| 多态性病毒每次感染都改变其病毒密钥,对付这种病毒,普通特征值检测方法失效。因为多态性病毒对其代码实施加密变换,而且每次传染使用不同密钥。把染毒文件小的病毒代码相互比较,也不易找出相同的可作为病毒特征的稳定特征值。虽然行为监测技术可以检测多态性病毒,但是在检测出病毒后,无法做病毒清除处理,因为不知该病毒的具体特性。
|
|
|
| 一般而言,多态性病毒采用以下几种操作来不断交换自己:采用等价代码对原有代码进行替换;改变与执行次序无关的指令的次序;增加许多垃圾指令;对原有病毒代码进行压缩或加密。但是,无论病毒如何变化、每一个多态病毒在其自身执行时都要对自身进行还原。为了检测多态性病毒,反病毒专家研制了一种新的检测方法——“虚拟机技术”。该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,而且程序的运行不会对系统起实际的作用(仅是“模拟”),因而不会对系统造成危害。其实质都是让病毒在虚拟的环境执行,从而让其原形毕露、无处遁形。
|
|
|
| 目前大多数反病毒软件都采用了虚拟机技术,反病毒软件开始运行时,使用特征值检测方法检测病毒。如果发现隐蔽式病毒或多态性病毒,启动软件模拟模块,监视病毒的运行,待病毒自身的加密代码解码后,再运用特征值检测方法来识别病毒的种类。
|
|
|
京公网安备 11010502032051号 | 营业执照