反病毒软件的检测病毒过程

一个反病毒程序检测什么？实际上非常多，包括一些技术上来说并不是病毒的 程序。大多数我们提到的病毒可能被称为恶意软件更为准确。讽刺的是许多在 市场上销售的专杀产品（比如检测间谍或者木马程序的）都宣称是必备的，他 们的理由是反病毒软件只能检测病毒。 

事实上，商业的反病毒产品涉及的恶意软件的范围比大多数专杀程序要广。专 杀程序可能在它的特定范围内检测到更多的威胁，但是这不仅与程序检测已知威胁及其类型的能力 有关，还包括以下几个因素: 

u 程序的广谱检测能力 

u 区分不同恶意软件的标准 

u 样本共享机制（相比其它恶意软件检测领域的厂商，反病毒厂商为此采取了行之 有效的交换途径） 

下面的章节讨论了3个主要的恶意软件类型。完整的恶意软件分类方法将不在本文讨论的范围内。 

病毒 

期待反病毒软件检测病毒，当然是合情合理的。因为多年来反病毒软件 在检测病毒方面如此成功，也正是由于这部分原因，以至于它检测其它 类型恶意软件的能力被低估了。 

虽然病毒有很多种定义，但一种被恶意软件研究者普遍接受的定义是―病 毒是一种计算机程序，它能通过将复制自身（或者自身的变体）修改计 算机中的其他程序，以达到感染目的∥ [1， 2]。 

这个定义涵盖了很多种类型的病毒，包括： 

u 引导型病毒，硬盘分区病毒 

u 文件型病毒（寄生病毒） 

u 混合型病毒 

u 宏病毒和脚本病毒  
 
尽管有些病毒类型现在已经很少见了（比如引导型病毒和硬盘分区病毒），但是反病毒程序一般都 能检测在该平台上（有时包括其它平台）发现的这类已知病毒。通常，反病毒软件也善于通过启发 式的方式检测新的或未知的病毒种类。 

蠕虫 

业界从未在蠕虫的定义上真正地达成一致，如科恩所说―蠕虫是一种病毒的特例∥ [1]，但不论蠕虫是 怎样的特例，反病毒软件通常都能检测它们。 

对于蠕虫的不同定义甚至比针对病毒的还要多，但是大部分反病毒研究者将蠕虫定义为一种以非寄 生方式复制的程序，也就是说，它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种 特殊类型的蠕虫. 多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫，但是一些邮件群 发者具有纯病毒的特点（比如，Melissa事实上是一种纯病毒，一种能够像蠕虫一样传播的宏病毒， 而 W32/Magistr则是一种文件型病毒）。 

对于新型蠕虫变种的检测，厂商同样有很好的手段。比如说，新型邮件群发器几乎在出现的同时， 就被通信安全服务供应商及其系统列入了黑名单. 

非复制型恶意软件 

这个定义是根据上文的定义得出来的，即如果一个恶意软件不具有复制能力，那它就不是病毒或者 蠕虫。但是这并不意味着反病毒软件不能检测到它，除非其不具有威胁。 

要说明的是，即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时，一些 非自我复制的对象（它们当中的一些甚至不是可执行程序，更不要说是 有恶意的了）仍然能被检测到并且报毒。例如： 

u 未遂病毒(复制自身失败的病毒)和损坏的病毒 

u 垃圾文件 

u 与病毒相关的非病毒程序，如病毒原体，释放器，病 毒生成器  u 合法的测试程序如EICAR测试文件

许多已传播多年的非复制型病毒，由于管理不善，仍然被一些评测机构作为样本，用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中，避免因没 有检测出这些病毒样本，而取得不理想的测试成绩。遗憾的是，日趋复杂的启发式扫描引擎，也只 是刚好跟上了杀毒软件测试者不断更新的测试手段，有时新的测试手段也并非恰当。本文的后面部 分会简略地分析测试产品启发式扫描能力时，技术上可接受的方式。 

人们了解最多的非复制型恶意软件是木马程序（或简称为木马）。木马程序声称能执行一些有用的操作或提供一些必要的功能，可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操 作。这包括一系列特定的恶意软件： 

u 病毒释放器； 

u 键盘记录器； 

u 破坏性木马程序； 

u 下载者； 

u 间谍程序； 

u 广告程序； 

u 内核后门与stealthkits 

u 玩笑程序； 

u 僵尸程序 (机器人程序， 远程控制木马， DDoS 客户端等) 

可自我复制的恶意软件（如病毒）有时也被认为是木马程序（或称为木马型病毒，这表示这种木马 通过将一个以前合法的程序损坏，修改或替换而引起破坏），大部分人可能会发现这样的分类所带 来的困惑多于帮助。检测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难，因为不仅

要测试程序的复制能力，还要测试程序的一系列作用。 

争论的焦点在于，判断一个程序是不是木马程序（或恶意软件），是否应更多根据其目的来界定， 而非功能来界定。例如，一个键盘记录程序如果是经过用户授权或用户自愿安装的，即使它的功能 与木马程序是相同的，那么它也不算是木马程序。这会给检测带来问题，因为电脑在判断目的方面 的能力弱于人类。 

间谍软件和广告软件（可能由于媒体的过多关注，以及大量针对性产品的存在）已经被划分为了不 同恶意软件的子类。尽管人们经常争论，广告软件不一定就是恶意软件，但这种区别是大多情况下 没有意义的。而同样的争论也适用于该类别的几乎所有其他项目，因为一个程序的行为并不能作为 判定恶意软件的标准，而是在于程序员的不良意图与用户期望值之间存在着的差别。