病毒识别技术浅析

病毒的识别是介于两种要素的平衡：避免漏报（没有检测出存在的病毒感染）和误报（错误地报告不存在的病毒感染）。2006年初的几个月中，数款主流杀毒软件都出现了一系列的误报现象，这说明扫描技术的优化和进步并没有消除误报的风险。 

使用启发式是不太可能消除误报的，启发式的定义说明了其在一定程度上需要进行错误的尝试。前 面谈到，启发式编程的目的在于，能够达到 ―足够好∥的检测结果，而并非完美的结果。那么，问题出在哪里呢? 检测已知病毒最安全的手段，是扫描文件的每一个字节，并与病毒体中共同 存在的校验码进行比对，从而确定是否遭受感染。这一过程常被称作―精确 识别∥。 

识别率是一种衡量标准，用来考验杀毒软件检测并认定病毒样本为某个病毒 或其变种的能力。因此，精确识别首先是精确度，病毒代码的每一个恒定字节都要考虑到。尽管人们都希望这种精确度能够应用到针对每个病毒的扫描当中，在现实世界中却 很少这样做，因为这意味着对扫描时间和系统资源带来潜在的负面影响，而且通常来说，这种精确 程度也是不必要的。 

―半精确识别∥这一术语，特指识别方法在应用过程中，只能保证不会因为使用了不当的清除方法， 造成目标文件的损坏[2]。检测和清除带来的问题不尽相同。一些杀毒软件厂商长期以来，提倡替换程序被感染的二进制字节，而不是清除染毒部分，主张将精力更多的集中在检测上。对于有些情况， 比如内核后门和 stealthkits就是很好的例子，将木马程序替换为合法程序就意味着安全软件只能删 除文件，而不能清除文件。这时候，通常管理员或者用户就必须还原合法程序，因为自动还原是不 现实的，甚至也是不安全的。 

近年来，恶意软件的发展已经从单一感染文件，演变成对用户操作系统的控制（比如修改注册表）。 这使得恶意软件一旦得逞，彻底清除起来要困难的多。清除不干净（或不正确）的话，可能会使操 作系统受损，甚至无法使用，有时不得不采取极端的做法，比如重新安装操作系统或应用软件，并 恢复数据备份。 

然而，当恶意软件可以采用启发式或广谱特征法主动检测到时（即有机会感染 目标系统以前），这个问题不会大量涌现,除非恶意目标（病毒或木马病毒） 需要用非感染的形式保留（比如说，目标文件含有用数据）。 

―广谱检测∥是指通过扫描，寻找一系列已知变种的方法，使用的是可以检测 到所有变种的搜索字符串。找到相同的字符串就可以检测出已知变种，如果需 要按照分值机制来认定的话就是启发式检测。否则就是一种特殊的特征码检 测。一些检测系统使用的是综合的方法，在广谱检测的基础上添加了分值认定 系统，以确定病毒变种或族群的类属关系，并按照不同近似等级排比。例如，近似度达到一定程度 时，扫描会报告―某个的变种∥，如果低于这个程度，就会报告―可能是某个的变种∥。