Virus 版 (精华区)

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 泛谈虚拟机及其在反病毒技术中的应用(3/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Mon Jun  2 13:39:43 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 泛谈虚拟机及其在反病毒技术中的应用(3/5)
发信站: BBS 水木清华站 (Sat May 24 00:40:17 1997)

泛谈虚拟机及其在反病毒技术中的应用(3/5)

　　我们先从MS-DOS文件型病毒谈起。先说对于已知多态编码病毒，如果能够正
确解析这个病毒在编码上的规律，那么理论上是可以应付自如的，但是对于比较
复杂的编码算法以及众多的多态编码病毒，如果没有相对统一的方法来处理，那
么势必要仔细研究每种病毒的编码。如果能够让病毒在控制下先行运行一段时间，
让其自己还原，那么，问题就会相对明了。可以说虚拟机是这种情况下的最佳选
择。

　　一些类似AVP这样的国外软件都使用了这一技术。通过构造虚拟x86计算机的
寄存器表、指令对照表和虚拟内存，能够让病毒体在监控下在虚拟机中运行一段
时间。这一过程可以提取与“有可能被怀疑是”病毒或与病毒程序“相似”的行
为，比如截获中断、“可疑”的跳转等和普通计算机程序“不太一样”的地方。
同时，编码病毒在运行过程中完成自解码，还原成病毒体“原形”。病毒在自解
码之后，还要再度结合原来的特征值方法，将已知病毒代码特征库的先验知识应
用到虚拟机的运行结果中，完成对一个特定已知病毒的判定。

　　前面说了，病毒特征值一般是适用于已知病毒的，它不是判定病毒的唯一方
法。病毒在感染前后都会有其它表象和结果，比如驻留病毒截取一些中断向量，
尤其是Int21、Int13等比较“敏感”的中断、比如明显读操作(如列目录)时出现
的写目录，这些表象或结果与特征值相比，是病毒的一些动态判据，常被应用在
另一类的反病毒工具中，它们往往需要对PC环境做动态的监控。但是，单纯的截
获向量只能是怀疑有病毒，在内存中确认有病毒一般要结合特定病毒在内存中的
特定的特点。一般不能单纯凭借风吹草动就判定病毒。目前的动态监控技术的致
命弱点是兼容性差。尤其在进入Window后，很多软(硬)件的表现将“不可意料”。

　　那么，究竟有多少因素就能够判定是一个新的未知病毒呢？如何在没有特征
这一静态判据的条件下去根据动态判据去判定病毒呢？最现实的答案仍然是虚拟
机。从理论上说，因为病毒在虚拟机中运行的每个步骤都是可控和可观测的，因
此，只要判据充分，就首先可以判断是一个新的病毒。

--
扫除一切害人虫，全无敌...

m1m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.26]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]