计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(20)

如果扫描程序检测出相应的字节序列，它就会报告文件己被病毒感染。 查病毒软件中使用的病毒码过滤法即是基于这种工作原理在实际中应用的。根据病毒某一部分的特征，去对比每一个可执行程序，有该特征即判定为该病毒。面对新病毒和变形病毒，这种方法暴露出弱点：因为特征选取不当而容易造成误判；病毒数量增多时，进行特征对比时耗时越来越多。但它的优点是操作简单，可隔离大部分已知病毒。 早期的计算机病毒非常简单，使用完全相同的拷贝从一个文件到另一个文件复制或者从一个引导记录到另一个引导记录复制。因此，这种简单的串扫描算法能工作得很好。 但是，新一代病毒变得更加复杂了，这些病毒使用简单加密方法加密病毒体，而且在每个感染的文件中都不相同，所以经过加密的病毒很难检测出来。 反病毒研究者很快就改进了他们的技术，推出了一种更快更健壮的病毒扫描技术。研究人员认识到大多数病毒感染都发生在可执行文件的开头或结尾附近，大多数病毒喜欢把自己前置或后置到宿主体文件中。因此，用不着扫描每个文件的每个字节，反病毒扫描程序只需要把注意力集中于可执行文件的最前面和最后面几个KB就行了。 研究人员还通过增加通配符功能改进它们的串扫描程序。

一个原来的特征标记是由从病毒中提取的一系列字节组成，它只包含固定的一系列字节，如： 原来的特征标记：B8 00 30 CD 21 3D 03 00 新的通配符特征标记：B8 SKIP 30 CD 21 3D SKIP 40 这是一种非常有用的改进。大多数简单加密的病毒运用基本解密例程，这些基本解密例程在一次感染和另一次感染之间没有太大差别，只有加密例程的键值在每一次感染中会改变。 串扫描程序在反病毒领域己经取得了很大成功。这种技术现在在许多产品中仍然使用。然而它通常检测不出一些非常简单的多态病毒，因为这种病毒在不同的感染体之间变化很大。因此，近年来反病毒产品把串扫描技术与其他新技术结合使用。 多态病毒的出现要求对病毒扫描技术加以改进。现有的通配符串扫描程序无法可靠地检测出这些病毒。除了多态病毒的问题，病毒的数目不断以指数速率增长，老的扫描算法显著地慢了。想像一下，要在一个8000字节的程序中搜索4000种不同的病毒，所有的操作要在十分之一秒内完成。 要对付新的多态病毒的攻击和文件病毒总数的增长，反病毒公司开始运用更聪明的扫描算法，如算法入口点扫描程序。这种方法认为在一个感染的文件中，程序的入口点既可能直接指向病毒，也可能指向把控制传送给病毒的一些机器代码。

入口点扫描程序利用一个有限机器代码模拟器。这个模拟器能够跟踪一个目标程序，并且跟踪简单的机器语言跳转（控制传送）指令。扫描程序在目标程序入口点检查机器代码。如果此代码使用一种可以识别的方法把控制传送给另一个程序区，内置的模拟器就会试图定位传送的目标，然后把这个目标作为程序的新入口点。扫描程序重复这一过程直到机器代码不再把控制传送给其他程序部分。 当前所有的反病毒产品都使用某种形式的算法扫描，通常与入口点扫描技术结合起来。这种结合达到了快速扫描的速度和健壮的病毒检测能力。 然而在过去的几年，病毒编写者致力于编写出新的、高复杂性的多态病毒。这样的多态病毒在每一次感染中使用变化的解密例程。这些解密例程非常大，变化多端，而且很复杂，使得后面提到的扫描技术对许多多态病毒都无能为力。 由于不同的非多态病毒频繁地被编写并扩散出来，反病毒软件开发者不能在少数的多态病毒上花费大量的时间编写专门的检测程序。反病毒研究者己经为检测多态病毒开发出一种全新的技术 ，称为类属解密法GD。到现在为止，类属解密己经证明是检测多态病毒最成功的技术。 GD法基于的假定是：第一，被检测的多态病毒必须包含至少一小段机器代码，这些代码在一代和下一代之间是一致的，即使这个代码被加密也是一样。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-20.html