计算机安全-23 病毒防御技术n

1、 一、概述 二、杀毒技术 三、清除病毒 四、未来趋势 反病毒技术的发展历程 第一代反病毒技术 采用单纯的病毒特征代码分析，清除染毒文件中的病毒 第二代反病毒技术 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高 第三代反病毒技术 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一 第四代反病毒技术 主动防御技术 计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。 前十年历史主要是查杀感染文件型和引导区病毒的历史，后十年主要是针对蠕虫和木马的历史。 病毒技术也从以前以感染文件和复制自身，给电脑用户带来麻烦和恶作剧为目的，变成了以隐藏和对抗杀毒软

2、件并最终实施盗号窃秘为目的。 2008年以来，病毒逃避杀毒软件追杀的能力在不断提升，内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程线程、加壳加密等 计算机反病毒技术在与计算机病毒的较量中也得到了升华，与20年前相比已经已经有了质的飞跃。 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据计算机病毒能利用读写文件进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。 对

3、计算机病毒应持有如下态度：承认计算机病毒的客观存在应该具有安全意识，积极采取预防措施，堵塞计算机病毒的传染途径不惧怕病毒，树立必胜的信念；发现病毒，冷静处理 计算机病毒的预防措施可概括为两点勤备份严防守 检测计算机病毒的方法有两种 手工检测 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测 这种方法比较复杂，费时费力 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒 自动检测 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件 可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的

4、发展 使用分析法的人一般不是普通用户，而是反病毒技术人员 使用分析法的目的在于： 确认被观察的引导扇区和程序中是否含有病毒 确认病毒的类型和种类，判定其是否是一种新病毒 搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用 详细分析病毒代码，为制定相应的反病毒措施制定方案 上述四个目的按顺序排列起来，正好大致是使用分析法的工作顺序 使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识 比较法基于多位CRC校验和 基于病毒特征码扫描分析 启发式智能代码分析 动态数据还原 内存扫描 人工免疫 比较法是用原始的正常备份与被检测的

5、内容(引导扇区或被检测的文件)进行比较长度比较法内容比较法内存比较法中断比较法 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和，将该校验和写入文件中或写入其他文件(资料库)中保存 在文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否已被感染 运用校验和法查病毒一般采用三种方式 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校

6、验和与原校验和值，实现应用程序的自检测 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或其他文件中预先保存的校验和 扫描法是用每一种病毒体含有的特定病毒码(Virus Pattern)对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定病毒码，就表明发现了该病毒码所代表的病毒特征代码扫描法特征字扫描法 主要分为三种方法第一代扫描器：字符串特征第二代扫描器：近似精确扫描方法算法扫描方法：特定病毒的专用扫描检测方法 随着病毒数目的增多，病毒特征码数量也在增多，为了解决搜索效率，对病毒特征进行分类。 过滤技术背后的思想是：病毒通常只感染一部分已知对象类型。 引导型

7、病毒只感染引导扇区 可以为特征字符串设置附加的标志字段，以指示该特征字符串是否可能在当前正被扫描的对象中出现。 为了对付特征码扫描，病毒采用加密等技术来实现逃避。 优点检测方便快速，可识别病毒名称，误报警率低。 缺点特征选择困难无法检测新病毒无法有效对付多态病毒特征库增加时，检测效率降低。 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能法 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警 占用INT 13H 修改DOS系统数据区的内存总量 对可执行文件

8、做写入动作 病毒程序与宿主程序的切换 启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断 启发式代码分析扫描技术是对传统的特征代码扫描法查毒技术的改进 在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术 病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相

9、关操作指令序列 这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然 启发式代码扫描技术实际上就是把人类的这种经验和知识移植到一个查病毒软件中的具体程序体现 可疑程序功能的权值与报警标准 对以下可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值 格式化磁盘操作 搜索和定位各种可执行程序的操作 实现驻留内存的操作 调用非常的或未公开的系统功能 子程序调用中只执行入栈操作 如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒”；仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置 为了避免“狼来了”

10、的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准 启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报现象 减少和避免误报(谎报) ，必须努力做好以下几点 准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报警 增强对常规正常程序的识别能力 增强对特定程序的识别能力 类似“无罪假定”的功能，首先假定程序和计算机是不含病毒的。许多启发式代码分析检毒软件具有自学习功能，能够记忆那些并非病毒的文件并在以后的检测过程中避免再报警 传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报

11、；但如果是对待此前根本没有出现过的新病毒，由于其知识库并不存在该类(种)病毒的特征数据，则有可能产生漏报的严重后果 基于规则和定义的启发式代码分析技术则可以使新病毒不至于成为漏网之鱼 传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率 任何改良的努力都会有不同程度的质量提高，但是不能企望在没有虚报为代价的前提下使检出率达到100%，或者反过来说，在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用) 反毒技术的进步也会从另一方面激发和促使病毒制作者不断研

12、制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测 不管是特征码扫描还是启发式分析，前提是获得病毒程序的正确代码，如果病毒进行了代码隐藏，比如加密和变形，则往往可以逃避反病毒软件的查杀。 软件模拟(Software Emulation)法(即虚拟机对抗病毒技术)，是一种软件分析器，用软件方法来模拟和分析程序的运行：模拟CPU执行，在其设计的虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描 主要用于检测多态型病毒 查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指令、译码、执

13、行，可以模拟一段代码在真正CPU上运行得到的结果 虚拟机的基本工作原理和简单流程 给定一组机器码序列，虚拟机会自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度，然后在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置，如此循环反复直到某个特定情况发生以结束工作 设计虚拟机查毒的目的是为了对抗加密变形病毒 虚拟执行技术使用范围远不止自动脱壳(虚拟机查毒实际上是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法进行解密)，它还可以应用在跨平台高级语言解释器、恶意代码分析、调试器 目前有两种方法可以跟踪控制病毒的每一步执行，并能够在病毒循环解密结束后从内存中读出病

14、毒体明文单步和断点跟踪法，和目前一些程序调试器相类似 当CPU在执行一条指令之前会先检查标志寄存器，如果发现其中的陷阱标志被设置则在指令执行结束后引发一个单步陷阱INT 1H虚拟执行法 单步断点跟踪的优缺点 用单步和断点跟踪法的唯一好处就在于它不用处理每条指令的执行，这意味着它无需编写大量的特定指令处理函数，因为所有的解密代码都交由CPU执行，调试器不过是在代码被单步中断的间隙得到控制权而已 这种方法的缺点也是相当明显的 容易被病毒觉察到，病毒只须进行简单的堆栈检查，或直接调用IsDebugerPresent就可确定自己正处于被调试状态 由于没有相应的机器码分析模块，指令的译码、执行完全依赖于

15、CPU，所以将导致无法准确地获取指令执行细节并对其进行有效的控制 单步和断点跟踪法要求待查可执行文件真实执行，即其将做为系统中一个真实的进程在自己的地址空间中运行，这当然是病毒扫描所不能允许的 单步和断点跟踪法可以应用在调试器、自动脱壳等方面，但不合适于查毒 虚拟执行的缺点与优点 使用虚拟执行法的唯一缺点就在于它必须在内部处理所有指令的执行，这意味着它需要编写大量的特定指令处理函数来模拟每种指令的执行效果，这里根本不存在何时得到控制权的问题，因为控制权将永远掌握在虚拟机手中 虚拟执行的优点也是很明显的，同时它正好填补了单步和断点跟踪法所力不能及的方面 不可能被病毒觉察到，因为虚拟机将在其内部缓

16、冲区中为被虚拟执行代码设立专用的堆栈，所以堆栈检查结果与实际执行无差别(不会向堆栈中压入单步和断点中断时的返回地址) 由于虚拟机自身完成指令的解码和地址的计算，所以能够获取每条指令的执行细节并加以控制 最为关键的一条在于虚拟执行确实做到了“虚拟”执行，系统中不会产生代表被执行者的进程，因为被执行者的寄存器组和堆栈等执行要素均在虚拟机内部实现，因而可以认为它在虚拟机地址空间中执行 任何一个事物都不是尽善尽美、无懈可击的，虚拟机也不例外 由于反虚拟执行技术的出现，使得虚拟机查毒受到了一定的挑战插入特殊指令技术结构化异常处理技术入口点模糊(EPO)技术多线程技术元多形技术 上述技术的本质是对病毒代码

17、的静态分析，都是在已知病毒代码的基础上进行。 对于新的未知病毒，往往束手无策 需要根据病毒的行为进行分析判断实时监控程序行为发现违反安全规则的行为，即报警 利用病毒的特有行为特性监测病毒的方法成为行为检测发。 通过对病毒多年的观察和研究，人们发现有一些行为是病毒的共同行为，而且比较特殊。对可执行文件进行修改病毒程序与宿主程序的切换动作。病毒传染时的行为特征 病毒实时监控会在文件打开、关闭、清除、写入等操作时检查文件是否是病毒携带者，如果是则根据用户的决定选择不同的处理方案，如清除病毒、禁止访问该文件、删除该文件或简单地忽略，从而有效地避免病毒在本地计算机上的感染传播 可执行文件装入器在装入一个

18、文件执行时首先会要求打开该文件，而这个请求又一定会被实时监控在第一时间截获到，它确保了每次执行的都是干净的不带毒的文件从而不给病毒以任何执行和发作的机会 病毒实时监控的设计主要存在以下几个难点 驱动程序的编写不同于普通用户态程序的编写，其难度很大 驱动程序与Ring3下客户程序的通信问题 驱动程序所占用资源问题 Windows 9x下病毒实时监控的实现主要依赖于以下三项技术 虚拟设备驱动(VxD)编程 可安装文件系统钩子(IFSHook) VxD与Ring3下客户程序的通信(APC/EVENT) 只有工作于系统核心态的驱动程序才具有有效地完成拦截系统范围文件操作的能力，VxD就是适用于Wind

19、ows 9x下的虚拟设备驱动程序，可以担当此重任 VxD的功能远不止由IFSMGR.vxd提供的拦截文件操作这一项，系统的VxDs几乎提供了所有的底层操作的接口(可以把VxD看成Ring0下的DLL) 虚拟机管理器本身就是一个VxD，它导出的底层操作接口一般称为VMM服务，而其他VxD的调用接口则称为VxD服务 Windows NT/2000下病毒实时监控的实现主要依赖于以下三项技术NT内核模式驱动编程 Windows NT/2000下不再支持VxD拦截IRP驱动与Ring3下客户程序的通信(命名的事件与信号量对象) 大部分驻留内存的病毒会在加载病毒代码之前，检查系统的内存状态，判断内存中是否

20、有病毒，若存在(自身已被加载)，则不再加载病毒代码，否则，加载 感染文件之前，查看文件的状态(一般是查看感染标志)，检查该文件是否已被感染，如果被感染了则不再重复感染 病毒的这种重入检测机制导致了一种反病毒技术的出现，也就是形形色色的免疫程序：利用免疫程序设置内存的状态、设置CPU的状态或者设置文件的一些特征，从而防止某种特定的病毒进入系统 从实现计算机病毒免疫的角度看病毒的传染，可以将病毒的传染分成两种 在传染前先检查待传染的扇区或程序内是否含有病毒代码，如果没有找到则进行传染，如果找到了则不再进行传染 如小球病毒、CIH病毒 在传染时不判断是否存在感染标志(免疫标志)，病毒只要找到一个可传

21、染对象就进行一次传染 例如黑色星期五病毒 (注：黑色星期五病毒的程序中具有判别传染标志的代码，由于程序设计错误，使判断失败，导致感染标志形同虚设)目前常用的免疫方法有两种 针对某一种病毒进行的计算机病毒免疫 一个免疫程序只能预防一种计算机病毒 例如对小球病毒，在DOS引导扇区的1FCH处填上1357H，小球病毒检查到该标志就不再对它进行感染 优点是可以有效地防止某一种特定病毒的传染，但缺点很严重，主要有以下几点： 对于不设置感染标识或设置后不能有效判断的病毒，不能达到免疫的目的 当该病毒的变种不再使用这个免疫标志、或出现新病毒时，免疫标志失去作用 某些病毒的免疫标志不容易仿制，若必须加上这种标

22、志，则需对原文件做大的改动，例如大麻病毒 由于病毒的种类较多，再加上技术上的原因，不可能对一个对象加上各种病毒的免疫标识 能阻止传染，却不能阻止病毒的破坏行为，仍然放任病毒驻留在内存中 基于自我完整性检查的计算机病毒免疫 目前这种方法只能用于文件而不能用于引导扇区 原理是，为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和、生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序 这种方法不只是针对病毒的，由于其他原因造成的文件变化，在大多数情况下免疫外壳程序都能使文件自身得到复原，但仍存

23、在一些缺点和不足： 每个受到保护的文件都要增加额外的存储空间 现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来 无法对抗覆盖方式的文件型病毒 有些类型的文件不能使用免疫外壳的防护方法，否则将使这些文件不能正常执行 当已被病毒感染的文件被免疫外壳包在里面时，这将妨碍反病毒软件的检测清除 早在20世纪90年代初，IBM公司的怀特和他的同事们就梦想给计算机“接种”一种数字免疫系统(Digital Immune System，DIS) 为了对抗利用Internet进行传播的病毒，IBM公司开发了该数字免疫系统原型病毒分析机分析病毒行为和结构得到病毒特征码得到解决

24、方案(抗体)3感染病毒的客户机客户机客户机管理机5624客户机客户机管理机独立的客户机77专用网络专用网络1IBM数字免疫数字免疫系统示意图系统示意图 发现病毒后，清除病毒的一般步骤是： 先升级杀毒软件病毒库至最新，进入安全模式下全盘查杀 删除注册表中的有关可以自动启动可疑程序的键值(可以重命名，以防误删，若删除/重命名后按F5刷新，发现无法删除/重命名，则可肯定其是病毒启动键值) 若系统配置文件被更改，需先删除注册表中键值，再更改系统配置文件 断开网络连接，重启系统，进入安全模式全盘杀毒 若Windows ME/XP系统查杀病毒在系统还原区，请关闭系统还原再查杀 若查杀病毒在临时文件夹中，请

25、清空临时文件夹再查杀 系统安全模式查杀无效，建议到DOS下查杀。 引导型病毒感染时常攻击计算机的如下部位： 硬盘主引导扇区 硬盘或软盘的BOOT扇区 为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而彻底毁坏这些扇区中的信息 引导型病毒发作时，执行破坏行为造成种种损失 由于引导型病毒一般是常驻内存的，因此，清除病毒之前必须先清除内存中的病毒(或采用修复中断向量表等方法将其灭活)，否则难以清除干净 硬盘主引导扇区染毒时的修复方法： (1)用无毒软盘启动系统 (2)寻找一台同类型、硬盘分区相同的无毒计算机，将其硬盘主引导扇区写入一张软盘中 (3)将此软盘插入染毒计算机，将其中采

26、集的主引导扇区数据写入染毒硬盘0柱面0磁头1扇区，即可修复 修复硬盘主引导扇区时，也可利用先前备份的本扇区尚未感染时的数据，替代(2)中采集的数据。修复主引导扇区时，一般不用FDisk/MBR命令，以免丢失硬盘信息 硬盘、软盘BOOT扇区染毒时的修复方法： 修复硬盘BOOT扇区 最简单方便的杀毒方法是使用系统命令SYS，即：用与染毒盘相同版本的无毒系统软盘启动计算机，然后执行命令“SYS C:”，用正常的引导程序覆盖硬盘的BOOT扇区 修复软盘BOOT扇区也可采用类似的覆盖方法 引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复。如果引导型病毒将

27、原主引导扇区或BOOT扇区覆盖式写入第一FAT表时，第二FAT表未破坏，则可以修复，可将第FAT表复制到第一FAT表中 一般而言，引导型病毒占用的其他部分存储空间，只有采用“坏簇”技术和“文件结束簇”技术占用的空间需要收回，修改文件分配表即可 基于隐蔽病毒自身的目的，病毒一般都要保证原文件代码还能正常地执行。这就意味着原文件能被妥善保存，从而为清除病毒、恢复原文件提供了可能 除了覆盖型的文件型病毒之外，其他文件型病毒都可以被清除干净 用解毒软件来解毒不保证能够完全复原，有可能会越解越糟，杀完毒之后文件反而不能执行。利用手工消毒也是如此。因此，用户必须勤备份自己的资料 手工清除病毒之前，应备份被

28、感染文件，同时应注意防护措施。任何清除病毒的动作，都是危险操作 传统的反病毒技术，基于被动式的防御理念 这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒 现在提倡主动内核(Active K)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件 主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用 完整主动防御技术包含三个层次：资源访问规则控制；资源访问扫描；程序活动行为分析引擎，

29、其中尤其以行为分析引擎技术最为关键。 由于行为分析引擎技术不成熟，集成了主动防御的杀毒软件需要过多的用户参与，要求用户选择是“放过”还是“拒绝”某个程序的动作，这样反而给用户带来了困扰。 资源访问规则是主动防御的第一层，也是其最为基础的部分，主动防御的基本功能，就依赖于此层来展开。它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止木马、病毒等恶意程序对这些资源的使用，从而达到抵御未知病毒攻击的目的。 文件监控、注册表监控、内存监控等都属于这个层次。 资源访问扫描是主动防御的第二个层次，通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内

30、容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。 邮件监控（反病毒、反垃圾）、网页监控、文件监控都属于这一层，这一层主要解决邮件病毒、网页挂马等等问题 这一层是主动防御技术核心中的核心，具有很高的技术门槛，有些类似反病毒行业的“歌德巴赫猜想”。 按照理论来讲，病毒可以根据代码数据特征码判定，也可以根据它的程序行为表现（即行为特征）判定，前者就是“特征码查杀”，是应用广泛的传统技术；后者在理论上可以做到，实际操作中很难用程序来准确判定，往往需要用户进行参与，对用户的技术水平要求很高，所以一直停留在实验室阶段，不能投入大规模的实际应用 通用反病毒解决方案的市场总额

31、在 2003 年为 270 亿美元，在 2004 年为 330 亿美元；预计到 2005 年会达到 380 亿美元（这里以及后面的数据都来源于 IDC，2005）。所有的厂商可以分为第一阵营（领先）、第二阵营（中游）和占市场份额不大甚至微乎其微的公司。 公司 销售额, 百万美元 2003 2004Symantec 1098 1364McAfee (NAI) 577 597Trend Micro 382 508 公司 销售额, 百万美元 2003 2004Sophos (英国) 97 116Panda Software (西班牙) * 65 104Computer Associates (美国)

32、 61 74F-Secure (芬兰) 36 51Norman (挪威) 23 31AhnLab (韩国) 21 28卡巴斯基实验室（俄罗斯）也处于反病毒厂商的第二阵营 * Alwil Avast (捷克) * Arcabit MKS (波兰) * Doctor Web DrWeb (俄罗斯) * ESET NOD32 (斯洛伐克) * Frisk Software F-Prot (冰岛) * GriSoft AVG (捷克) * H+BDV AntiVir (德国) * Hauri VI Robot (韩国) * SoftWin BitDefender (罗马尼亚) * VirusBuster VirusBuster (匈牙利)同时还有乌克兰的 UNA 和 Stop!，中国的 Rising 和 KingSoft 等。 1. 更新现代恶意程序的高速传播迫使反病毒公司更为频繁地