解析虛擬機防毒技術

兩款最常見的虛擬機軟體VMWare和VirtualPC可以虛擬出完整的計算機系統，對於已經面世的64位Windows操作系統，也使用了WOW64作為平台，以兼容模式運行32位應用程式。2005年Intel和AMD都推出了具備虛擬化技術的CPU虛擬化可以幫您將一台物理伺服器變成多個“虛擬”系統或分區，以支持多個作業系統和套用在單個平台內部獨立運行。

防毒軟體廠商對虛擬機技術的研究也從沒停止過，“虛擬機防毒技術”即是在記憶體中虛擬一個程式運行環境，將被檢測程式在虛擬環境中執行，根據其行為或釋放出的已知病毒特徵碼，來判斷是否是病毒程式。日前被某防毒軟體大肆鼓吹的“虛擬機防毒技術”，其核心只是脫殼技術。

大家知道病毒程式加殼可以逃避防毒軟體檢測，而防毒軟體要能檢測到已經被加殼的程式，可以採取脫殼，或者增加新的病毒特徵碼來解決。金山毒霸就是採用這樣的代碼脫殼技術，目前金山毒霸引擎已經支持UPX、FSG、LZH、RAR、ASPack、ZIP、PETite、PEX、PECompact、WWWPack32、EXE32Pack、7zip等10多種加殼工具數10個不同版本的代碼脫殼防毒。

簡單說來，代碼脫殼是引擎自己分析加殼算法，防毒引擎完成脫殼。虛擬機脫殼相當於執行加殼代碼，然後暴露真實代碼。二者各有優劣，代碼脫殼因為分析了加殼工具的算法，處理速度更快，缺點在於，對新的加殼工具，需要重新分析算法。虛擬機執行殼代碼，不需要分析算法，但虛擬機環境會對系統資源要求更高，執行速度遜色於代碼脫殼。目前，防毒軟體廠商都看好虛擬機技術，但基於病毒特徵碼比對檢測的防毒技術仍是反病毒軟體採取的主流技術，虛擬機技術在相當長的時期內仍將是病毒檢測的輔助手段。