Virus 版 (精华区)

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 泛谈虚拟机及其在反病毒技术中的应用(5/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Mon Jun  2 13:41:10 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 泛谈虚拟机及其在反病毒技术中的应用(5/5)
发信站: BBS 水木清华站 (Sat May 24 01:00:40 1997)

泛谈虚拟机及其在反病毒技术中的应用(5/5)

　　到目前为止，即便我们经受了上述艰难的考验，完成了一个比较完整的虚拟
机，能够让绝大多数病毒“运行”而不“死机”，仍然还没有述及关于病毒标准
的问题。如果最终以传染性来判定病毒的产生，并且，不仅能够识别新的未知病
毒而且能够清除这个病毒，我们会发现这个反病毒工具不再是一个程序，而成为
可以和卡斯帕罗夫抗衡的IBM深蓝超级计算机。

　　首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”。
如何获得这个兼容性目前还没有人专门探讨。

　　第二，在判定病毒的标准上， 仍然会有问题。 尽管根据病毒定义而确立的
“传染”标准是明确的，但是，这个标准假如能够实施却是模糊的。一是，我们
要仿真传染条件，对于那些条件感染病毒，怎样制造传播条件？如系统日期、感
染对象的文件名等等，二是这个分析是通过动态执行(甚至回朔)分支屡试呢，还
是通过反回头进行静态的指令过程分析？

　　第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文
件确实感染的就是这个病毒或其变形。

　　当然，如果能够具有这样的超级计算，并实现上述过程，那么，杀掉未知病
毒也许是可能的。比如前面宝宝Post上来的getexe这样的脱壳程序，似乎就有那
么一点动态杀毒的影子了，但实际实现还差着很遥远很遥远……
　　
　　可以说，最后这个软件到底是怎样一个“专家”，和这个虚拟机的构造是密
切相关的。即便扣除上面讨论中貌似叫真抬杠的地方，这个工作量对于一、两个
人，几乎是不收敛的！当然，说道这里，我并不是否定虚拟机的作用，而是肯定
了虚拟机在反病毒软件中的特殊贡献。虚拟机的引入使得反病毒软件从单纯的静
态分析进入了动态和静态分析相结合的境界，在一个阶段里面，极大地提高了已
知病毒和未知病毒的检测水平，以相对比较少的代价获得了可观的突破。在今后
相当长的一段时间内，虚拟机在合理的完整性、技术技巧等方面都会有相当的进
展。目前国际上公认的、并已经实现的虚拟机技术在未知病毒的判定上能够达到
80%左右的准确率，这已经是相当的成就了。获得这个结果也经过了几年的时间。

　　目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、Word/Excel宏
病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平还相
距甚远。道高一尺、魔高一丈。就象病毒编码变形使得传统特征值方法失效一样，
针对虚拟机的新病毒可以轻易使得虚拟机失效。简单的比喻，让一个虚拟机失效
只需一条特殊的指令，或特殊的中断、甚至逆指令流……。

　　虚拟机是作为对过去已知病毒的统计分析而出现、并合理地存在的。随着新
病毒的发展，虚拟机因此也会在实践中不断得到发展。但是，PC的计算能力是有
限的，反病毒软件的制造成本也是有限的，而病毒的发展可以说是无限的。让虚
拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当之
大。当然这不影响我们在这里借此论坛讨论与这个技术相关的问题。作为一个学
生，kav 能对反病毒技术和市场做如此深入的调研，实令人钦佩。

　　反病毒新技术的构思、实现与应用最终会归结在不仅是技术，而且还包括资
金、知识、合作、市场、体制、心理等等太多的因素，正如前面dock所说，似乎
仍将不可避免地归结为我们民族软件业的一个悲剧。这是我们无法回避的一个社
会现实。当然，通过适当的学习、借鉴，尽可能地接近目前的反病毒国际先进水
平，也许还是有一线曙光的。但愿中国反病毒行业依靠吹嘘和欺骗的日子早日过
去……
                                                              (全文完)

--
扫除一切害人虫，全无敌...

m2m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.109]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]