求解NOD32报毒分类

伯夷叔齐

看到《ESET NOD32先进查杀病毒技术逐一剖析》这篇文章，结合我通过病毒包里遇到的报毒名称分类，特提几个问题：



文章提到：

（1） 基因码检测技术
    直到现在，几乎所有的杀毒软件主要还是通过病毒数据库里的病毒特征数据，与被扫描的文件加以对照，从而把符合条件的真正的病毒区分出来。由于几乎每天都有新病毒或变种出现，各杀毒软件厂商也只有不断进行特征更新 (Signature UPDAte) 与扩充自己的病毒数据库，才能确保尽快把最新的病毒特征数据收录其中。
    这种处理方法看似简单有效，但网络世界里出现过的病毒高达7万多种，即使是仍活跃的病毒种类也达到数千种以上；若病毒数据库要一口气全部收录，数据库体积必然非常庞大，就是在扫描系统时进行逐个数据对照，过程也极为费时。因此，像ESET NOD32 等先进的杀毒软件，已逐渐改变这种特征检测 (Signature-based Detection) 的查毒方式，进而采用较新型的基因码 (Generic Signature) 检测技术。采用基因码技术后，病毒特征和病毒库的大小都得到了简化。
病毒特征化繁为简
    所谓基因码，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，后经由其它病毒作者修改或自行演化，最后变成数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种制作一份独立的特征数据；而较新的基因码检测技术，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此找出同一类型病毒的普遍特征。
    缩小病毒数据库的体积
    这样，在进行系统扫描时，由于采用较少的特征数据就能检测庞大的病毒种类，因此进行特征对照时便能大大缩短时间。同时，对于由同一种源头变化出来的新变种，只要吻合该族群的普遍特征条件，即使未更新病毒数据库亦很有可能成功进行识别。因此，ESET NOD32 更新病毒数据库所用的时间极短，每次更新不过下载 20KB 至 50KB 不等，绝不会加重网络与硬盘的负担。

（2）虚拟机技术
    针对变形病毒、未知病毒等复杂的病毒情况，极少数防病毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。

（3）代码分析技术
    为了对付病毒的不断变化和对未知病毒的研究，代码分析扫描方式出现了。代码分析扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如读写敏感文件，自我删除、自我复制，获取操作系统底层权限等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。

一、通过NOD32报毒，病毒包里的报毒种类如下：

（1）×××病毒（木马/蠕虫/应用程序）

（2）×××病毒（木马/蠕虫/应用程序）的变种

（3）可能是×××病毒（木马/蠕虫/应用程序）的变种

（4）未查明的NewHeur_PE病毒

（5）多个威胁



二、我要请教和求解的是：

1、他们分别是由上面用什么机制什么技术检测出来的；

2、是否很多是上述技术的复合机制综合分析检测出来；

3、我列出的几大类还遗漏了多少、哪些，能否回帖补充一下。

“多个威胁”是具体什么内容，什么是“未查明的NewHeur_PE病毒”？请高手解惑，同时也请各位指正和补充。

谢谢大家。

注明：验证测试不准确，所以删除验证部分内容！

gsl9583306

楼主好刻苦，很有钻研精神
至于深层次的技术问题，谁都说不清楚，除非官人解答
ps：楼主总结的已经很全了

以逝

等待高手

jayavira

回复 伯夷叔齐 的帖子

1.只要是压缩包里有2个以上的病毒了，nod32就会显示“多个威胁”
2. “未查明的NewHeur_PE病毒”我昨天和蝉版就是在讨论这个了
“未查明的NewHeur_PE病毒”是高启发检测
而可能是×××病毒（木马/蠕虫/应用程序）的变种是属于启发检测的
   

lbb9432

深奥

chabosh

不知道高级启发和启发的区别

伯夷叔齐

回复

1.只要是压缩包里有2个以上的病毒了，nod32就会显示“多个威胁”
2. “未查明的NewHeur_PE病毒” ...
jayavira 发表于 2010-6-16 08:52

谢谢回答，但有点不理解的是，“未查明的NewHeur_PE病毒”从“启发”也可以查出来。

波导的勇者

我觉得 高启发是一个 加强反编译模块 本生没有检测功能 只是为了更好的 模拟文件行为

jayavira

回复 伯夷叔齐 的帖子

是吗？
关闭高启发还是有“未查明的NewHeur_PE病毒”吗？
   

伯夷叔齐

回复

是吗？
关闭高启发还是有“未查明的NewHeur_PE病毒”吗？
jayavira 发表于 2010.6.17 07:01

1、如果采用“手动扫描计算机”扫描，那么就在“手动扫描计算机”右边的“treatsense引擎设置参数”里设置，是吗？
2、在1的基础上，选择为“右键菜单扫描”。
如果上述设置正确的话，我想应该是“启发”里报的。
干脆我再测试一下。