Virus 版 (精华区)

作  家: zhili (北侠) on board 'virus'
题  目: 关于启发扫描的反病毒技术(1/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sun May 25 09:49:51 1997
出  处: bbs@conger.neu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 关于启发扫描的反病毒技术(1/5)
发信站: BBS 水木清华站 (Sat May 24 20:08:44 1997)

关于启发扫描的反病毒技术(1/5)

　　有个译者翻译了一篇文章，经过周转今天我索要到了文件。正好是关于
启发扫描的。关于“废话”我前面的文章说了不少，这里就不重复了。我把
一些有价值的具体部分筛选了一下，其余的删掉了一小部分。我们前面看了
虚拟机，其作用是让病毒受控地虚拟运行。而所谓“启发扫描”就是在病毒
运行 /动态分析基础上进行判定的具体方案。

启发式代码扫描技术
─────────

　　病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速
应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕
显示等，而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、
解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的
不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式
代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体
程序体现。

　　因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方
法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，
实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列
的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序
列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，
那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取
得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作
指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。

可疑的程序功能
───────

　　在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件
要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜
索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公
开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的
等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。

　　随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序
中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的
加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是
应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定
义的阀值，那么，病毒检测程序就可以声称“发现病毒！”仅仅一项可疑的
功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的
谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现
病毒的报警标准。

==================================================================

--
扫除一切害人虫，全无敌...

m6m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.152]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@conger.neu.edu.c]