计算机变形病毒发展剖析及解决策略

【 摘 要 】 计算机变形病毒的发展伴随着病毒的发展史，从上世纪90年代至今，变形病毒发展经历了加密病毒、单变形、准变形、完全变形病毒，一直到现在的网络变形病毒阶段。与变形病毒紧密相关的技术也在不断创新和发展，如解密技术、网络技术、各种数学算法等，它们的发展也加速了变形病毒的无穷更新变种。同时，这对反病毒技术的变革和更新换代不断地提出新挑战。文章中对变形病毒的解决策略就是以网络蠕虫的变形为分析例子。

【 关键词 】 变形病毒；蠕虫；解密器；变形机；动态虚拟机

Computer Deformation Virus Development Analysis and Resolution Strategy

Lai Rui-lin

（Guangdong University of Finacce GuangdongGuangzhou 510521）

【 Abstract 】 Polymorphic Virus plays an important role in computing virus history. Form 1990s by now, polymorphic virus passes by the following stages: single encrypted virus, encrypted virus with variable keys, polymorphic virus, full metamorphic virus and networking metamorphic virus. Following by polymorphic virus, some key technologic is developing rapidly such as decryption, networking, mathematic algorithm etc. So the developing polymorphic virus brings more and more big trouble and challenge to the anti-virus skills. In the paper, a trouble shooting strategic of the latest worm polymorphic virus will be analyzed.

【 Keywords 】 polymorphic virus；worm；decrypted engine； metamorphic engine；virtual machine

0 引言

进入21世纪计算机网络时代以来，曾经肆掠一时的变形病毒遇到合适的滋生环境，又开始迅速蔓延和更新换代，目前就出现了很多网络病毒与变形病毒的结合体，如蠕虫的变形。文章除了带大家进入变形病毒的原理和发展史，更剖析了现今的网络变形病毒，以及它们的对付策略。

1 计算机病毒的分类

1.1 蠕虫病毒

蠕虫（Worm）是通过分布式网络来扩散传播自身的复制，破坏网络中的计算机或造成网络拥塞的病毒。

“蠕虫”由两部分组成：一个主程序和一个拷贝。主程序网络中的某台机器上执行，获得与当前网络的信息和软件缺陷，从而尝试主动攻击受害计算机。它首先入侵到计算机的某个或者某几个的寄存器中，使得这些目标寄存器的内存溢出，已达到在受害计算机中运行非法的程序代码的目的。

1.2 变形病毒

1.2.1 单变形病毒

单变形病毒也叫加密病毒的变种，是对病毒解密器进一步进行保护，它的目的在于把作为主要特征的解密器隐藏起来，让反病毒软件无从下手。但是这类病毒的不足之处在于，它只能生成有限种的解密器变形，而且只是通过某种加密算法进行保护。

1.2.2 准变形病毒

准变形病毒，最显著的特点是加密技术。变形机开始采用随机解密算法（RDA，Random Decryption Algorithm）。

但是正是这种随机算法给本来艰难的反病毒技术带来了转机，对于利用了此种算法的程序或者进程都认为它们是可疑代码，因为这种算法在正常的程序中使用率不高。

1.2.3 全变形病毒

全变形病毒可以描叙为“变形机能够对病毒体进行变形的病毒”。刚才分析的无论加密病毒，单变形病毒，还是准变形病毒，都有一个共同的特点，就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手段对病毒体进行保护，也就是说无论密钥如何变化，对于静态的病毒体，只要破译了解密器，解密后得到的原始病毒体代码就被打回成本来面目。

1.2.4 变形的蠕虫病毒

目前网络上的一种变种蠕虫，也就是上述介绍的蠕虫和变形病毒的结合体。当蠕虫的攻击程序段被变化成无穷个完全不同的普通程序，或是错误信息或是乱码，这些公认的防网络蠕虫软件就无从检测到它的真身。当加密后的蠕虫注入到受害计算机的寄存器时，蠕虫边解密边执行，直到寄存器内存溢出，运行非法的程序段，蠕虫的一个拷贝成功入驻到受害计算机为止。所以变形蠕虫实际上只是对攻击程序体和入驻程序体的变形。

值得注意的是，当下也出现了某种变形蠕虫它可以随机改变注入的寄存器，使得本机安全软件无法跟踪到这些经过变形的寄存器，更何谈对其进行拦截。

2 变形病毒的对付策略

在反病毒技术的众多应用中，目前最先进的当数动态启发式技术，是属于主动防御的一种。启发式指“自我发现能力”或“运用某种方式或方法去判断事物的知识和技能”，通过一个虚拟的安全环境(动态虚拟机)中前摄性的执行代码来判断其是否有恶意行为。

动态启发就是通过查毒软件内置的虚拟机，并且新加入解密引擎和扫描引擎，给病毒一个仿真运行环境，这样诱使病毒在虚拟环境的模拟缓冲区中运行。即使病毒变形了寄存器，病毒的活动范围仍然局限在可控制的模拟缓冲区里面。在整个虚拟运行过程中，如果检测到可疑的动作，则判定为危险程序并果断进行拦截。

这种启发式虚拟解密的关键的问题就是速度问题。例如如果要花费几个小时去模拟病毒的解密和入驻的话，那么这种方法就是失败的。

3 结束语

变形病毒目前已经成为计算机安全和网络安全的最大隐患之一，它的可怕之处是除了它存在无穷不可预测的变种外，还配合了最新的网络技术。因此，研究变形病毒的发展、分析其对付策略是十分必要的，本文的目的正在于此。

参考文献

[1] 刘涛,张连霞.怎样判断计算机病毒.内蒙古气象,2001(1):43-44.

[2] 肖英,邹福泰.计算机病毒及其发展趋势. 2011,6.

[3] Lyman J.In search of the world’s costliest computer virus[J]. Factor Network, 2002(2):78-81.

[4] 张瑜,李涛,吴丽华等. 计算机病毒演化模型及分析. 2009.5.

[5] 姚渝春,李杰,王成红. 网络型病毒与计算机网络安全. 2003.9.

[6] 刘俊,金聪，邓清华.无标度网络环境下E-mail病毒的传播模型. 计算机工程，2009,35(21)：131-133.

作者简介：

赖瑞麟（1981-），男，广东广州人，中级职称，广东金融学院工作；研究方向：网络通讯、网络安全。