终于明白了金山的数据流查杀……

金剑

http://news.duba.net/virnews/2006/12/19/100267.shtml

亮点一 脱壳查杀技术
　　2006年，被截获的计算机病毒数量激增，据金山反病毒中心提供的数据，今年一个季度截获的病毒数量，大致相当于去年一年截获的数量。其中大量病毒是被传播者利用加壳打包工具处理过的，其目的是逃避杀毒软件的追杀。
　　杀毒软件处理加壳病毒，通常采取两种方法：一是对加过壳的病毒按新病毒处理，在病毒库中新增一个变种的特征。二是杀毒引擎提供脱壳算法，分析病毒加壳的类型，杀毒引擎完成解壳杀毒过程，也称静态脱壳。两者各有利弊，加新特征就需要获取新样本，没有样本之前，杀毒软件就可能无法检测到加壳病毒。静态脱壳检测速度快，资源占用少，是业界通行的作法。但开发周期较长，一种脱壳算法，只支持一种或一类相关加壳软件处理的病毒。如果病毒使用新壳，静态脱壳就需要时间来分析新的算法。杀毒厂商通常二者兼用，相互取长补短。
　　有别于虚拟机脱壳技术，金山采用数据流脱壳。虚拟机脱壳，是在正常的系统内存中开辟一个虚拟环境，在虚拟环境运行病毒程序本身的脱壳代码。这种方法的好处是减少了静态脱壳的开发周期，但缺点也是显而易见的，就是需要消耗更多的系统资源，特别是在一个病毒经过多层加壳，或者多种加壳软件嵌套加壳之后，虚拟机消耗的系统资源急剧上升，系统性能也会明显变差。
　　金山采用的数据流则更大胆，直接分析病毒运行过程中生成的数据流特征。在病毒程序运行时，首先会自行脱壳，从而暴露出程序原始特征，在病毒原始代码现身后，杀毒引擎会及时做出响应，将病毒程序清除，这种方式避免了虚拟机需要的资源开销，内存耗损。此外，数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如，病毒A是一个加壳病毒，脱壳后生成病毒B，那么只要能够清除病毒B，就可以清除与A具有相同特征的加壳病毒C，而无论C脱壳后生成的是病毒D还是F。对于静态病毒文件，由于不产生数据流，对系统不具有破坏威胁，采用数据流杀毒技术将不会被检测到。
　　测试中使用了广为流行的灰鸽子样本，经过加壳处理，在打开样本程序时，金山毒霸数据流引擎立即检测到病毒，并完成病毒清除。如下图示例。

原来数据流就是这么回事哈……佩服了

walkingmu

金山的东西我一向不太恭维
听说金山也有虚拟脱壳，可是连VUK都没有不知道怎么它脱的
至于数据流杀毒。。。如果我的盘是FAT32的呢。。。那不是没有用了。。。

anyeye

分区格式和数据流查毒有什么关系吗！

yzt1004

原帖由 anyeye 于 2007-4-21 11:12 发表
分区格式和数据流查毒有什么关系吗！

FAT32分区没有数据流
就这么简单

zzh161

最近金山在樣本祛的表現不錯的

kkbxm

我的系统也是FAT32，看来与数据流无缘了

anyeye

此数据流非彼数据流，去看金山的论坛就知道了

wk1984

高！
实在是高啊
哈哈