虚拟机技术并不是新生事物,杀毒软件提供的启发式查毒技术,其本质就是虚拟机技术。两款最常见的虚拟机软件VMWare和VirtualPC可以虚拟出完整的计算机系统,对于已经面世的64位Windows操作系统,也使用了WOW64作为平台,以兼容模式运行32位应用程序。2005年Intel和AMD都推出了具备虚拟化技术的CPU
虚拟化可以帮您将一台物理服务器变成多个“虚拟”系统或分区,以支持多个操作系统和应用在单个平台内部独立运行。
杀毒软件厂商对虚拟机技术的研究也从没停止过,“虚拟机杀毒技术”即是在内存中虚拟一个程序运行环境,将被检测程序在虚拟环境中执行,根据其行为或释放出的已知病毒特征码,来判断是否是病毒程序。日前被某杀毒软件大肆鼓吹的“虚拟机杀毒技术”,其核心只是脱壳技术。
大家知道病毒程序加壳可以逃避杀毒软件检测,而杀毒软件要能检测到已经被加壳的程序,可以采取脱壳,或者增加新的病毒特征码来解决。金山毒霸就是采用这样的代码脱壳技术,目前金山毒霸引擎已经支持UPX、FSG、LZH、RAR、ASPack、ZIP、PETite、PEX、PECompact、WWWPack32、EXE32Pack、7zip等10多种加壳工具数10个不同版本的代码脱壳杀毒。
杀毒软件厂商对虚拟机技术的研究也从没停止过,“虚拟机杀毒技术”即是在内存中虚拟一个程序运行环境,将被检测程序在虚拟环境中执行,根据其行为或释放出的已知病毒特征码,来判断是否是病毒程序。日前被某杀毒软件大肆鼓吹的“虚拟机杀毒技术”,其核心只是脱壳技术。
大家知道病毒程序加壳可以逃避杀毒软件检测,而杀毒软件要能检测到已经被加壳的程序,可以采取脱壳,或者增加新的病毒特征码来解决。金山毒霸就是采用这样的代码脱壳技术,目前金山毒霸引擎已经支持UPX、FSG、LZH、RAR、ASPack、ZIP、PETite、PEX、PECompact、WWWPack32、EXE32Pack、7zip等10多种加壳工具数10个不同版本的代码脱壳杀毒。
简单说来,代码脱壳是引擎自己分析加壳算法,杀毒引擎完成脱壳。虚拟机脱壳相当于执行加壳代码,然后暴露真实代码。二者各有优劣,代码脱壳因为分析了加壳工具的算法,处理速度更快,缺点在于,对新的加壳工具,需要重新分析算法。虚拟机执行壳代码,不需要分析算法,但虚拟机环境会对系统资源要求更高,执行速度逊色于代码脱壳。
目前,杀毒软件厂商都看好虚拟机技术,但基于病毒特征码比对检测的杀毒技术仍是反病毒软件采取的主流技术,虚拟机技术在相当长的时期内仍将是病毒检测的辅助手段。
参考文档:
目前只做补充和辅助 专家透析虚拟机杀毒技术
目前只做补充和辅助 专家透析虚拟机杀毒技术
1625
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
