病毒特征化繁为简 缩小病毒库体积
根据ESET NOD32 08年病毒分析实验室捕获的数据统计,2008年12月爆发量最大的是盗号木马和U盘病毒,这两种病毒占到了捕获样本总数的 24% 。这个是对病毒制作经济利益最大化,制作流程产业化的一个最好证据。随着网络游戏,网上购物等活动的兴起,病毒作者看到可以通过窃取游戏帐号,银行帐号,传播广告等方式来进行获利,因而他们有了更大的动力来开发各种的恶意程序,包括:恶意网页代码、盗号木马、间谍软件、网络钓鱼及垃圾邮件等。
由于大量恶意程序的涌现,杀毒软件和病毒的技术竞争也愈加激烈。病毒作者会利用新的技术隐藏自己躲避杀毒软件的查杀,或者寻找新的传播方式,或者甚至主动破坏杀毒软件。一个典型的案例是2008年2月份在国内爆发的“磁碟机”病毒。该病毒爆发后,每日会有数个变种产生来躲避杀软的检查,感染量达到数百万台计算机。同时,杀毒软件本身也在不断进化。那么,现在杀毒软件的主流技术有哪些呢?我们将给大家作一个简要的介绍。
(1)基因码检测技术
直到现在,几乎所有的杀毒软件主要还是通过病毒数据库里的病毒特征数据,与被扫描的文件加以对照,从而把符合条件的真正的病毒区分出来。由于几乎每天都有新病毒或变种出现,各杀毒软件厂商也只有不断进行特征更新 (Signature Update) 与扩充自己的病毒数据库,才能确保尽快把最新的病毒特征数据收录其中。
这种处理方法看似简单有效,但网络世界里出现过的病毒高达7万多种,即使是仍活跃的病毒种类也达到数千种以上;若病毒数据库要一口气全部收录,数据库体积必然非常庞大,就是在扫描系统时进行逐个数据对照,过程也极为费时。因此,像ESET NOD32 等先进的杀毒软件,已逐渐改变这种特征检测 (Signature-based Detection) 的查毒方式,进而采用较新型的基因码 (Generic Signature) 检测技术。采用基因码技术后,病毒特征和病毒库的大小都得到了简化。
病毒特征化繁为简
所谓基因码,就是指同一病毒族群中的不同变种,多半含有相同的病毒特征。不少病毒最初是以单一品种出现,后经由其它病毒作者修改或自行演化,最后变成数十种以上的病毒变种。若以传统特征检测方式处理,病毒数据库便要为每一种病毒变种制作一份独立的特征数据;而较新的基因码检测技术,则会从各变种中找出共同之处,包括一些非连续的程序代码,以此找出同一类型病毒的普遍特征。
缩小病毒数据库的体积
这样,在进行系统扫描时,由于采用较少的特征数据就能检测庞大的病毒种类,因此进行特征对照时便能大大缩短时间。同时,对于由同一种源头变化出来的新变种,只要吻合该族群的普遍特征条件,即使未更新病毒数据库亦很有可能成功进行识别。因此,ESET NOD32 更新病毒数据库所用的时间极短,每次更新不过下载 20KB 至 50KB 不等,绝不会加重网络与硬盘的负担。
(2)虚拟机技术
针对变形病毒、未知病毒等复杂的病毒情况,极少数防病毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。
网友评论