精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆反病毒技术论坛☆>>腐木中空,蝼蚁之穴 (4/6)

主题:腐木中空,蝼蚁之穴 (4/6)
发信人: CallDwordPtr()
整理人: jia(1998-08-12 12:56:55), 站内信件
发信人: CallDwordPtr (远调用), 信区: Virus 
标 题: 腐木中空,蝼蚁之穴 (4/6) 
发信站: BBS 水木清华站 (Thu Dec 18 15:13:48 1997) WWW-POST 

腐木中空,蝼蚁之穴 (4/6) 

多形性病毒是一种自身的形态时常变化的病毒,一般每传染一次就把自己的 
静态代码变换一次。它对反病毒软件提出的挑战是:直到二代的软件都使用了特 
征码扫描法来确定病毒是否存在。由于多形性病毒不断变化自身,就找不到一串 
固定的可称得上是“特征”的代码来确定病毒。多形性病毒的出现确实给反病毒 
技术人员带来了新的难题和巨大的挑战。洞察到传统方法不可克服的缺陷,他们 
摈弃特征码扫描的思路,经深思熟虑引入虚拟机和启发式扫描的方法,开创了反 
病毒软件的新纪元──第三代反病毒软件。这一代软件在虚拟机的帮助下不仅使 
得多形性病毒无以遁形,而且启发式扫描又可查知大多数未知多形性病毒。用户 
不仅可以亡羊补牢,大部分情况下还能未雨绸廖了。因此新一代反病毒软件给用 
户带来的实质上是一次飞跃,这次飞跃是多形性病毒诞生而促成的。中国有句成 
语:塞翁失马,焉知非福?真是言之不谬矣!虚拟机加启发式扫描已经成为所有 
优秀反病毒软件不可或缺的核心。 

虚拟机既有如此威力,那么虚拟机是什么呢?它实际上是一种可控的,由软 
件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序,其一切行为都 
是受到探知的和被控制的。一个程序一旦被发现有象病毒一样的越轨行为即被中 
止,同时确认为病毒。那些多形性病毒尽管极尽隐藏伪装之能事,不时变换着花 
招,但是它在骨子里毕竟是恶魔,一有机会就急着露出狰狞的面目跳出来害人。 
虚拟机在检查这种病毒时,开始是不动生色。病毒自以为得计,于是一层层脱去 
伪装,哪知道它每脱掉一层外衣都会被虚拟机洞察到。直到多形性病毒自己脱光 
所有伪装还原出它本来面目时,虚拟机这才挺身而出抓住这个元凶。所以,虚拟 
机是一个有头脑的卫士,能够洞悉病毒的动态活动。它就象出色的侦探那样剥去 
犯罪分子设置的重重迷幛后将其绳之以法。相比之下,特征码扫描则只能算得上 
拿着通缉犯照片搜捕凶徒的捕快,手脚虽然麻利,但是缺乏头脑,疑犯稍作伪装 
就能逃之夭夭了。 

虚拟机强大,却也十分复杂,并非依靠个别人的心血来潮于一朝一夕间能完 
成的,需要多少精通计算机软、硬件知识的程序员们彻夜的艰苦工作方能成功。 
这对王江民先生来讲不仅是不愿,更是没有实力来做的一件事。他只好仍旧守着 
特征码扫描这个昨日黄花做些文章。所谓“功夫不负有心人”,不管这个心思是 
什么样的心思,既然付出了就会多多少少有些收获。这位王江民先生也不知经过 
了多少次试验,居然发现多形性病毒变来变去毕竟还有那么一点点地方是不变的。 
这对只懂得一招特征码扫描的王先生来讲无异于溺水之人抓住了一根救命稻草。 
于是乎“广谱特征码”这一极具江民特色的词汇就出笼了。那么让我们来考察一 
下所谓的“广谱特征码”,其实质到底是什么呢?它又带来了什么新问题呢? 

(待续) 

--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: ab-4-37.bta.net]

[关闭][返回]