病毒查杀技术：黑客网络安全成果

面对来势汹汹的病毒大军，系统城堡里的“警卫”们自然也不敢懈怠，防控、甄别、消灭混入系统内的“坏蛋”一直是杀毒软件最主要的任务。从1989年全球第一款杀毒软件McAfee诞生到今天，杀毒软件已有29年的历史。在这29年间，互联网的发展速度惊人，各类病毒层出不穷，病毒监测与查杀技术也因时而变、不断更新。从早期基于简单特征码的杀毒到如今的动态防御和云查杀技术，我们发现，杀毒软件也在逐渐向智能化、动态化的方向发展。

1990年左右，中国大陆的杀毒软件市场基本由KILL一统天下。第一代病毒对比技术叫检验法，这种方法只能对电脑是否被病毒感染做出判断，并不具备病毒清除能力。不过，这种方法却孕育出了真正的反病毒技术王者：特征码技术。

特征码属于第二代反病毒引擎，不但开了清除病毒的先河，也为以后反病毒技术的发展打下了坚实的基础。时至今日，该技术仍然是反病毒软件的主要技术，百度和腾讯所开发的自主反病毒引擎，其核心也是这一技术。

简言之，这种技术查毒主要通过病毒的特征来进行判断。一般而言，作为盗贼的“病毒”在代码编写上会具有一些特征，比如，有10种病毒都使用了一段相同的破坏硬盘的程序，那么把这段程序代码提取出来作特征码，就能达到用1个特征码查10种病毒的功效。这个技术的出现使得一些“变形不变种”的病毒无处遁形，但也使误杀率大大提高——某些在代码特征上与病毒相似的正常程序也被视作病毒一同被“消灭”了。

广谱特征码“胡子眉毛一把抓”的查毒方式当然不是人们理想的结果，而且这种技术还存在一个缺陷，就是所有特征码必须存到电脑内存中读取，而且还只能对已知病毒进行查杀。网络时代，病毒瞬息万变，有限的本地病毒库远远不能应付网络中未知的危机。于是，“启发式杀毒”和“云查杀”的概念被提了出来。

所谓“启发”，指的是“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。这是一种通过行为判断、文件结构分析等手段，在较少依赖特征库的情况下能够查杀未知的木马病毒的新技术，能适应瞬息万变的网络环境，对各类病毒作出准确的判断。

云查杀则彻底抛弃了本地病毒库，每一台电脑都与杀毒软件的“云端”相连，用户不需要去下载任何病毒库和木马库，当然也不需要升级病毒库和木马库，只要在服务器端发现任何木马病毒，客户端的查杀程序就能立刻做出反应。

本节我们主要介绍了三种防御黑客攻击的技术，分别是数据加密技术、防火墙技术和病毒查杀技术。在与黑客的交锋中，这三类技术是我们保卫网络安全的利器。随着黑客入侵手段的不断迭代，防御技术也必须因时而变、不断更新。

讨论问题

1.小明和小东阅读了有关黑客的科普书之后对黑客的分类很感兴趣，对“黑帽”“灰帽”和“白帽”的分类感到好奇，请问：(https://www.xing528.com)

（1）黑客真正变“黑”的标志是什么？

（2）“黑帽”“灰帽”与“白帽”的本质区别是什么？

2.君君的爸爸买了一台新的笔记本电脑，同事王叔叔提醒他要定期更换登录密码、安装最新的防病毒软件以预防邮箱炸弹和木马的攻击。请问：

（1）为什么要定期更换电脑密码？

（2）如何预防邮箱炸弹？

（3）木马对电脑系统有什么危害？

【注释】

[1]DES全称为data encryption standard，即数据加密标准，是一种使用密钥加密的块算法.1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来.

[2]RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的.1987年首次公布，当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成命名的.