[其他]：教你全方位、多角度充分认识变形病毒

ctiger

一、同一“血缘”的病毒“族群”——变形病毒

    　据统计，目前流行的电脑病毒中，有大约70%的病毒（其中又有95%的木马、黑客、蠕虫等病毒），是借助各种软件压缩工具或者软件捆绑器，在原始病毒的基础上压缩变形而成的，此类病毒统称为被压缩过的变种病毒。虽然此类病毒的内容同原始病毒一模一样，但经过压缩、捆绑后，病毒的特征代码就会完全改变，等于是毫不费力就产生了一个新的变种病毒。特别地，压缩算法是公开的技术，任何一个具有编程能力的人，都可以利用这些公开的算法，设计出一个属于自己的压缩工具，并且压缩文件的格式是不公开的。换句话说，利用这些公开的技术，可以生成无数种他人短期内无法破解的压缩格式，进而也就可以利用原始的病毒，轻松产生出无穷多种新病毒。

　　以往对于这些变种病毒，只能采用一旦发现，立刻重新分析其特征代码，然后更新病毒特征代码库的方式予以查杀，这样做会病毒库迅速膨胀，并屡加不绝。或者一旦发现一种新的压缩工具,就分析该工具的压缩算法，并写出相应得解压算法，但压缩工具种类繁多，有些商业压缩非常复杂，并且不公开，因此在短期内难以完成。目前，反病毒软件还局限于使用上述两种办法。实际上，这些由一种病毒经过压缩、捆绑而形成的各种变种病毒，已经形成了或大或小的“病毒族群”。这些族群具有同样的病毒“血缘”，从根本的内容上来看，这些病毒其实是同一个病毒内核。其实，由于压缩、捆绑后的程序都是电脑二进制的可执行文件，在执行的过程中，会在内存中自动释放出原始的执行程序体。因此，假如能够在这些“族群病毒”在内存中释放出最终产生病毒作用的“原始病毒”时予以截杀，则将可以完全不必再重新确定新变种的病毒特征代码，而可以将所有来自同一“血缘”的“病毒族群”一体查杀。

        二、智能解包还原技术

　　基于上述变种病毒泛滥的情况，反病毒厂商希望能找到一种通用的方法，来彻底解决被动处理“族群病毒”的局面。反病毒公司针对变形病毒提出了“智能解包还原技术”。此项技术其实是瑞星“病毒虚拟机技术”的一项延伸技术，也就是说是“病毒虚拟机技术”的一项具体、有效的应用。

　　首先，经过捆绑、压缩、加壳处理的族群病毒，它们都是经过不同的工具进行外部变形，虽然变形后的病毒外部特征完全不一样，但其本身的核心代码并没有改变，不管外形如何，它们在运行时一定会在计算机的内存中将自身解包，最终释放出完全一样的“原始病毒”体的。

　　基于这种思想，病毒智能解包技术是利用瑞星强大的“病毒虚拟机”引擎，将这些变形的族群病毒放入病毒虚拟机中虚拟执行，并且时刻监视着病毒的状态，一旦发现这些族群病毒在内存中将自身还原成原始病毒形态，瑞星查毒引擎便介入进去，在这些原始的病毒体中寻找病毒特征，一旦找到，便进行相应的处理。

　　之所以称之为智能，是因为不同的工具对原始病毒进行处理的方式及算法都是不一样的，瑞星并没有对这些工具一一进行对应处理，而是将族群病毒统统视为一种情况进行自适应处理，原理上任何一种未知的族群病毒都可以通过这种智能解包技术进行查杀。         后记：纵观病毒的发展，我们不难看出，其多变性、危害性越来越突出。而与此同时，反病毒技术在近年也得到了长足的发展，如“行为分析判断”、“虚拟还原”等等。在这里需要强调的是，目前，病毒与反病毒已经不是“道高一尺，魔高一丈”的关系了，就拿“智能还原技术”来说，它已经具备了一定的前瞻性，可以适应今后一定时期内的新生病毒的查杀。


——摘自： 家用电脑网