360具有自学习病毒的功能

 

360还真是厉害，今天发现360对未知病毒具有学习功能。我借鉴一个程序的处理方式，居然被杀软认为是病毒。

早期的杀软查杀病毒主要采用的是特征码定位。主要代表就是瑞星。通过对文件、内错的扫描和病毒库中的病毒特征码进行比较判断来判断是否是病毒。当然这种方法缺陷也是很明显的，只要病毒制作者简单的修改一下病毒特征码、加一些花指令就可以逃脱追杀。 应该说这个时期的杀软是比较低级的，主要的资本就是病毒库，谁拥有了更多的病毒库样本谁的查杀效果就好。后来又发展成了符合特征码定位（是不是瑞星所谓的广谱查杀），这种技术有了一定的自适应的有点，但起本质还是没有变。

现在的防病毒技术已经大大的进步了。下面就来笑谈一下（笑谈嘛，有错误也不要当真）。   针对特征码查杀病毒，病毒制造者只需要对特征码部分进行重写或者加花就可以欺骗过去。这里就出现了一个令人思考的问题，假设我们抓获过杀人犯张三，该犯刑满释放后过了时日后又开始作乱，这个时候，张三可能较之前留了长发和胡须，身材也发了福，也许还穿了个马甲带了个墨镜，但是大体样子还是没有变的，我们再次见到该人后还是能够辨认出来的，但是计算机的特征码定位的技术方式却无法辨认出来了。从根本上来说，就是计算机这种特征码定位方式柔韧性、robus性不行。那麽能不能利用现代技术的模糊数学、模式识别这类技术进行改进了。现在有一些杀软已经应用了这种技术，首先可以对病毒样本进行一些特征提取，比如说输入表中使用了哪些函数，各种段的分布情况，二进制代码的统计规律等等这些特征。对这些特征进行计算统计，这样一旦被杀软列入病毒库的程序，病毒制造者想通过稍许修改程序就重新出炉的情况就可以极大的遏制。病毒制造者不得不对病毒程序重新构建。我们知道病毒程序的构架是很麻烦的一件事情，具体怎么个麻烦法制造过病毒的人自然会明白。     当然针对这种技术也有办法克服，变形引擎就是对付这种技术的一种强悍技术。变形引擎对每次繁衍的病毒、木马都进行变形处理。最好呢，能使用那种能引起雪崩效应的引擎算法（就是说就是变形种子做一点点改动，变形后的程序就面目全非了）,比如说以被感染程序的路径，被感染机器的时间等等这些做为种子来变形。这样统计特性就完全失效。呵呵

还有行为判断法，这类杀软对操作系统的特定函数和敏感位置惊醒了监控。比如监控注册表的启动项目，监控系统文件(system32/目录下的dll)的修改，监控驱动程序的加载等等。这类好像称为主动防御。这种方法还是比较有效的，但是要想精确判断哪些操作是危险操作确实又很难。很多病毒都会伪装成正常的程序，比如说伪装成word程序来修改.doc文档，这个时候如何判断是不是危险操作呢？何况世上程序千千万万，如何一一判定哪些合法哪些不合法呢?

 

本文出自 “坐坐吧” 博客，谢绝转载！