关于虚拟技术和启发查毒,不要将它们混了,为什么加壳会产生误报

foe

大家好像认为虚拟脱壳技术和启发杀毒是一样的,在我感觉应该是引擎下的两种技术,
仅提出观点,不带有任何攻击
首先看什么是加壳？

所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

如何判断一个可执行文件是否被加了壳呢？有一个简单的方法（对中文软件效果较明显）。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。
加壳”病毒已经成为传统杀毒软件无法克服的难题,为什么黑客能够利用加壳技术来对抗反病毒软件呢？众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。

脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力.根据2006年1月到10月截获的病毒样本统计，约有90％以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马，加壳率几乎达到100％。

有加壳也一定会有解壳（也叫脱壳）。目前，脱壳主要有两种方法：硬脱壳和动态脱壳。

　　第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

　　第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取（Dump）内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。
   
虚拟机脱壳引擎（VUE）技术 VUE—Virtual machine Unpack Engine

对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且，“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。

启发杀毒技术:
其实就是分析对象文件与病毒特征库中的病毒原码进行比较，当二者匹配率大于某一值时(通常这一值较小，所以容易误报)，杀毒软件就会将其列为可疑文件以进行下一步的除理。这就是所谓启发式杀毒。

    启发现在的水平：其实就是分析对象文件与病毒特征库中的病毒原码进行比较，当二者匹配率大于某一值时(通常这一值较小，所以容易误报)，杀毒软件就会将其列为可疑文件以进行下一步的除理。这就是所谓启发式杀毒。
所以要充分重视这样的技术，这是将来杀毒软件将来努力的一个方向。
    将来要达到的水平：在杀毒软件中建立这样的虚拟机技术好像要更好一些，就是在杀毒软件里面模仿一个病毒在文件存在的环境，然后把其扫描到的样本在这个环境里运行并监视其行为，如果真的存在破坏性，如自我大批量复制.感染文件等.就将其判断为病毒！否则就将其看做正常文件，可现在的技术远远达不到这个水平。现在这个技术被用于对付病毒壳即虚拟脱壳技术.其实这种技术应该是和启发连动工作.
    所以在测试中，很多家杀毒软件出现了一些问题，其关键的问题就是，在它们的启发技术没有成熟的现在，很多杀毒软件不负责的将一些经常做病毒的壳所变异的文件直接列入启发杀毒的的所谓“病毒库”。来弥补虚拟脱壳技术的不足.

起点

写的真不错

mds

看了半天,有点启发

pine

全部看完，学习了！

dragoonwing

从来没有把脱壳技术和启发技术混为一谈，不过lz写的够多，也很清楚，支持下：）

luyuns

有点懂了

bidianyang

原来如此啊。。长见识了

Oceanzd

老贴了，我以前就看过了，楼上的都以为是楼主写的

pourkidman

重要是大家学到东西了，强烈支持哈

zxc789

学到东西～～似乎见过一些～