特征码扫描的具体含义

特征码检测指一种精确地检索一组匹配字符串的直接模式，每个病毒及其 变种的特征都包含在扫描器的定义库中，而这些特征是不会出现在未被感 染的文件中的。一些反病毒研究者并不赞成将特征码扫描的称作―检索 字符串∥或者―扫描字符串∥，但这似乎并没有影响反病毒软件公司例行的使用这个称谓。 

这个术语的缺陷在于它延续了扫描器工作原理的一种陈旧观念，虽然其他可供选择术语也会引起争论。 

使用―特征码扫描∥这个术语的真正的困难在于： 

u 它延续了―特征码扫描∥是杀毒软件唯一的检测方式的误解。事实上，许多病毒无法通过检索 静态的字符串而被识别。 
 
u 它暗示每个病毒都有一个不同的字符串，所有扫描器均可统一识别。事实上，不同的扫描 器可能会检索不同的字符串（使用不同的算法）来检测同一个病毒。 

一些资料给人的印象是扫描器查找的是简单的文本字符串而非字节序列，这就更加混淆了问题。查 找简单文本字符串的方法通常是不可靠的，不仅编程效率低下而且对于很多恶意软件类型完全无效。 这也很容易被病毒作者，或者实际上，任何能够编辑文件的人所利用，并且有极大的误报风险。 

通配符和类UNIX系统的规则表达，使字符串检索有了更多的灵活多样性。扫描器可以避免只查找 一个静态的字符串（一个固定的字节序列），而是在其它字节或字节序列（噪音字节）夹杂其中的 情况下，也能辨认出一组与病毒有关的字符串。噪音字节的一个简单的例子是插入一个NOP（空操 作）指令，这个指令的功能只是占用处理器时间而无任何实际的操作。 

这一系列基本字符串检索方面的改进，能够检测出一些加密病毒和变形病毒种类。可是，即使经 过了这样的改进，字符串扫描还是无法特别有效地扫描混合型病毒。而复杂的变形病毒的出现，实 际上使得一些缺乏高级检测技术的扫描器淡出市场。 

在当今反病毒技术领域，针对特定病毒的算法扫描，通常基于在虚拟机内模拟执行 代码并进行解析的方法。虚拟化和模拟技术，可以被用来应对无意或有意的欺骗方 法，如加壳、压缩或加密。一旦一个文件的欺骗方法被识破，它就能通过杀毒软件 的扫描过程进行算法或者启发式分析。 

虚拟机也在启发式分析中担当重要角色，而且取得了很大的成功，尽管要使模拟环境与当今Windows™环境具有同样复杂性仍有许多难度。（然而我们需要理解的 是模拟不可能是完美的，潜在的延迟影响（如处理时间的增加）也是明显的，随 测试文件的不同有相应的变化。）