Virus 版 (精华区)
作 家: OrangeGun (Gunner) on board 'virus'
题 目: 泛谈虚拟机及其在反病毒技术中的应用(5/5)(转寄)
来 源: 哈尔滨紫丁香站
日 期: Mon Jun 2 13:41:10 1997
出 处: bbs@bbs.orange.sjtu.edu.cn
发信人: bluesea (蓝海), 信区: Virus
标 题: 泛谈虚拟机及其在反病毒技术中的应用(5/5)
发信站: BBS 水木清华站 (Sat May 24 01:00:40 1997)
泛谈虚拟机及其在反病毒技术中的应用(5/5)
到目前为止,即便我们经受了上述艰难的考验,完成了一个比较完整的虚拟
机,能够让绝大多数病毒“运行”而不“死机”,仍然还没有述及关于病毒标准
的问题。如果最终以传染性来判定病毒的产生,并且,不仅能够识别新的未知病
毒而且能够清除这个病毒,我们会发现这个反病毒工具不再是一个程序,而成为
可以和卡斯帕罗夫抗衡的IBM深蓝超级计算机。
首先,虚拟机必须提供足够的虚拟,以完成或将近完成病毒的“虚拟传染”。
如何获得这个兼容性目前还没有人专门探讨。
第二,在判定病毒的标准上, 仍然会有问题。 尽管根据病毒定义而确立的
“传染”标准是明确的,但是,这个标准假如能够实施却是模糊的。一是,我们
要仿真传染条件,对于那些条件感染病毒,怎样制造传播条件?如系统日期、感
染对象的文件名等等,二是这个分析是通过动态执行(甚至回朔)分支屡试呢,还
是通过反回头进行静态的指令过程分析?
第三,假如上一步能够通过,那么,我们必须检测并确认所谓“感染”的文
件确实感染的就是这个病毒或其变形。
当然,如果能够具有这样的超级计算,并实现上述过程,那么,杀掉未知病
毒也许是可能的。比如前面宝宝Post上来的getexe这样的脱壳程序,似乎就有那
么一点动态杀毒的影子了,但实际实现还差着很遥远很遥远……
可以说,最后这个软件到底是怎样一个“专家”,和这个虚拟机的构造是密
切相关的。即便扣除上面讨论中貌似叫真抬杠的地方,这个工作量对于一、两个
人,几乎是不收敛的!当然,说道这里,我并不是否定虚拟机的作用,而是肯定
了虚拟机在反病毒软件中的特殊贡献。虚拟机的引入使得反病毒软件从单纯的静
态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已
知病毒和未知病毒的检测水平,以相对比较少的代价获得了可观的突破。在今后
相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进
展。目前国际上公认的、并已经实现的虚拟机技术在未知病毒的判定上能够达到
80%左右的准确率,这已经是相当的成就了。获得这个结果也经过了几年的时间。
目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、Word/Excel宏
病毒、木马程序在理论上都是可以通过虚拟机来处理的,但目前的实现水平还相
距甚远。道高一尺、魔高一丈。就象病毒编码变形使得传统特征值方法失效一样,
针对虚拟机的新病毒可以轻易使得虚拟机失效。简单的比喻,让一个虚拟机失效
只需一条特殊的指令,或特殊的中断、甚至逆指令流……。
虚拟机是作为对过去已知病毒的统计分析而出现、并合理地存在的。随着新
病毒的发展,虚拟机因此也会在实践中不断得到发展。但是,PC的计算能力是有
限的,反病毒软件的制造成本也是有限的,而病毒的发展可以说是无限的。让虚
拟技术获得更加实际的功效,甚至要以此为基础来清除未知病毒,其难度相当之
大。当然这不影响我们在这里借此论坛讨论与这个技术相关的问题。作为一个学
生,kav 能对反病毒技术和市场做如此深入的调研,实令人钦佩。
反病毒新技术的构思、实现与应用最终会归结在不仅是技术,而且还包括资
金、知识、合作、市场、体制、心理等等太多的因素,正如前面dock所说,似乎
仍将不可避免地归结为我们民族软件业的一个悲剧。这是我们无法回避的一个社
会现实。当然,通过适当的学习、借鉴,尽可能地接近目前的反病毒国际先进水
平,也许还是有一线曙光的。但愿中国反病毒行业依靠吹嘘和欺骗的日子早日过
去……
(全文完)
--
扫除一切害人虫,全无敌...
m2m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.109]m
--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.661毫秒