Virus 版 (精华区)

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 泛谈虚拟机及其在反病毒技术中的应用(4/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Mon Jun  2 13:40:34 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 泛谈虚拟机及其在反病毒技术中的应用(4/5)
发信站: BBS 水木清华站 (Sat May 24 00:40:48 1997)

泛谈虚拟机及其在反病毒技术中的应用(4/5)

　　但是，虚拟机的实现谈何容易！

　　首先的工作是对病毒代码做解释执行。一个有一些汇编语言基本功、能力稍
强一些的程序员通过艰苦的劳动是完全有可能胜任这一过程的。但这个工作的彻
底程度如何，决定了这个虚拟机的基本性能。除了处理每种 x86指令在各种寻址
上的差异外，如果要叫真，那么286指令、386指令、x87指令、 保护模式指令、
MMX 指令也应该在仿真的范围之内，因为任何一条虚拟机不认识的指令都会另虚
拟机“当机”。并且保不准那个病毒就运行了一条这种怪指令 (当然，目前还很
罕见)。

　　第二个考验是仿真一部分MS-DOS和BIOS调用。其中包括重要的内存分配、文
件处理。磁盘操作等关键环节。仿真的目的不仅仅是识别这些调用，而且是仿真
获得这些调用及指令运行的结果及其连带结果。

　　第三个考验是PC环境、BIOS环境、MS-DOS环境及扩充的PC环境。比如重要的
BIOS和MS-DOS数据区、MS-DOS的内存管理链、UMB甚至Himem、Emm386这样的程序
所带来的XMS、EMS、DPMI等等管理协议。尽管这有些偏门，但已经发现有病毒通
过DPMI来实现一些特定的功能。

　　如果虚拟机能够处理Windows类病毒，那么……。

　　尽管具体实现上困难重重，虚拟机仍然在反病毒软件中获得了极其成功的应
用，并成为目前反病毒软件的一个趋势，归结起来可能是由于下面的这些原因：

　　(1) 在处理加密编码病毒过程中，虚拟机是比较理想的处理方法；

　　(2) 在反病毒软件中引入虚拟机是由于综合分析了大多数已知病毒的共性，
并基本可以认为在今后一段时间内的病毒大多会沿袭这些共性；

　　(3) 虚拟机的确可以抓住一些病毒“经常使用的手段”和“常见的特点”，
并以此来怀疑一个新的病毒；

　　(4) 目前“临床”应用的虚拟机并不是“高大全”的完整仿真环境，而是相
对比较简单的、易于实现的版本。 (但各个反病毒厂商如果进行新一轮吹嘘，可
能又没有边际了。)

　　(5)虚拟机技术仍然与传统技术相结合，并没有抛弃已知病毒的特征知识库。

--
扫除一切害人虫，全无敌...

m1m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.26]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]