虚拟机杀毒技术是通过在内存中虚拟一个程序运行环境,将被检测程序放在这个虚拟环境中执行,根据其行为或释放出的已知病毒特征码,来判断是否是病毒程序。
大家知道病毒程序加壳可以逃避杀毒软件检测,而杀毒软件要能检测到已经被加壳的程序,可以采取脱壳,或者增加新的病毒特征码来解决。目前,杀毒软件引擎可以支持UPX、FSG、LZH、RAR、ASPack、ZIP、PETite、PEX、PECompact、WWWPack32、EXE32Pack、7zip等10多种加壳工具数10个不同版本的代码脱壳杀毒。
简单说来,代码脱壳是引擎自己分析加壳算法,杀毒引擎完成脱壳。虚拟机杀毒技术相当于直接执行加壳后的代码,然后通过分析代码的行为,分析出真实代码。二者各有优劣,代码脱壳因为分析了加壳工具的算法,处理速度更快,缺点在于,对新的加壳工具,需要重新分析算法。虚拟机执行加壳后的代码,不需要分析算法,但虚拟机环境会对系统资源要求更高,执行速度逊色于代码脱壳。
什么是虚拟机杀毒技术?
于 2023-01-28 21:38:14 首次发布