安全的动力　窥探杀毒软件引擎相关技术

4.月光宝盒——病毒查杀和系统环境恢复

当杀毒引擎检测到病毒时，需要分为两种情况对待，首先是尚未来得及进行感染或破坏行为的病毒，在这种情况下杀毒引擎只需要简单删除文件就可以了，但是日常操作中用户面临最多的还是已经被病毒实施感染破坏行为后的系统环境，在这种情况下，杀毒引擎必须在使用适当的方式查杀病毒后，根据病毒特征库中记录的病毒行为来智能判断当前系统环境遭受破坏的情况并进行恢复，例如对于受病毒感染的文件，杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除，这个过程必须非常谨慎，否则直接的后果就是导致原文件被破坏，这样的杀毒就毫无意义了。而对于非文件型的木马和恶意程序，由于它们会通过各种方式篡改系统注册表甚至系统文件来达到加载自身之目的，杀毒引擎在清除了这些病毒后能否准确有效的恢复受破坏的系统环境，就是对杀毒引擎的最大挑战。病毒隐藏技术已经从最初的简单加载单一启动项，演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式，甚至采用多项结合的方法，使得查杀工作变得十分困难，甚至只要遗漏了一个文件未能清除，病毒便能卷土重来，因此，如何有效准确的判断和修复受损环境，也是衡量杀毒引擎技术是否成熟的关键。

以上说的是杀毒引擎完整工作过程的原理，那么，它所采取的技术有哪些呢？目前，主流的技术有两种：虚拟机技术、实时监控技术。除此之外，还有两种最新的技术仍在试验阶段，分别是智能码标识技术和行为拦截技术。

1.虚拟机技术

一提起虚拟机，部分读者可能就会联想到VMWare去了，然而这里提到的虚拟机并非如此。在反病毒界里，虚拟机也被称为通用解密器，已经成为反病毒软件中最重要的部分之一。杀毒引擎的虚拟机技术并非是为病毒提供一套计算机仿真系统，让其在内部折腾直到暴露出病毒行为特征，在这里的虚拟机是指杀毒引擎模拟出一个仿真CPU，这个“CPU”具备和真正CPU等同的指令分析功能，杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行，直到出现特定情况才结束工作，在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”，它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果，最初虚拟机技术是为了对付变形病毒而产生的，因为变形病毒会将自身代码以一定的方式进行多次变换，这样传统静态特征码扫描技术就对其无能为力，因为它根本无法确认特征码，但是即使再强悍的变形病毒也不可避免在运行时出现一段相对固定的机器码，否则它自身也无法正常运行完成变形过程，而由于这段机器码只有在运行时才能被捕获到，因此工程师开发了“虚拟机技术”诱使病毒在杀毒引擎产生的“CPU”里尽情运行，而后根据其固定机器码匹配病毒特征数据库中的静态特征来判断这个程序是否病毒。虽然这个技术可能会导致误报，但是仍不能否认其是一种有效的方法。

2.实时监控技术

实时监控技术，说白了其实就是一个文件监视器，它会在文件打开、关闭、修改等操作时将其拦截并送入查毒模块进行分析，而在如今的操作系统中要实现对所有文件操作的拦截并非易事，这需要涉及系统核心，因此，这里所采取的方案原型，就是“软件驱动”。通过驱动进入核心，便能获知每个文件的操作情况并做出反应了。这项技术的难度在于驱动代码的编写，由于内核没有异常处理过程，在这里执行的代码稍有一点错漏都能直接导致系统崩溃，且驱动与用户层的实时交互也需要一套复杂的实现方案，因此只有一定实力的厂家才实现这项技术，且实现了这项技术的厂家大部分都会连同虚拟机技术、静态特征码扫描技术一起结合起来，最终形成自己的产品。

内容导航

• 第1页：安全的动力　窥探杀毒软件引擎相关技术
• 第2页：安全的动力　窥探杀毒软件引擎相关技术(2)
• 第3页：安全的动力　窥探杀毒软件引擎相关技术(3)