多態型病毒是指採用特殊加密技術編寫的病毒,這種病毒在每感染一個對象時,採用隨機方法對病毒主體進行加密。多形型病毒主要是針對查毒軟體而設計的,所以隨著這類病毒的增多,使得查毒軟體的編寫變得更困難,並還會帶來許多的誤報。
基本介紹
- 中文名:多態性病毒技術
- 別名:多形型病毒
概述,特徵,
概述
“千面人”是難於識別的。假如一個人有1000張面相,人們無法確認他是誰。多態性病毒就是病毒世界的“千面人”。
多形型病毒是指採用特殊加密技術編寫的病毒,這種病毒在每感染一個對象時,採用隨機方法對病毒主體進行加密。多形型病毒主要是針對查毒軟體而設計的,所以隨著這類病毒的增多,使得查毒軟體的編寫變得更困難,並還會帶來許多的誤報。國際上造成全球範圍傳播和破壞的第一例多態型病毒是TEQUTLA病毒,從該病毒的出現到編制出能夠完全查出該病毒的軟體,研究人員花費了九個月的時間。
特徵
採用多形性病毒技術的計算機病毒叫做多形性病毒,又稱多態性病毒,這種病毒在每次感染時,放入宿主程式的代碼互不相同,不斷變化。同一種病毒的多個樣本種,病毒代碼不同,幾乎沒有穩定代碼。所有採用特徵法的檢測工具都不能識別它們。
誠然,多態性病毒的出現確實給傳統的特徵代碼檢測法帶來巨大衝擊,甚至有人認為在靜態的方式下檢測這種病毒是不可能的。但是世界上從來就不存在十全十美的事物,同樣,多態性病毒也存在一些不可彌補的缺陷。
因此,反病毒技術不能再停留在等待被病毒感染,然後用查病毒軟體掃描病毒,最後再殺病毒這樣被動的狀態,而應該用主動防禦的方法,用病毒行為跟蹤的方法,在病毒要進行傳染,要進行破壞的時候發出警報並及時阻擊病毒的任何有害操作。這就是針對病毒行為的預警系統的工作原理,英語上稱之為Activity Trap技術。
摘自陳立新《計算機病毒防治百事通》 清華大學出版社
