計(jì)算機(jī)病毒嚴(yán)重威脅著計(jì)算機(jī)系統(tǒng)的安全，多態(tài)病毒采用自動(dòng)變形技術(shù)對(duì)抗特征碼
檢測(cè)，本文介紹了利用虛擬機(jī)技術(shù)的病毒檢測(cè)引擎的工作原理，討論了目前存在的效率問題，提出一個(gè)采用啟發(fā)式掃描的檢測(cè)引擎模型。
近幾年中計(jì)算機(jī)病毒正以驚人的速度蔓延,對(duì)計(jì)算機(jī)系統(tǒng)的安全構(gòu)成了威脅。早期的計(jì)
算機(jī)病毒并沒有采用自動(dòng)變形技術(shù),都具有固定的特征碼。因此，反病毒軟件可以利用病毒特征碼匹配很容易的檢測(cè)出隱藏在系統(tǒng)中的病毒程序。然而，病毒和反病毒技術(shù)這種“矛與盾”的斗爭(zhēng)中,盡管反病毒專家采用了各種各樣的方法來檢測(cè)計(jì)算機(jī)病毒,但是新病毒還是層出不窮,而且技術(shù)水平越來越高,隱蔽性越來越強(qiáng)。現(xiàn)在許多病毒采用自動(dòng)變形技術(shù)來逃避特征碼檢測(cè)技術(shù)的檢測(cè)，這就是所謂的多態(tài)病毒。多態(tài)病毒是指每次傳染產(chǎn)生的病毒副本在外觀形態(tài)上都發(fā)生變化的病毒。因此,多態(tài)病毒在外觀形態(tài)上沒有固定的特征碼。
多態(tài)病毒之所以能產(chǎn)生自動(dòng)變形是因?yàn)槠鋬?nèi)部有一種變形機(jī)構(gòu),本文稱之為多態(tài)變形引
擎(Polymorph Engine)。下面分析多態(tài)病毒的變形機(jī)制，多態(tài)病毒的變形引擎主要由五部分組成:預(yù)處理器(Preprocessor)、還原器(Restorer)、病毒體(Virus Main Code)、變形驅(qū)動(dòng)
器(Polymorph Driver)、變形器(Polymorph Processor)，五部件相互協(xié)作,共同完成傳染和
變形[1]。預(yù)處理器在病毒進(jìn)入內(nèi)存時(shí)對(duì)病毒進(jìn)行預(yù)處理,如將分塊寄生的病毒進(jìn)行組裝。還原器在病毒進(jìn)入內(nèi)存后將被變形器變形的部分還原。病毒體代碼完成普通病毒的常規(guī)任務(wù),如傳染、破壞等。變形驅(qū)動(dòng)器是對(duì)病毒產(chǎn)生變形的變形控制部件。變形驅(qū)動(dòng)器對(duì)預(yù)處理器和還原器產(chǎn)生代碼等價(jià)變形,調(diào)用變形器對(duì)其它部件產(chǎn)生變形。變形器使病毒體代碼、變形驅(qū)動(dòng)器和變形器產(chǎn)生變形，還原器是變形器的逆變換器。由于變形器在對(duì)同一數(shù)據(jù)或代碼進(jìn)行兩次變形時(shí),所得到的兩個(gè)結(jié)果相同的概率很小,所以假定變形器對(duì)同一數(shù)據(jù)的多次變形運(yùn)算都會(huì)得到不同結(jié)果。多態(tài)病毒采用的這種程序演化的技術(shù)，使基于特征碼檢測(cè)的反病毒軟件徹底失去作用。