病毒安全防范：杀毒软件有关的词汇解析

杀毒引擎与病毒库

实际上杀毒引擎与病毒库并没有直接的关系，杀毒引擎是对指定文件或程序进行判断，以确定其是否合法，而病毒库做为杀毒引擎的补充，用以完成杀毒引擎不能完成的判断。

杀毒软件-词汇介绍

使用病毒库杀毒的过程，就是杀毒引擎将判断能力交给病毒库的过程，但病毒库每次判断就需遍历病毒库一次。所以，好的杀毒软件首先在于引擎的能力，而强大的病毒库，同时也会减慢杀毒速度。

加壳、脱壳

1.加壳：

所谓加壳，就是通过一系列的数学运算，将可执行程序文件或动态链接库文件的编码进行改变，目前还有一些加壳软件可以压缩、加密驱动程序，以达到缩小文件体积或加密程序编码的目的。

当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压，并把控制权交还给脱壳后的那个程序。一切操作将会自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的，所以您根本无法察觉。

目前的杀毒软件主要依靠特征码技术来查杀病毒，而加壳软件对源文件进行过压缩、变形后，使加密前后的特征码完全不同，导致脱壳能力差的杀毒软件无法完成对新病毒的查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒进行通杀，不仅减小杀毒软件对系统资源的占用，同时也大大提升了查杀病毒的能力。

2. 脱壳

有加壳也必有解壳（也叫脱壳）。脱壳主要有两种方法：硬脱壳和动态脱壳。

所谓硬脱壳，就是指依据加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于目前很多“壳”均带有加密、变形等特点，导致每次加壳生成的代码都不一样。硬脱壳对此也往往无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

所谓动态脱壳，就是利用加壳程序运行时必须还原成原始形态的特性，让加壳程序自行脱壳。目前，有一种脱壳方式是抓取（Dump）内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对加密、变形的壳处理效果更好。

虚拟机脱壳引擎技术（VUE）

众所周知，只要病毒开始运行，计算机就会被感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”，并且将虚拟环境和用户计算机进行隔离，病毒在虚拟机中的任何操作都不会对用户计算机产生影响。

“虚拟机脱壳”已经成为近年来全球安全界公认的最有效脱壳技术。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难，所以真正使用的安全厂商并不多。

启发式杀毒

病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序的最初指令是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则不会这样做，它最初的指令是直接写盘操作、解码指令或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可获知，启发式代码扫描技术就是把这种经验和知识移植到一个查杀病毒软件中。

启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。

启发式杀毒代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不需升级（较省需要升级或不依赖于升级）的病毒检测技术和产品的可能性。由于它具有诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术已能达到80%以上的病毒检出率，而其误报率极易控制在 0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术来说，是不可想象的。在新病毒、新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生和应用更具有特殊的重要意义。

主动防御技术

主动防御技术这是目前炒得比较热的一个概念。从概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。

也就是有些人所说的：通过病毒的行为特征来判别其是否病毒并进行处理，如修改注册表、自我复制和不断连接网络等。