关于启发扫描的反病毒技术(1).pdfVIP

关于启发扫描的反病毒技术 有个译者翻译了一篇文章，经过周转今天我索要到了文件。正好是关于 启发扫描的。关于“废话”我前面的文章说了不少，这里就不重复了。我把 一些有价值的具体部分筛选了一下，其余的删掉了一小部分。我们前面看了 虚拟机，其作用是让病毒受控地虚拟运行。而所谓“启发扫描”就是在病毒 运行 /动态分析基础上进行判定的具体方案。 启发式代码扫描技术 ───────── 病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个速 应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕 显示等，而病毒程序则从来有会这样做，它通常最初的指令是直接写盘操作、 解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的 不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式 代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体 程序体现。 因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方 法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件， 实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列 的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序 列开始：MOV AH ,5/INT,13h ，即调用格式化盘操作的BIOS 指令功能， 那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取 得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作 指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。 可疑的程序功能 ─────── 在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件 要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜 索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公 开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的 等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。 随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序 中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的 加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是 应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定 义的阀值，那么，病毒检测程序就可以声称“发现病毒！”仅仅一项可疑的 功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的 谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现 病毒的报警标准。 启发式扫描通常应设立的标志 ───────────── 为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在 情况，病毒检测程序可以显示为不同的可疑功能调用设置标志。 例如，TbScan 这一病毒检测软件就为每一项它定义的可疑病毒功能调 用赋予一个旗标，如F,R,A ……，这样以来可以直观地帮助我们对被检测程 序进行是否染毒的主观判断。 各标志的含义 ────── F ＝ 具有可疑的文件操作或能。有可疑进行感染的操作。 R ＝ 重定项功能。程序将以可疑的方式进行重定向操作。 A ＝ 可疑的内存分配操作。程序使用可疑的方式进行内存申请和分配操作。 N ＝ 错误的文件扩展名。扩展名预期程序结构与当前程序相矛盾。 S＝ 包含搜索定位可执行程序（如EXE 或COM ）的例程。 # ＝ 发现解码指令例程。这在病毒和加密程序中都是经常会出现的。 E ＝ 灵活无常的程序入口。程序被蓄意设计成可编入宿主程序的任何部分， 病毒极频繁使用的技术。 L ＝ 程序截获其它软件的加载和装入。有可能是病毒为了感染被加载程序。 D ＝ 直接写盘动作。程序不通过常规的DOS 功能调用而进行直接写盘动作。 M ＝ 内存驻留程序。该程序被设计成具有驻留内存的能力。 I ＝ 无效操作指令。非8088 指令等。 T ＝ 不合逻辑的错误的时间标贴。有的病毒借此进行感染标记。 J ＝ 可疑的跳转结构。使用了连续的或间接跳转指令。这种情况在正常程序 中少见但在病毒中却很平常。 ? ＝ 不相配的EXE 文件。可能是病毒，也可能是程序设计失误导致。 G ＝ 废操作指令。包含无实际用处，仅仅用来实现加密变换或逃避扫描检查 的代码序列。 U ＝ 未公开的中断/DOS 功能调用。也许是程序被故意设计成具有某种隐蔽 性，也有可能是病毒使用一种非常规手法检测