安天实验室·反病毒引擎14年 卷首语 | AVL SDK引擎演进 | 原创技术文章&报告 | 引擎一日一问
反病毒引擎一日一问
安天实验室 反病毒引擎研发中心 2014年11月7日
问:系统一定会面临恶意代码的威胁么?未来恶意代码会消亡吧?那时就不需要反病毒了吧?
答:打一个不恰当的比喻,假如世界上只有一户人家,自己种菜为生,世上也没有其他的人或动物,那么他家是否还需要防盗门?可以说,可能就不需要了,至少防盗门的必要性大大降低了。
信息系统也是一样,如果世上只有一个信息系统节点,为世界上最后一个人使用,不需要应用扩展,不需要信息交换,那么除非这个人自己去写,否则病毒真的会“消亡”。OK,换句话说,信息系统节点的两个特性决定了其会引入风险。
1、其需要支持新应用的运行。
2、其需要进行信息交换。
而前者必然会引入执行体风险,这种执行体可能是类似PE、ELF的二进制执行体,也可能是脚本。
而后者也将引入格式体风险,如我们今天看到的PDF、OFFICE、WMF等的溢出。也包括像当年西门子手机的短信炸弹等等,尽管不是恶意代码,但是恶意数据。
而反病毒正是对应用和信息的检测、防护机制。
在现代操作系统的基本应用场景下,为什么不可能设计出一个系统,其只接受“好”的程序和应用,而拒绝“坏”的程序和应用呢?包括为什么不能只接受“正确”的数据,而拒绝“错误”的数据呢?很简单,因为这不科学。因为没有100%有效的形式化方法可能完成这种“好”与“坏”的度量,更何况,我们也不能有一种方法能证明每个人是“好”人还是“坏”人。