发信人: CallDwordPtr()
整理人: jia(1998-08-12 12:56:57), 站内信件
|
发信人: CallDwordPtr (远调用), 信区: Virus 标 题: 腐木中空,蝼蚁之穴 (5/6) 发信站: BBS 水木清华站 (Thu Dec 18 15:15:43 1997) WWW-POST
腐木中空,蝼蚁之穴 (5/6)
如前文所述,“广谱特征码”本质上仍旧是特征码,只是在其基础上稍加变 通而已。原本的特征码是病毒中一串有这种病毒自己特色的指令序列,例如一段 检查自身是否已获控制权或者实施破坏的代码。这样的代码是这种病毒所独有的, 在其它正常程序中不可能出现的序列。为了确保不会把其它程序中有可能出现的 十分类似于这种病毒的数据也误判为病毒,特征码串一般都选得很长,有时甚至 可达数十字节。这也是二代反病毒软件为了压缩病毒数据库不用特征码扫描,转 而使用计算校验码的方法的原因。然而对多形性病毒,正象王江民自己所说的那 样,不同形态之间“没有超过三个连续字节是相同的”。合理长度的特征码再也 无法找到了。情急之下,王先生大大放宽了作为特征码的标准。不是没有超过三 个字节是相同的吗?俺老王就只用两个。不是不连续吗?不连续就让它不连续着 吧,反正这些新病毒已经把俺搞得焦头烂额,到了山穷水尽的地步了。于是乎象 B8,01,%% 这样怪里怪气的“广谱特征码”就出台了。
了解了“广谱特征码”的实质就不难看出其中的致命问题:首先是误报、误 杀率极高。由于原本较长的特征码被分割、简化,其严密性早已丧失殆尽。 B8, 01,%% 这样的“广谱特征码”去掉其中人为塞入的无意义的%%后,所剩还不到 10个字节,而且不连续。以这样的“特征”作为检查标准,孰知何时一个原本无 辜的文件就被无端扣上“有病毒”的大帽子,然后再被 KV300杀得肢体不全呜呼 哀哉了。可是不知就里的使用者还以为 KV300真的立了功,王先生脸上也添了分 光彩。可是KV300不是常有这样的好运气,却时不时把它的屠刀挥向那些 JPG、 GIF文件上去。这种明目张胆的恶行哪里逃得过人民的眼睛,于是乎KV300被骂个 狗血喷头,王先生脸上也挂不住了。只可惜了那些图中的美人,被无端砍了头、 剁了脚,令没有备份的用户一阵唏嘘。( 此为比喻,但是对于基于流的媒体文件 有类似的问题)
KV300 这种“宁可错杀一千,也不放过一个”的霸道方法,果真能一个不漏 地查出病毒也是功劳一桩,只可惜在错杀一千的同时,放走的病毒有时更多,这 就是“广谱特征码”另一个致命问题──漏报率高。“广谱特征码”既是王先生 费尽千辛万苦总结出来的,也仅仅是依靠了他个人的经验在众多染了病毒的文件 间比较而得的所谓“经验公式”。“没有超过三个连续字节是相同的”一句当是 王江民辛辛苦苦做完比较后的慨叹了。虽然他很辛苦,这样的工作又有什么意义 呢?王江民先生也承认多形性病毒的静态形态有上亿种甚至无穷种可能,竭一人 之力做出的比较也仅仅能覆盖其中的几十至几百种,这与巨大的形态总数相比简 直是九牛一毛。王先生个人也许慧眼独具,能从这少数的变化中总结出大多数的 规律。可是即便如此这“经验公式”也显然是不完善的和缺乏科学依据的。没有 人能够保证多形性病毒成千上万种变形中没有任何一种能跳出“广谱特征码”所 界定的范围。王先生在他发明这种“广谱特征码”之时恐怕早已心知肚明了,故 而一方面煞有介事地警告那些使用非 KV300反病毒软件的用户:“有可能不能把 那些变形病毒全部杀掉”,另一方面对使用 KV300的用户只有无奈地承诺:“漏 杀的可能性很小”。真是自己打了自己一个响亮的耳光。
(待续)
-- ※ 来源:.广州网易 BBS bbs.nease.net.[FROM: ab-4-37.bta.net]
|
|