新人选工具必知:反病毒软件常用技术(二)

竹木刀

一、杀毒软件引擎与病毒库的关系
其实病毒库与杀毒引擎没有直接的关系，杀毒引擎的任务和功能非常简单，就是对指定的文件或者程序进行判断其是否合法。而病毒库，只不过是对杀毒引擎的一种补充，那个过程，就是杀毒引擎对文件或者程序判断。明白这一点，就应该知道，好的杀毒软件，重要在引擎的优秀，病毒库越大，杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。

二、加壳、脱壳
$ e& W7 |4 j0 H! O6 u0 d6 s1.什么是加壳
所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。
% z4 k' G( I, C* B+ L当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。
如何判断一个可执行文件是否被加了壳呢？有一个简单的方法（对中文软件效果较明显）。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。
为什么黑客能够利用加壳技术来对抗反病毒软件呢？众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。
脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力。
. [- u6 ~7 n- I, [$ ]
2. 脱壳
8 N/ b9 p) J* |+ d2 G0 X3 L马甲”能穿也能脱。相应的，有加壳也一定会有解壳（也叫脱壳）。脱壳主要有两种方法：硬脱壳和动态脱壳。
+ K4 H  a9 Z" Z- d6 T' b第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。
2 l% u. E2 B# E: M) p; ^7 E" b0 ]第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取（Dump）内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。
5 G8 U* C# S$ R7 S% j
0 B  a9 c0 U4 \5 K8 J( k$ g3 e* C三、虚拟机脱壳引擎（VUE）技术
& z  d! ~- y* t对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。
“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟cpu、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难。
1 R! r: e( L/ q- V4 x# s
0 P$ E! w3 h( ]  R$ w+ T四、启发式杀毒
5 P- N; w2 h; I# ?+ d3 @# c病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
, W# B4 x  R5 P$ F' H9 x# X' \启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。
- N" c6 j& i8 w  O$ C- H/ X启发式杀毒代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不需升级（较省需要升级或不依赖于升级）的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用（不借助任何事先的对于被测目标病毒样本的研究和了解），已能达到80%以上的病毒检出率， 而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，一次质的飞跃。在新病毒，新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生和应用更具有特殊的重要意义。
9 U- z: S" F3 T7 ^. Z1 H" P
五、主动防御技术的概念
% B+ L& f4 o3 b& {7 d主动防御技术这是目前炒得比较热的一个概念。从概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。 也就是有些人所说的：通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征，如修改注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其是否为病毒。
江民防病毒专家称，主动防御核心技术有“虚拟机技术”“病毒行为阻断技术”等。虚拟机技术用软件虚拟CPU环境，激活病毒，判断其是否是病毒并清除。
瑞星病毒专家称，“主动防御”一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发等等