Sophos Anti-Virus 3 中文版

同時提供多平臺支援的企業防毒

Sophos是目前全世界排名第四的防毒軟體廠商，也是歐洲最大的防毒軟體公司，Sophos目前有企業防毒軟體Sophos Anti-Virus和專門處理電子郵件伺服器和閘道伺服器防毒的MailMonitor，以及垃圾郵件過濾軟體PureMessage。今年四月Sophos新發表Small Business Suite，內含中小企業版的Sophos Anti-Virus和PureMessage，客戶可以個別購買其中一套產品。為了方便中小企業管理，Sophos Small Business Suite新增加Control Center和AutoUpdate兩項功能。

SAV雖然提供許多作業系統平臺的支援，然而安裝與部署與競爭廠商相比，較缺乏一次整合性的快速設定與管理，我們認為Sophos應該更強化整合與文件提示，提供明確的部署順序。而且試用版雖然有許多企業防毒元件可以安裝使用，但是卻無法得到最新的病毒識別檔的下載支援。用戶端防毒整合InterCheck技術

SAV包含兩大元件，病毒偵測引擎和InterCheck技術。Sophos防毒的核心是病毒偵測引擎，負責掃描病毒、特洛伊木馬和蠕蟲等惡意軟體（Malicious software，Malware），而InterCheck技術是一種判斷檔案過濾是否需要即時掃描的方法，並且提供集中式的訊息通報能力。

SAV病毒偵測引擎類似微軟COM的架構，裡面包含許多物件以及定義好的介面（interface），以便所有的作業系統平臺一體適用，病毒偵測引擎以分立、自給自足的動態函式庫為基礎，能夠處理不同的「儲存類別」，比方檔案格式，這種架構可以讓病毒掃描一般資料來源或任何不相關的檔案格式。上述的技術能夠增加病毒引擎載入與搜尋資料的速度，Sophos也整合偵測多型病毒的程式碼模擬器、線上解壓縮檔的程式，以及偵測與解除巨集病毒的OLE 2引擎。目前大部分的SAV、MailMonitor和協力廠商的應用程式，都整合了Sophos防毒引擎。

Sophos利用獨家開發的病毒敘述語言（Virus Description Language，VDL）檢查檔案，掃毒引擎會在虛擬機器中執行VDL程式。Sophos每個月都會重新發布病毒定義檔VDL.DAT，目前已經有3萬筆編譯好的病毒敘述資料，經過壓縮、加密，而且採用資料庫的架構儲存這些資料。

InterCheck技術是Sophos的專利技術，針對檔案存取的病毒偵測設計，Sophos表示，InterCheck可以處理區域網路環境的檔案，讓未更動檔案不需要重複掃描，能夠減少每個檔案掃描的時間。

InterCheck利用總和檢查位元碼（checksum）的方式，使用具有安全專利的演算法，從一個位元組序列中，替每一個檔案建立個別的數字，從檔案的檢查位元值，InterCheck可以識別出每一個檔案，並且檢查檔案是否遭到修改，只要檔案改變了一個位元，例如使用者或作業系統的檔案存取，檢查位元碼就會重新計算，立即改變。檢查位元碼儲存在資料庫，當SAV加入新的病毒識別檔，先前的檢查位元碼資料庫就會被刪除掉，隨即重建，避免即時掃描產生空窗期。

InterCheck分成用戶端和伺服器，在檔案開啟時，InterCheck用戶端會將檔案送至防毒引擎掃描，可以處理蠕蟲自我複製到Windows網路分享的動作，而InterCheck伺服器能夠接收與記錄網路上的病毒突發事件，並且發出警示給管理者或特定個人與使用者群組。SAV的Unix版並未包含InterCheck用戶端，但是仍具有InterCheck伺服器提供集中化的訊息通知與報表功能。

SAV的病毒掃描，即時掃描通常可以做到執行壓縮檔的文件檔，或資料夾開啟時，才能夠立即偵測到病毒，阻止檔案開啟，不過並不會主動提示使用者更名，或搬移檔案到隔離區，直到逐一檔案的掃描時，SAV才會做相關處理。企業級防毒管理

Sophos以企業防毒為產品主力，管理工具自然也是防毒架構的重點。Sophos提供了Enterprise Manager的工具套件，協助系統管理者管理安裝在內部網路各種平臺的SAV，支援Sophos Databank網站的自動化發佈和更新，控管企業內部的用戶端電腦和伺服器，以及病毒偵測摘要報告。

Enterprise Manager的要素包括Sophos Databank、EM Library、EM Reporter、EM Console和SAVAdmin，企業級管理工具也包括Remote Update和MailMonitor。

EM Library負責從Databank的軟體與病毒識別碼更新的網站中，收集更新檔，並且發佈到中央安裝目錄（Central Installation Directory，CID）。中央安裝目錄其實是一個網路分享資料夾，讓網路使用者能夠從網路存取安裝檔案。而EM Reporter處理與彙整所有電腦回傳的病毒偵測報告。EM Console則能夠同時管理EM Library和EM Reporter。SAVAdmin用在Windows環境的自動部署，介面很類似資產管理，提供以電腦與網域為中心的即時監控報告。EM Reporter和SAVAdmin不同，EM Reporter只提供病毒、網路群組、時間與細節資訊等面向的報表。

至於病毒碼的更新部署，Sophos提供Remote Update，讓行動裝置能夠可以連回企業的網站伺服器或檔案伺服器完成更新。發表PureMessage之前，Sophos自己有郵件防護管理的工具MailMonitor，可以處理Exchange、Notes、和SMTP信件，防護垃圾郵件入侵，和郵件附檔，除了掃描執行檔以外，也支援多重附檔的掃描，並且具有存取權限表的控管，避免郵件伺服器變成轉送跳板。Checksum與防毒

總和檢查（Checksum），會將資料本身所有的字元或數值加總，或採用特定公式計算，得到一個數值，並且將這個數值附加在資料後面，成為資料的一部分，資料傳送時，接收端會檢查資料的所有字元/數值加總後，是否等於資料最後段的附加值，如果有出入，表示資料有錯誤。例如身分證字號，總共10碼，最後一碼是檢查碼，必須經過身分證第一個字母與後面8個數字的組合計算後才能得出。

總和檢查最常看到的例子是個人電腦主機板的BIOS更新，更新過程中有時會出現CMOS checksum error的錯誤訊息，因為BIOS更新時會做總和檢查後才允許資料更動。而在MS-DOS的時代，微軟在DOS 6.×使用Central Point Anti-Virus的防毒技術，提供一支叫做MSAV.exe的病毒偵測程式，掃描檔案時會記錄所有檔案的檔案大小、總和檢查位元、存取日期等，建立CHKLIST.MS的資料檔，存放在每一個資料夾內，如果有一些檔案修改，MSAV在掃描時會比對這些數值資料，確認檔案是否遭到病毒感染，如果沒問題會重新建立CHKLIST.MS的資料檔，對檔案型病毒比較有效。文⊙李宗翰