|
近期论坛上关于反病毒软件对于病毒清除/修复文件功能的一些讨论,我亦有参与,发现很多网友对于这个功能有诸多不了解之处,所以我就想通过大蜘蛛反病毒软件的此项功能,加以详细说明。
大蜘蛛的清除/修复功能,指的是将对象还原到受感染之前的状态。
这得益于大蜘蛛引擎的Origins Tracing技术,它是一种独一无二的非特征风险程序的运算法则。借助Origins Tracing技术,大蜘蛛能正确扫描存档文件和打包文件。目前大蜘蛛可以识别4000种以上的存档文件和打包软件,而有些文档与软件是其他反病毒程序所不予支持的。
需要注意的是:
1、大蜘蛛清除/修复功能适用于已知病毒。所谓“已知病毒”,就是指该病毒的特征码已经列入大蜘蛛的反病毒数据库内。但大蜘蛛也并不是100%能修复被病毒感染的文件,它只对“受感染对象”可用。
也就是说,假如是已知的病毒,该病毒的特征码已经列入反病毒数据库内,就可以使用这个功能,但是这个此功能并不能100%地清除病毒和修复文件,因为有些病毒在感染文件之后,对文件内容进行了删除或者是修改,导致修复无法完成。大蜘蛛会根据扫描的状态,进行选择,假如有清除/修复这样的按钮,那么这个功能可执行,假如修复失败,也只能是隔离或者是删除,隔离之后,可以上报大蜘蛛官方。
2、大蜘蛛清除/修复功能操作不适用于在复合文件和压缩文件中检测到的病毒。复合文件,我们常见是既包含压缩文件又包含正常文件,本身又是一个可执行文件,比如说一些游戏的安装文件包,大蜘蛛对于这类文件中查出的病毒有往往是不能进行清除/修复的。
原因是压缩文件的算法授权。一般来讲,解压缩的算法大多是免费授权和使用的;压缩算法,其授权一般是要收费的。而要清除压缩文件中的病毒,需要先把压缩文件解开(使用解压缩的算法),然后清除其中的病毒,再把修复后的文件压缩到复合文件中(使用压缩算法)。大蜘蛛支持几千种压缩格式和加壳算法(其中一部分是需要收费的,大部分是免费的),如果要对这些收费算法都购买授权,那么就需要为每个用户的每台计算机都购买几百甚至上千个压缩算法授权,光这些压缩算法的授权价格就是蜘蛛本身价格的几百倍了,这显然是不可能的。
所以一般复合文件和压缩文件扫描出来的内容,是无法清除的,只能是隔离或者删除;或者是解压之后,进行清除/修复等等处理。
综上所述,大蜘蛛对于受病毒感染文件的处理,基本上一是取决于是否能正确识别这些存档文件和打包软件;二是取决于反病毒数据库中是否含有这些病毒的特征码,因为特征码中包含这些病毒的清除方式和路径,两者缺一不可。假如无法正确识别这些存档文件和打包软件,则会产生过度修复,反而造成系统内正常的存档文档和打包软件出现错误。
由于压缩授权和文档识别的原因,以及对于被病毒感染的文件的处理方法的不同,就有可能出现这样的情况:某些被病毒感染的文件,大蜘蛛能修复,而其他的反病毒软件无法完成;而有些,其他的反病毒软件可以修复,大蜘蛛却无法完成。这些都是正常的,因为没有一家厂商能够买全部的压缩算法授权,也不能100%地修复所有的被感染对象。
以上的一些观点,都是我个人的一些粗浅理解,有不足之处请大家谅解。欢迎大家提出不同的批评意见和建议。谢谢!
| 
[复制链接]
发表于 2010-8-13 20:48:43
?
楼主