Virus 版 (精华区)

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 泛谈虚拟机及其在反病毒技术中的应用(2/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Mon Jun  2 13:38:43 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 泛谈虚拟机及其在反病毒技术中的应用(2/5)
发信站: BBS 水木清华站 (Sat May 24 00:39:50 1997)

泛谈虚拟机及其在反病毒技术中的应用(2/5)

　　我们在谈论病毒之前，可以再回顾一下模式识别和人工智能中的一些颇有回
味的问题。比如图象图形识别中，区分一个汉字的描述是很清楚的，比如“三点
水”右面加一个“又”字就是汉字的汉，但汉字识别却不能单纯使用这样的直接
标准；又比如对弈问题中，国际象棋的的输赢准则很清楚，简单地说就是老王被
吃掉者为输、都吃不了就和，同样，这个标准是一个易于描述和判断却不易实现
的标准。

　　回头我们再来看病毒。前面大家都谈到了，病毒的最终判定准则是其复制传
染性。但这个标准是不易被使用和实现的。如果病毒已经传染了，才判定是它是
病毒，必然会给病毒的清除带来麻烦 (正如看病确诊不能等病人咽气，而要使用
病症其他的特征一样)； 而且很多病毒的传染是有条件的，不是说让它传染就传
染的；即使是能够有效地控制病毒的蔓延，如何判定它是感染了一个文件( 而不
是一个程序对其他程序做正常的处理)也会有相当的难度 (比如多态编码病毒)，
而且判定另一个文件是否被感染病毒的问题，必然会陷入病毒判定的递归。

　　因此，复制传染性仅仅是作为病毒区分的最终概念和标准，而不是实用的检
查病毒的通常手段。那么检查病毒用什么方法呢？这就是大家所看到的形形色色
的反病毒软件所实用的手法。可谓八仙过海各显其能。与复制传染性这个以概念
出发的直接准则相比，实际使用的方法都是相对准则、间接方法，即相对易于实
现、同时也相对不那么准确的准则和方法。

　　客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、
最简单、最有效的方法 (比如我认识你一般只要看脸听声，而不必看出生证明、
血型乃至DNA 检验，如同枪毙之前的验明正身) 。具体怎样提取特征使得准确率
高、虚警和虚漏都比较少或可接受，就看各个反病毒研究者对病毒代码的理解、
其自身水平等很多方面了，其中还要包括很多技术和技巧。最原始的特征值方法
就是字符串匹配，比如大家都知道的KVn00，至多是将无条件匹配变成加几个 ??
的有条件匹配，当然还要再结合一些其他技巧。特征提取实际上也是一种信号处
理的概念与实现。理论和事实都证明字符串匹配方法对特征提取的方向性不明确，
真正有用的信息遗漏得太多，而提取出来的部分又有一些不带有病毒自身的特定
信息。在技术上是一个比较失败的“特征提取”方法。当然，KVn00 作者的文化
水平、能力和精力等情况都决定了目前的现状。

　　有效的特征提取方法可以将特定的病毒信息浓缩在很短的几个字节以内。这
对于目前上万种病毒的检查和确认无疑是非常重要的。但是，通常的特征值方法
对于未知病毒和多态编码病毒是无效的。多态编码病毒必须经过还原。也就是某
些软件所称的必须有那么一个“解密引擎”(至于是否货真价实是另外一个问题)。
而对于未知病毒，没有人工分析在先，而必须去寻求与病毒的直接准则更近而在
实现程度上更“飘渺”的方法。

--
扫除一切害人虫，全无敌...

m1m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.26]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]