再论“计算机病毒的不可判定性”

nkspark

但所有程序(不是说一台计算机,而是所有计算机)都被病毒感染的可能性是不存在的. 当我们假设计算机病毒存在智能,具有生物特性的时候, 那么计算机病毒的进化就自然而然要受到生物进化法则的制约. 而且计算机病毒的进化与真正的生物进化有本质的区别, 就是计算机病毒的进化在现阶段人工智能水平下, 无法脱离人的帮助而自动进行.

nkspark

另外, Fred Cohen在论述“计算机病毒的不可判定性”时，还存在一个隐含的假设，那就是计算机病毒处在运行态。嗯，计算机病毒是活的。所以我们才面对一个对抗的局面。但实际上，计算机病毒在计算机、网络中，大部分时间是以数据的形式存在，形象地说，是死的，休眠态。也就是说，在感染、传播的过程中，也正是病毒最脆弱的时候。

nkspark

所以，现在我们已经可以很确定的说，Fred Cohen给出的“计算机病毒是不可判定的”的结论，适用范围是非常有限的。不能作为反病毒业界在应对用户质疑要求改进反病毒技术时的推托借口。

huangxin009

关于市场决定病毒概念这一段，我表示赞同，这就是我们常说的国内外杀软查杀率不同的原因所在

nkspark

到此本首席的《再论“计算机病毒的不可判定性”》已经接近尾声，本首席最初是打算全盘否定Fred Cohen的这个结论的，但深入分析后，也同意在特定条件下，这一结论是成立的。但通过上面的论述，可以看到，这个结论不是普适的，要求的假设和前提条件与实际情况重合度有限。

nkspark

下面我们总结一下本文：
1、 Fred Cohen的“计算机病毒的不可判定性”是针对处在运行态的计算机病毒，指出仅仅凭借对计算机病毒的运行结果和行为来判断其是否是计算机病毒，是不可判定的；
2、对于以数据形态存在的计算机病毒，是否是可判定的，Fred Cohen没有给出结论，本首席也没看到任何人给出过结论。
3、本首席认为，以数据形态存在的计算机病毒是可判定的，本文没有给出证明，就以猜想的形式存在吧。

nkspark

在大家关注Fred Cohen的“计算机病毒的不可判定性”的时候，往往都忽略了Fred Cohen同时说的另一段话，那就是“对于现实世界而言，没有哪个现存的病毒是不能被识别的，也没有哪个杀毒软件是不能被绕过的。杀软和病毒之间的对抗会一直存在下去。”

这段话其实本身也是对“计算机病毒的不可判定性”在某种意义上的一个否定吧。只是防病毒厂商在为自己不能实现100%查杀率进行辩护时，刻意忽略了“没有哪个现存的病毒是不能被识别的”这句话，仅仅强调“计算机病毒的不可判定性”。

nkspark

本首席的《再论“计算机病毒的不可判定性”》对现实反病毒技术的指导意义：
1、在发展新技术时要尽量绕开Fred Cohen的“计算机病毒的不可判定性”成立的前提。也就是说，当你的技术是在计算机病毒活着（运行态）的前提下来判断一个程序是不是计算机病毒的时候，你已经败了。即使是让病毒部分运行、在可控环境下运行（VM、沙箱、主防等等），你也无法保证判断的准确性。
2、如果一定要采用让程序运行再判断的技术方式，那么对杀软的自身防护就成为查杀的关键。Fred Cohen的“计算机病毒的不可判定性”成立的条件之一是病毒对杀软（D(X)）判断逻辑的调用。如果杀软的自身防护做的足够好，那么可以在某种程度上破坏这个成立条件。
3、静态分析因为不涉及到Fred Cohen的“计算机病毒的不可判定性”成立的前提，所以应该是防病毒厂商依赖的主要病毒识别技术，尽管此路也是困难重重。

nkspark

本次讲座到此结束，谢谢收看。

ablhr

回复 79楼 nkspark 的帖子

(4) 批阅式灌水
满足以下情节之一者, 即会被认定为批阅式灌水行为:
● 诸如 "顶", "ddd", "好", "水一水", "...", "ssgjk", "路过", "沙发", 以及某些用来进行敷衍式回复的文章, 字符图形阵列等
● 无法被大众思维所理解的内容
● 与上下文没有任何联系的内容
● 仅存在表情图像的内容
● 仅存在引用的内容, 无自己的观点
● 完全复制他人回复内容回帖
● 连续 3 楼均为同一 ID 的回复, 且该回复并无必要分帖发布
注意下最后一条吧