荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: nt (咸鱼), 信区: Virus
标  题: 扔向CIH的终结炸弹
发信站: 荔园晨风BBS站 (Fri Apr 27 13:26:07 2001), 转信

                           扔向CIH的终结炸弹
             --访金山公司金山毒霸反病毒软件研发部负责人陈飞舟

编者按或前言:

    1998年4月26日,CIH病毒在亚洲首次现身, 8月26日,CIH病毒入侵中国。8月
31日,中国公安部发出防范CIH病毒的紧急通知。随后贽伏在计算机中的CIH病毒,
开始通过软盘,光盘,和刚刚兴起的互联网进行着大面积的传播。

    1999年4月26日,幽灵现身, CIH在全球范围大爆发,6000万台个人电脑遭到
毁灭性破坏,中国在这次灾难中也未能幸免, CIH病毒第一次对中国用户发起了大
规模的进攻。造成直接经济损失8000万元,间接经济损失达11亿元,中国信息化程
度较高的城市和地区在这场灾难中损失尤为惨重。

    2000年4月26日,中国的电脑用户再一次经历了CIH的重创,其中很多用户是第
一次有了病毒体验。

    因此每年的4.26成了电脑病毒的纪念日,尽管目前被CIH病毒破坏的电脑数量
有所下降,但数以万计的计算机系统仍然面临CIH的巨大威胁。


正文:

    前几天,记者正在为本期的CIH专题文章搜集资料,得知国内著名的软件供应
商同时也是反病毒软件的生力军金山公司,将要在今年的CIH病毒发作日4月26日来
临之前,采取重大行动:提供终身防范CIH病毒的免疫措施,并在技术上根除CIH病
毒隐患。这无疑是向恶性的CIH病毒扔响的一枚重磅炸弹!记者立即对此产生了极
大兴趣,并及时拨通了位于珠海的金山公司反病毒中心的联络电话,在确认此消息
属实后,电话采访了该中心的负责人,也是金山毒霸反病毒软件的研发经理陈飞舟
先生,陈飞舟较全面和详细地阐述了今年CIH病毒形势以及金山公司提供CIH终身免
疫程序的细节情况,并对反病毒领域的热点回答了记者的提问。下面是整理后的电
话采访内容:

记者:众所周知,这几年的CIH病毒给国内甚至全球的计算机用户带来了深重灾难
,能不能请您告诉我们:CIH病毒究竟是什么样的一种病毒?这样的大范围病毒灾
难又是怎样造成的?
陈飞舟:CIH病毒是一种文件型病毒,又称Win95.CIH、Win32.CIH、PE_CIH,是第
一例感染Windows95/98环境下PE格式(Portable Executable Format)EXE文件的恶
性病毒,其危害主要表现在于病毒发作后,硬盘数据全部丢失,甚至主板BIOS中的
原内容被会彻底破坏,主机无法启动,无能是在内存的驻留方式上还是传染的方式
上以及病毒攻击的对象上,CIH病毒都于众不同,它开创了病毒直接攻击计算机主
板芯片的先例,因此可以说它是20世纪破坏性最强的计算机病毒。之所以造成这么
大范围的病毒灾难一是因为它采用了全新的攻击方式和发作机制,另一个重要原因
是当时的反病毒软件不具备更多的主动防毒的能力,不能时刻监测病毒,不能对病
毒尤其是特殊病毒进行免疫,需要用户自身居有很强的防范病毒的意识而且要经常
主动的检测电脑病毒,主动的升级反病毒软件的病毒库,这在当时,即使是在今天
也是很少人能做到的;而反病毒厂商,没有一个完整的病毒监测处理机构,不能以
最快的方式获取病毒样本,不能以最快的方式提出解决方案并且通过完善的服务网
络将解决方案提供给用户,这使得用户常常处在危险中,而浑然不知,从而大大助
长病毒疫情的广泛传播,最终形成灾难。

记者:那您认为今年的CIH病毒的危害程度是否已经大大降低了呢?
陈飞舟:在过去的两三年,CIH病毒使国内的计算机用户深受其害,尤其在2000年
,很多的计算机用户低估CIH的隐蔽性和危害程度,再次遭到严重破坏,值得注意
的是,这些被
CIH攻击的用户很多是第一次有了病毒体验,他们当中有相当部分人是缺乏主动防
范病毒危害的意识,再加上新变种的CIH病毒更增加了防范的难度,因此可以说,
尽管我们在反病毒领域对CIH病毒的研究已经相当深入透砌,但对CIH病毒保持应有
的警惕和及时有效的防范还是非常的有必要。

记者:您刚才提到反病毒领域对CIH病毒的研究已经相当深入,这是否和金山公司
在目前提供CIH的终身免疫程序有着密切关系?并且据说目前市面上的金山毒霸已
经全面内置了该免疫程序,这对今年防范CIH病毒有何积极意义?
陈飞舟:对CIH病毒的研究一直是国际反病毒领域的重要课题,现在已有全面的研
究成果,金山公司反病毒中心也一直在做类似的跟踪研究,也分析了数量可观的
CIH病毒感染文件,我们认为对付CIH病毒并进行彻底的免疫从技术上考虑是可行的
,也是基于目前成熟的反病毒技术而采取的有效防范CIH的措施。简单的理解,
CIH终身免疫,就是指在您安装运行一次特定程序后,就不会再遭到CIH病毒的攻击
。用这样的方式来防范特殊病毒的攻击在此之前国际上也有先例。目前市面上的金
山毒霸都已改换外包装并都已内置CIH终身免疫程序,我们认为这样可以最安全的
保证今年CIH病毒危害所带来的损失最小化,并可以尽量的减少为此付出的工作量


记者:那CIH免疫程序为什么实现终身免疫,它的原理是什么呢?
陈飞舟:CIH免疫程序的原理比较简单:因为CIH病毒是工作在Ring0的部分代码,
即为CIH判断自身是否已经进驻内存的指令,也就是说,CIH病毒在感染时会先通过
对寄存器数值判断自身是否存在,如果不存在就会立即进驻内存,感染电脑。相反
,如果dr0寄存器非零,CIH没有做更多的判断即直接退出了。根据这个原理,每次
启动电脑时,金山毒霸的CIH免疫程序都会抢在系统启动前,修改一个系统寄存器
中的值,也就是CIH每次启动总会检查的一个寄存器,使CIH误认为自己已经进驻内
存而不再感染电脑,从而保持系统的安全。换句话来说就是使用这个程序后,CIH
将不会再在这个系统内起到任何的作用,用户可以安全的使用电脑,而不用天天主
动性地去检测是否已经感染CIH病毒。

记者:如果重装Windows操作系统会不会影响到CIH免疫?
陈飞舟:是的,值得提醒的是:如果用户重新安装Window系统后,一定要从新安装
CIH免疫程序,否则这个免疫程序当然就不再生效了。

记者:另外目前市面上其它的杀毒软件是否采用这样的CIH免疫程序?如果没有,
是否意味着金山毒霸在防范CIH病毒方面有着先声夺人的优势?
陈飞舟:目前据我所知,还没有其它的杀毒软件厂商针对性的提供CIH终身免疫程
序,可能是我们认为尽量的实现反病毒软件的易用和有效使用,是率先朝着功能型
向服务型发展的重要一步。

记者:相信CIH病毒会在如今如此成熟的反病毒技术下逐渐离我们远去,但目前新
病毒无论种类还是传播速度和范围,都日益的令人不安,您对时下的计算机病毒现
状有何见解?
陈飞舟:是的,如今新病毒的确有愈演愈烈之势。2000年,中国的网民已经达到了
2200万人,通过网络,我们与世界已经无距离。98年到2001年,基于互联网传播的
电脑病毒飞速的增长,平均每周增加数百种病毒,特别是e-mail病毒更为猖狂,一
项由国际电脑安全协会(ICSA)所公布的「2000年度病毒传播趋势报告」结果显示
,互联网病毒,特别是电子邮件跃升为电脑病毒最主要的传播媒介,感染率由
1998年的32%,1999年的56%,大幅成长至2000年的87%。每一次病毒爆发都伴随着
巨额经济损失,而且这些多数是在病毒出现后几周甚至是几天内在全球范围内造成
的。新病毒的出现周期已经以天计算,新病毒传播到世界的每一个角落不会超过一
周的时间。

记者:那是不是可以认为,这样严峻的现状,其实对反病毒厂商提出了更高的要求
,另外我们都知道您是金山毒霸的研发经理,又是金山公司和俄罗斯科学院组建的
全球病毒检测网的核心负责人,对于这样的形势金山公司有无重要举措来应对?

陈飞舟:我同意您的观点,我刚才也说过,这样就要求领先的反病毒厂商把其产品
从功能型向服务型转变,是否能够清除某种病毒或是目前能够清楚多少病毒,已经
不是最重要的事情。谁能最快的获得对最新的病毒的防范能力,谁能最先通知自己
的用户,并且提供安全的预防和解决方案成为了用户最关心的问题,因为,互联网
留给反病毒厂商的时间非常的有限。
为了实现随时随地并第一时间防范最新出现的病毒,金山公司与俄罗斯科学院组建
了全球病毒监测网,全天候24小时的监测和捕获最新的病毒动态,并通过双方的病
毒应急处理中心及时分析病毒样本进而提供解决方案。同时,金山公司通过互联网
建立了实时的同步升级服务体系,搭建了遍布全国的近1000家店面升级服务中心,
使各自的用户能够迅速的获得新病毒流行信息和安全解决方案。另外考虑到国内网
络速度的问题,金山公司又在国内率先提出"地区多服务器增量升级"的概念,采用
增量升级方式,每次只需下载十几K大小的病毒库增加部分,软件自动完成升级。
同时在北京、广州、上海等地建立了多台升级服务器,使不同地区的用户可以根据
自己的需要选择升级方式。

记者:是不是可以说金山公司这一系列重大举措,一是为了使金山毒霸反病毒软件
的整体实力朝国际化品质迈出了重要一步,同时,是否也意味着国内反病毒软件市
场的竞争规则正悄然发生变化?
陈飞舟:是的,可以这么认为。回过头来说,是CIH病毒也好,还是梅莉莎病毒、
ILOVEYOU病毒以及后来的NAVIDAD病毒,是这些病毒爆发的历史经验改变了国内用
户包括国内反病毒厂商防范计算机病毒的态度,同样也教会了人们逐渐找寻防治病
毒的最佳途径。金山公司在计算机病毒危害日益严重的形势下,提出实时监测、快
速反应、有效查杀并强调随时随地的产品服务,原因是因为我们与用户的实际需求
在一条直线上,对一个强调长期服务的产品,用户的尊重是通过每天得到的服务体
现出来的。您说的另一方面,同类反病毒软件之间市场的竞争无论基于什么样的规
则,最终受益的将是用户,我认为这也是竞争的本意所在。

记者:非常感谢您今天接受我的采访,谢谢!
陈飞舟:也非常感谢你对金山公司的关注。


陈飞舟简介:中国最年轻的反病毒专家;金山公司研发部金山毒霸研发经理;金山
公司反病毒(应急)中心负责人;金山毒霸中俄全球监测网中方负责人。


--
赵灵儿低头吟唱着:
        「既不回头,何必不忘;
                若是无缘,何须誓言;
                        今日种种,似水无痕;
                                明夕何夕,君已陌路...。」
                                        说着说着就哭了起来。:~(

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.35.4]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店