病毒码是如何产生的? 上面提到病毒码就是一小段二进位程式码的组合,可是一个执行档或是一个Word文件病毒要怎么取得病毒码?如何才算是独一无二的病毒码呢?其实病毒码必须依照各种不同格式的档案及病毒感染的方式来取得。
举例来说,如果有一个Windows的程式被病毒染感,那么我们就必须先研究出Windows档案的格式,看看Windows档案是怎么被系统执行,以便找出Windows程式的进入点,因为病毒就是藏身在这个地方,来取得控制权并进行传染及破坏。知道病毒程式在一个Windows档案中所存在的位置之后,就可以从这个区域中来找出一段特殊的病毒码供扫毒程式使用。
何谓"扫毒引擎"(Scan Engine)? 当您使用一套防毒软体时,不论它的画面是否精美、操作是否简便、功能是否完善,这些其实都不足以证明一套防毒软体的好坏。事实上,当您操作防毒软体去扫描某一个磁碟机或目录时,它其实是把这个磁碟机或目录下的档案一一送进扫毒引擎来进行扫描,也就是说您所看到的漂亮画面其实只是一个使用者介面 (UI, User Interface),真正影响扫描速度及侦测率的因素是扫毒引擎。
扫毒引擎是一个没有画面、没有包装的核心程式,它被放在防毒软体所安装的目录之下,就好像汽车引擎平常是无法直接看见的,可是它却是影响汽车性能最主要的关键。有了病毒码,有了扫毒引擎,再配合一个精美的操作画面,就成了市面上您所看到的防毒软体了。
为什么要更新"扫瞄引擎"和"病毒码"? 绝大多数的人都以为安装了一套防毒软体之后,从此就可以高枕无忧,其实这是一个绝对错误的观念,因为病毒的种类及型态一直在改变,新病毒也每天不断地被产生,如果不经常更换最新的病毒码以及扫瞄引擎,再强悍的防毒软体也会有失灵的一天。
举个最明显的例子来说,在还没有出现巨集病毒以前,全世界没有任何一家防毒软体厂商支援巨集病毒扫描能力。当然,如果您还在沿用数年前的防毒软体,就无法侦测到巨集病毒了,所以您必须使用能扫到到巨集病毒的病毒码及支援巨集病毒的扫毒瞄引擎。
然而,若只单单更换病毒码或扫毒引擎还是不够的,因为旧的病毒码档可能还没加入巨集病毒的病毒码,或者是旧的扫毒引擎跟本还没支援文件档的扫毒,因此这样的组合还是没办法发挥防毒的效果。病毒码和扫毒引擎是防毒工作中相当重要的一环,目前一些比较大的防毒软体厂商都有将病毒码及扫毒引擎放在网站上供人免费下载,所以请务必记得定期更新防毒元件(病毒码及扫瞄引擎)。
-转载自航向月刊2005年5月号
