實時反病毒技術

雖然與反病毒軟體相比，這些產品存在其固有的問題，但它們所體現出的“實時”反病毒思想，卻始終為反病毒專業人士所重視。令人遺憾的是，在歷經多年的“軟”與“硬”、“靜”與“動”的技術之爭中，實時反病毒的思想、概念已被我們在不知不覺中淡化，甚至遺忘了。

早在80年代未，就有一些單機版靜態防毒軟體在國內流行。但由於新病毒層出不窮以及產品售後服務與升級等方面的原因，用戶感覺到這些防毒軟體無力全面應付病毒的大舉進攻。面對這種局面，當時國內就有人提出：為防治計算機病毒，

可將重要的DOS引導檔案和重要系統檔案類似於網路無盤工作站那樣固化到PC機的BIOS中，以避免病毒對這些檔案的感染。

這可算是實時化反病毒概念的雛形。

雖然固化作業系統的構想對防病毒來說並不可行，但沒過多久各種防病毒卡就在全國各地紛紛登場了。這些防病毒卡

插在系統主機板上，實時監控系統的運行，對類似病毒的行為及時提出警告。這些產品一經推出，其實時性和對未知病毒的

預報功能便大受被病毒弄得焦頭爛額的用戶的歡迎，一時間，實時防病毒概念在國內大為風行。據業內人士估計，當時全

國各種防病毒卡多達百餘種，遠遠超過了防病毒軟體產品的數量。不少廠家出於各方面的考慮，還將防病毒卡的實時反病

毒模式轉化為DOSTSR的形式，並以套用軟體的方式加以實現，同樣也取得了較不錯的效果。

為什麼防病毒卡或DOSTSR實時防病毒軟體能夠風行一時？從表面上來看，是因為當時靜態防毒技術發展還不夠快，而

且售後服務與升級一時半會也都跟不上用戶的需要，從而為防病毒卡提供了一個發展的契機。但究其最根本的原因，還是

因為以防病毒卡為代表的產品技術，較好地體現了實時化反病毒的思想。

如果單純從套用角度考慮，用戶對病毒存在情況是一無所知的。用戶判斷是否被病毒感染，唯一可行的辦法就是用反

病毒產品對系統或數據進行檢查，而用戶又不能做到每時每刻都主動使用這種辦法進行反病毒檢查。用戶渴望的是不需要

他們干預就能夠自動完成反病毒過程的技術，而實時反病毒思想正好滿足了用戶的這種需求。這就是防病毒卡或DOSTSR防

病毒軟體當時能夠大受用戶歡迎的根本原因。

實時反病毒概念最根本的優點是解決了用戶對病毒的“未知性”，或者說是“不確定性”問題。用戶的“未知性”其

實是計算機反病毒技術發展至今一直沒有得到很好解決的問題之一。值得一提的是，我們到現在還總是會聽到有人說：

“有病毒？用防毒軟體殺就行了。”問題出在這個“有”字上，用戶判斷有無病毒的標準是什麼？實際上等到用戶感覺到

系統中確實有病毒在做怪的時候，系統已到了崩潰的邊緣。

實時反病毒技術能夠始終作用於計算機系統之中，監控訪問系統資源的一切操作，並能夠對其中可能含有的病毒代碼

進行清除，這也正與“及早發現、及早根治”的醫學上早期治療方針不謀而合了。

病毒防火牆的概念正是為真正實現實時反病毒概念的優點而提出來的。病毒防火牆其實是從近幾年頗為流行的信息安

全防火牆中延伸出來的一種新概念，其宗旨就是對系統實施實時監控，對流入、流出系統的數據中可能含有的病毒代碼進

行過濾。這一點正好體現了實時防病毒概念的精髓——解決了用戶對病毒的“未知性”問題。

為什麼代表著實時防病毒技術的防病毒卡等產品發展到最後，卻沒有取得長足的進展？這其中雖然涉及了各方面的原

因，但如果單純從這些產品本身來考慮，最主要的原因不外乎是兼容性、誤報率和安裝使用困難等問題沒有得到很好的解

決。

由於前些年DOS版本不斷升級、DOS本身存在這樣或那樣的缺陷， 而一個像防病毒軟體這樣大型DOS記憶體駐留程式又需

要大量調用DOS未公開的調用並使用DOS未公開的標誌， 這就勢必造成DOS記憶體駐留式防病毒軟體的兼容性不可能做得太理

想。特別是近年來國內PC機作業系統平台已從DOS向Windows或Windows95、NT大規模地轉向， 兼容性更是無法得到基本的保證了。

誤報率，其實是任何反病毒產品（不論是靜態或實時）都無法避免的，但實時反病毒技術的誤報問題卻顯得特別突出。

而這其實只是用戶的使用體會：實時反病毒技術每時每刻都作用在系統之中，只要監視到類病毒的代碼就會產生報警，而

靜態防毒技術只有當用戶運行它的時候，才有可能會產生報警，所以相比之下靜態防毒軟體誤報率就顯得小多了。不過從

用戶角度考慮，當然是誤報率越小越好，這就是為什麼反病毒廠商都要聲稱其產品誤報率“極低”的原因，從表面上看這

是一句廣告詞，但從根本上來講，這才是各廠商反病毒技術孰優孰劣真正較量所在。

實時反病毒技術的實現並為用戶所接受，從最根本上就是要真正解決以上幾個看似簡單但實際卻很複雜的問題。所幸

的是，隨著硬體技術與軟體（作業系統）平台近幾年來取得的長足發展，特別是新型作業系統的多任務、多執行緒機制，為

實時反病毒技術的實現提供了必要的物質保障和軟體環境。

在目前反病毒市場中，真正強調實時反病毒概念的，主要是北信源（2002年左右）的病毒防火牆等產品。病毒防火牆要求實時性好，

並且必須較小地占用系統資源。由於北信源的VRV病毒防火牆專門針對Windows或Windows95開發，使用了基於Windows底層的FileHook技術並充分發揮了32位系統多任務機制的優勢，決定了VRV病毒防火牆具有好的實時性和兼容性。 特別是其使

用的32位多任務、多執行緒機制，保證了每時每刻對系統所有資源的監控，從而真正在系統級上實現了實時反病毒的概念。

雖然，在VRV病毒防火牆的帶動下，實時化防病毒技術再次受到人們的關注並開始重新對其套用價值開展研究， 但正

所謂尺有所短、寸有所長，防治計算機病毒是一項比較複雜而長期的社會性工作，任何反病毒技術都不可能一成不變地徹

底解決計算機病毒。也正因為如此，在向社會推出VRV病毒防火牆的同時， 北信源同時還向用戶提供了單機版的靜態防毒

軟體。事實說明，只有將反病毒技術“動”、“靜”結合起來綜合運用，才有可能取得較好的反病毒效果。