已知病毒与未知病毒

jefffire

      自从傅盛提出了“没有杀毒软件能查杀未知病毒”后，关于未知病毒的讨论层出不穷。我们今天就来抽丝剥茧，从概念上理清思路。
     传统的未知病毒的定义其实很明确,把没有提取特征码的病毒，也就是未入库的病毒都称为未知病毒。这样凡是能查杀这些 集合之外病毒的手段，都叫做查杀未知。这类产品也很成熟，并取得了良好的效果，比如：ESET的动态启发，avira的静态启发，微点的行为分析。

     因此未知病毒其实是对某个厂商而言的。同一个样本，a厂商入库了，b厂商没入库，于是这个样本对a厂商来说就是已知病毒，对b厂商就是未知病毒。因此这个定义其实是相对而言的。

     实际上，除了一些争议较大的灰色样本外，木马病毒在某一时刻其实是固定的。只是有些不能被查杀和防御，有些能够被查杀和防御而已。因此，如果我们排除软件出错的情况，将凡是能够被厂商查杀的样本称为已知，不能查杀的定义为未知。从这个角度讲傅盛说的也不算错，但是这个定义和传统定义相差较大，有偷换概念的嫌疑。

     然后我们继续换个思路来看看，已知病毒与未知病毒。上面从是否入库，能否查杀来区别已知与未知。现在我们从技术的发展历程来看看，已知病毒与未知病毒。

     任何技术都不是无本之木，无源之水。无论是特征码技术，启发技术，还是主防技术，都是基于一定的基础逐渐演变进化而来的。比如特征码就是基于匹配算法的基础上，分析大量的样本之后，由人工或机器提取的。启发技术也是根据样本的一些特点（比如一些不寻常的API调用），针对发展而来的。

      其实对于病毒来说也一样，任何一个病毒的编写一定是基于先前的病毒编写思路而来的，可能有一定的创新，但绝不可能完完全全的凭空产生一个开天辟地的样本。

     因此从这个角度来说，从来没有什么未知样本的存在，从这个角度说所谓的未知样本迟早能够被查杀的。这也就是为什么有经验的病毒分析人员在良好的状态下几乎不会漏过任何一个样本。这就是人工分析样本的理论基础。

pizza

“从来没有什么未知样本的存在”这句话从来都是错误的，而“所谓的未知样本迟早能够被查杀的”这句话从来都是正确的，但是两句话不是充要的。人工分析与杀软检测就又不是一回事了。另外有个简单的逻辑问题，未知的时候是未知的，已知的时候是已知的，但是不是说一个未知的东西可以变成一个已知的东西就在其是未知的时候称之为已知的，同样的，一个已知的东西不能因为从前是未知的就称之为未知。
定义未入库特征码的病毒为未知病毒，可依靠启发&主防技术（对比已知规则）查杀病毒的被厂家宣称为未知病毒查杀技术，但这只是商业宣传，真正的未知病毒查杀是现在所不能达到的（未入库、无规则不能查杀），不过狭隘地称为未知病毒查杀也是可以的。所以未知查杀有些言过其实，称之为可疑查杀倒是比较好。若是人工介入，那么可以明确指出，人不是软件，因此人不是杀毒软件这句话就没有什么问题了。
无论什么技术或理念，只要能达到良好的效果，那么就是好的。

止战之殇

学习

七宝

cd...

其实真的不必要比来比去...
杀猪杀屁股，各有各的杀法...
我们要做的，或者是我们能做的，就是督促监督厂商不断拿出最好最方便的杀法出来

bbs2811125

能杀的就是已知不能杀的就未知很好理解
只不过谁能杀谁不能杀罢了

gxwct

支持

jefffire

七宝 发表于 2011-8-4 22:39
cd...

其实真的不必要比来比去...

没错，能抓老鼠就是好猫

andylau

其實這些都是已知的事

給小白一個解說也是不錯

FOXFFF

不错的帖子，jefffire再次给力了。。。。

堕落爱国者

防得住，杀得了，不卡机。行了，要求其实就是这么简单