[发明专利]基于Win32平台下病毒行为的自动化分析系统

说明书

技术领域：

本发明涉及计算机病毒防治技术领域，特别涉及一种基于病毒行为的自动化分析系统。 

背景技术：

随着计算机软硬件水平的不断发展，近年来，计算机病毒技术也是突飞猛进，黑客和间谍技术也在不断更新改进。计算机病毒对人类造成的影响也越来越大。当前，计算机病毒正呈现出传播方式、传播途径以及破坏方式更加多样化的趋势。 

据国家计算机病毒应急处理中心综合观察分析认为：“目前计算机病毒的网络化趋势更加明显，病毒的入侵主要来自蠕虫病毒，同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现”。计算机病毒表现出以下特点：传播方式和途径多样化；病毒的欺骗性日益增强；病毒的传播速度极快；病毒的制作成本降低；病毒变种增多；病毒难以控制和根治；病毒传播更具有不确定性和跳跃性；病毒版本自动在线升级和自我保护能力；病毒编制采用了集成方式等。 

综合上述分析，今后计算机病毒的发展趋势是：群发邮件病毒将大量出现；针对系统漏洞的具有远程控制功能的病毒将越发突出；病毒和垃圾邮件编写者将不断加强合作；病毒编写者更加年轻化、更有组织性。计算机病毒具有极强的繁殖感染能力，而因计算机病毒所造成的危害正在加剧，病毒危害主要包括系统崩溃、网络瘫疾、系统设置被修改、电脑使用受限、数据丢失等。 

目前，比较常见的病毒检测技术有以下几种： 

(一)特征码技术； 

特征码技术是一种基于对已知病毒分析、查解的反病毒技术。它作为反病毒技术中最基本的技术被沿用至今，也是到目前为止各类反病毒软件仍普遍采用的技术。特征码是一串二进制位信息，它能唯一标识某一非法程序，研究人员通过对非法程序样本的分析，提取出“特征码”写入反病毒软件的特征码库。 

该技术对用户指定的某个或某几个文件进行扫描，以确定是否包含非法程序的特征码。在具体实现时，它最初是采用对待测文件全部扫描的方式，在病毒等非法程序出现的早期，非法程序的种类不过数百种，采用这种扫描方式还是比较快捷的。但在目前病毒、木马、蠕虫及其变种的总数超过60000的情况下，这种方式显然是效率低下的。为此，出现了一些用来提高特征码扫描效率的技术。例如，“所罗门”公司用非法程序内部的某段机器代码和该代码距离程序入口的偏移量来唯一确定一种非法程序，检测时，只需要确定非法程序的程序入口并从指定的偏移处开始查找指定的机器码即可。 

特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低。被公认为检测已知病毒的最简单、开销较小的方法。其缺点是：不能检测新病毒、捕获已知病毒的特征代码，费用开销大、在网络上效率低，因长时间检索会使整个网络性能降低。 

(二)虚拟机技术； 

虚拟机技术是一种启发式探测未知病毒的反病毒技术。虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定它是病毒，定会给病毒的清除带来麻烦。 

虚拟机实质是在反病毒系统中设置的一种程序机制，它能在内存中模拟一个操作系统环境，待查文件在虚拟机上执行，其效果如同物理机。虚拟机实际是用软件的方法模拟地执行所有的或者设计者关心的CPU指令，营造一个虚拟的、可观察的、可控制的目标程序运行环境。它相当于一个软件CPU盒，使得被调试程序的运行局限在一个透明的箱子里。 

采用虚拟机技术的杀毒软件在杀毒时，首先使用的还是特征码查毒法，当发现目标具有加密病毒的特征时，其才会启动虚拟机模块让病毒的加密代码自行解码，解码之后，就可以采用传统的特征码查毒法进行查杀了。可见，对于已知加密病毒，提取其特征值也是非常重要的。 

目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word、excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平  仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，PC的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。 

目前，虚拟机的实际应用情况是： 

(1)在处理加壳或变形的木马和蠕虫方面，虚拟机被作为一个比较理想的选择。 

(2)在目前各类安全软件中引入的虚拟机一般都不是完整的仿真环境，而是相对比较简单、易于实现的版本，即便如此，相对采用其他检测技术的安全软件，采用虚拟机技术的安全软件还是占用了更多的系统资源。