“千面人”是难于识别的。假如一个人有1000张面相,人们无法确认他是谁。多态性病毒就是病毒世界的“千面人”。
多形型病毒是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时,采用随机方法对病毒主体进行加密。多形型病毒主要是针对查毒软件而设计的,所以随着这类病毒的增多,使得查毒软件的编写变得更困难,并还会带来许多的误报。国际上造成全球范围传播和破坏的第一例多态型病毒是TEQUTLA病毒,从该病毒的出现到编制出能够完全查出该病毒的软件,研究人员花费了九个月的时间。
采用多形性病毒技术的计算机病毒叫做多形性病毒,又称多态性病毒,这种病毒在每次感染时,放入宿主程序的代码互不相同,不断变化。同一种病毒的多个样本种,病毒代码不同,几乎没有稳定代码。所有采用特征法的检测工具都不能识别它们。
诚然,多态性病毒的出现确实给传统的特征代码检测法带来巨大冲击,甚至有人认为在静态的方式下检测这种病毒是不可能的。但是世界上从来就不存在十全十美的事物,同样,多态性病毒也存在一些不可弥补的缺陷。
因此,反病毒技术不能再停留在等待被病毒感染,然后用查病毒软件扫描病毒,最后再杀病毒这样被动的状态,而应该用主动防御的方法,用病毒行为跟踪的方法,在病毒要进行传染,要进行破坏的时候发出警报并及时阻击病毒的任何有害操作。这就是针对病毒行为的预警系统的工作原理,英语上称之为Activity Trap技术。
摘自陈立新《计算机病毒防治百事通》 清华大学出版社