雲安全緊密結合，安全少誤殺；

4．個性功能體驗：下載保護、聊天軟件保護、U盤病毒免疫防禦、文件粉碎機、自定義安全區，提升性能、可定製的免打擾模式、自動調節資源佔用、針對筆記本電源優化使續航更久；

5．自我保護：多於40個自保護點，免疫病毒使殺軟失效方法

6．全面安全功能，下載（支持迅雷、QQ旋風、快車）、聊天（支持MSN）、U盤安全保護，免打擾模式，自動調節資源佔用。

其監控能力是十分強大的，但同時佔用系統資源較大。瑞星採用第八代殺毒引擎，能夠快速、徹底查殺大小各種病毒，這個絕對是全國頂尖的。但是瑞星的網絡監控不行，最好再加上瑞星防火牆彌補缺陷。另外，瑞星2009的網頁監控更是疏而不漏，這是雲安全的結果。

擁有後台查殺（在不影響用户工作的情況下進行病毒的處理）、斷點續殺（智能記錄上次查殺完成文件，針對未查殺的文件進行查殺）、異步殺毒處理（在用户選擇病毒處理的過程中，不中斷查殺進度，提高查殺效率）、空閒時段查殺（利用用户系統空閒時間進行病毒掃描）、嵌入式查殺（可以保護MSN等即時通訊軟件，並在MSN傳輸文件時進行傳輸文件的掃描）、開機查殺（在系統啓動初期進行文件掃描，以處理隨系統啓動的病毒）等功能；並有木馬入侵攔截和木馬行為防禦，基於病毒行為的防護，可以阻止未知病毒的破壞。還可以對電腦進行體檢，幫助用户發現安全隱患。並有工作模式的選擇，家庭模式為用户自動處理安全問題，專業模式下用户擁有對安全事件的處理權。缺點是卸載後註冊表殘留一些信息。