今天我读了一篇技术论文,发现有些病毒有奇怪的特点,它们是可变的(它们的 MD5 会不时自动更改)。这种病毒被称为寡形病毒。这让我想知道反病毒软件是否以及如何检测这种恶意软件,以及我如何防止我的系统受到这种感染。有人有过这种病毒的经验吗?
答案1
可以检测到寡态和多态软件(如果我没记错的话,寡态是一种多态)启发式地通过使用行为分析。本质上,你可以通过查看某个软件是什么而不是它做了什么来确定它是否是恶意软件。你可能已经看到防火墙提示你是否允许某个程序连接到互联网,这是软件简单行为控制的一个例子。大多数防病毒程序都有一个启发式引擎,它会观察你电脑上的软件并寻找执行可疑、类似病毒操作的程序,例如:
- 尝试读取或写入分配给其他程序的内存
- 尝试读取或写入属于其他程序的文件
- 打开虚假网络连接,尤其是使用僵尸网络常用于 C&C 的 IRC 等协议,或僵尸网络常用于发送垃圾邮件的 SMTP
- 采取行动隐藏自身(频繁重命名进程和文件、禁用任务管理器、以与其他已知程序相同的名称运行)
然而,启发式检测并不完美,因为它本质上涉及有根据的猜测(这是计算机不擅长的)。因此,在漏检病毒和频繁打扰用户(高误报率)之间始终存在着平衡。好的防病毒程序将允许您调整启发式引擎的灵敏度。
答案2
你的意思是多态的?
利用启发式方法或“基于行为”的反病毒程序可以解决这些问题。