他透過宇兒收集的資料,讓星兒結合前世資料,對現實的IT產業狀況分析、討論,確定面向市場的第一個產品是軟體類。具體產品,先從防火牆及防毒軟體著手,相較馬由資料庫中的其他大多數軟體產品,這類技術並不複雜,最大工作量是資料的收集和整理。而擁有人工智慧後,資料收集和處理也沒有任何困難。
選定出品防火牆、防毒軟體有重要的戰略目標,就是瞄準已顯現出壟斷趨勢的“視窗”系統軟體,以及將來所有的軟體、網站競爭對手。
擁有藍星的防毒和防火牆軟體,幾乎可杜絕所有病毒。“安全”就成為藍星未來推出其他產品的一個巨大賣點。
也因此擁有了一個隱藏的殺手鐧,成為戰略性威懾手段。若他國惡意競爭、制裁或禁入藍星的產品,他可動用終止防火牆和防毒軟體在該國的運用等反制手段。
現在市面上的一些電腦安全產品效能較為粗淺。主要分硬體防火牆和軟體防火牆,基本原理就是控制在計算機網路中,不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通訊,與建築中的防火牆功能相似。
典型信任的區域包括網際網路和一個內部網路。最終目標是提供受控連通性在不同水平的信任區域透過安全政策的執行和連通性模型之間根據最少特權原則。
馬由分析了目前這個世界的防毒軟體的原理,他們通常採用病毒檢測法、特徵程式碼法兩種。這裡面蘊含的技術,就有極大的差異,所以不同產品之間競爭,主要還是查、殺能力和速度。
病毒檢測法是在與病毒的對抗中,及早發現病毒。早發現,早處置,可以減少損失。檢測病毒方法有:特徵程式碼法、校驗和法、行為監測法、軟體模擬法等。
這些方法依據的原理不同,實現時所需開銷不同,檢測範圍不同,各有所長。
特徵程式碼法被早期應用於SCAN、CPAV等著名病毒檢測工具中。這是國外業界認為檢測已知病毒的最簡單、開銷最小的方法。
特徵程式碼法的實現步驟是採集已知病毒樣本,病毒既感染COM檔案,又感染EXE檔案,對這種病毒要同時採集COM型病毒樣本和EXE型病毒樣本。
在病毒樣本中,抽取特徵程式碼。需依據這些原則,如抽取的程式碼比較特殊,不大可能與普通正常程式程式碼吻合。抽取的程式碼要有適當長度,一方面維持特徵程式碼的唯一性,另一方面又不要有太大的空間與時間的開銷。如果一種病毒的特徵程式碼增長一位元組,要檢測3000種病毒,增加的空間就是3000位元組。在保持唯一性的前提下,儘量使特徵程式碼長度短些,以減少空間與時間開銷。
在既感染COM檔案又感染EXE檔案的病毒樣本中,要抽取兩種樣本共有的程式碼。將特徵程式碼納入病毒資料庫。
開啟被檢測檔案,在檔案中搜尋,檢查檔案中是否含有病毒資料庫中的病毒特徵程式碼。如果發現病毒特徵程式碼,由於特徵程式碼與病毒一一對應,便可以斷定,被查檔案中患有何種病毒。
採用病毒特徵程式碼法的檢測工具,面對不斷出現的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵程式碼法對從未見過的新病毒,自然無法知道其特徵程式碼,因而無法去檢測這些新病毒。
特徵程式碼法的優點是檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、蒐集已知病毒的特徵程式碼,費用開銷大、在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路效能變壞)。
市場上這些防火牆及防毒軟體還有很多缺點,如速度慢:隨著病毒種類的增多,檢索時間變長。如果檢索5000種病毒,必須對5000個病毒特徵程式碼逐一檢查。若病毒種數再增加,檢病毒的時間就變得十分可觀。此類工具檢測的速度將變得日益困難。
再如報警率低、不能檢查多形性病毒。特徵程式碼法是不可能檢測多型性病毒的。國外專家認為多型性病毒是病毒特徵程式碼法的索命者。
最大的問題是不能對付隱蔽性病毒。隱蔽性病毒如果先進駐記憶體,後執行病毒檢測工具,隱蔽性病毒能先於檢測工具,將被查檔案中的病毒程式碼剝去,檢測工具的確是在檢查一個虛假的“好檔案”,而不能報警,被隱蔽性病毒所矇騙。