Virus 版 (精华区)

作  家: zhili (北侠) on board 'virus'
题  目: 关于启发扫描的反病毒技术(4/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sun May 25 09:57:37 1997
出  处: bbs@conger.neu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 关于启发扫描的反病毒技术(4/5)
发信站: BBS 水木清华站 (Sat May 24 20:12:19 1997)

关于启发扫描的反病毒技术(4/5)

传统扫描技术与启发式代码分析扫描技术的结合运用
───────────────────────

    前面论述了簋多启发式代码分析技术的优点和长处，会不会引起某些人
的误解，以为传统的检测扫描技术就可以丢弃了呢？情况当然不是这样。从
实际应用的效果看来，传统的手法由于基于对已知病毒的分析和研究，在检
测时能够更准确，减少误报；但如果是对待此前根本没有见过的新病毒，由
于传统手段的知识库并不存在该类（种）病毒的特征数据，则有可能毫无瓜，
产生漏报的严重后果。而这时基于规则和定义的启发式代码分析技术则正好
可以大显身手，使这类新病毒不至成为漏网之鱼。传统与启发式技术的结合
支用，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，
又大大降低了总的误报率。详见以下测试实验结果对比数据：

          启发式判定结果    传统式判定结果    可能的真正结果

            干净              干净              非常可能就是干净的
            干净              有毒              很可能误报
            有毒              干净              很可能有毒
            有毒              有毒              极有可能确实染毒

                                                三种技术结合使用
虚报率      10%               1%                1%
漏报率      0.1%              0.001%            0.00001%

    某种病毒能够同时逃脱传统和启发式扫描分析的可能性是小的，如果两
种分析的结论相一，致那么真实的结果往往就如同其判断结论一样砍无，疑
两种不同技术对同一检测样分析的结果不一致的情况比较少见，这种情形下
需借助另外的分析去得出最后结论。

    仍然以 TbScan 6.02为测试举例，下面是分别使用不同技术和结合应用
的测试结果：

测试用技术      总数为7210个样本的病毒检出数    检出率
传统的                      7056                97.86%
启发式                      6465                89.67%
结合应用                    7194                99.78%


启发式反毒技术的未来展望
────────────

    研究的逐步深入，使技术发展不断进步。一方面绝大多数反病毒厂家的
产品中还未能引入一个较为成功和可靠的启发式检测技术的内核，另一方面，
即使是在少数依靠的知名反病毒产品中这项技术的运用也还需要经受不断的
完善和发展。任何改良的努力都会有不同程度的质量提高，但是不能企望在
没有虚报为代价的前提下使检出率达到100%，或者反过来说，大约在相当长
的时间里虚报和漏报的概率不可能达到0%。

    这听上去或许有些不可思议，其实不难理解。100%正确的检测结果只所
以不存在，是因为有相当一部分程序（或代码）介乎于病毒与非病毒之间，
即便对于人脑来说，合乎逻辑又合乎病毒定义的结论往往会截然相反。随便
举一个例子，如果依据广为接受的病毒的定义：“病毒，就是复制自身的拷
贝或改良的复本的一些程序。” 那么，众所周知的磁盘复制程序 DiskCopy
岂不是也落入病毒的分类中了吗？但是，情况显然并非如此……

    病毒技术与反病毒技术恰如“道”与“魔”的关系，也许用“道高一尺，
魔高一丈”来形容这对矛盾的斗争和发展进程再为恰当不过了。当反病毒技
术的专家学者在研究启发式代码分析技术对传统的特征代码扫描法查毒技术
进行改革的时候，也确实收到了很显著的效果，甚至可以说，相对于病毒技
术的加密变换(Mutation)，尤其是多形、无定形病毒技术(Polymorphsm) 对
于传统反毒技术的沉重打击，杀了一个漂亮的回马枪。但是，反毒技术的进
步也会从另一方面激发和促使那些丧心病狂的病毒制作者的不断研制出更新
的病毒，具有某种反启发式扫描技术功能，可以逃避这类检测技术的新型病
毒。但是，值得庆幸的是，即便能够写出具有这种能力的病毒，它所需要的
技术水准和编程能力要复杂得多，绝不可能象对搞传统的基于特征值扫描技
术的反毒软件，那么容易，任何一个程序的新手只要将原有的病毒稍加改动，
哪怕只是一个字节，只要恰 好改变了所谓“特征字节”， 就可使这种旧病
毒的新变种从未经升级的传统查毒软件的眼皮底下逃之夭夭。

结论
──
    抛开启发式代码分析技术实现的具体细节和不同手法不谈，这种代表着
未来反病毒技术发展的必然趋势具备某种人工智能特点的反毒技术，向我们
展示了一种通用的、不需升级（较省需要升级或不依赖于升级）的病毒检测
技术和产品的可能性，由于诸多传统技术无法企及的强大优势，必将得到普
遍的应用和迅速的发展。资料显示，目前国际上最著名的排名在前五名的反
病毒软件产品均声称应用了这项技术，从来自不同机构和出处的评测结果来
看，纯粹的启发式代码分析技术的应用（不借助任何事先的对于被测目标病
毒样本的研究和了解），已能达到80%以上的病毒检出率， 而其误报率极易
控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特
征字串”的特征扫描技术的查毒软件来说，是不可想象的，一次质的飞跃。
在新病毒，新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生
和应用更具有特殊的重要意义。


--
扫除一切害人虫，全无敌...

m6m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.152]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@conger.neu.edu.c]