未知病毒三大查杀利器：虚拟机、启发式、“沙盒”

　　近年来，新病毒出现的频率和数量越来越让人吃惊，江民科技2008年度上半年的计算机病毒疫情报告显示，仅2008年上半年，江民反病毒中心就截获新病毒206439种，这一数字是2007年同期的3倍左右!反病毒厂商在加强对病毒样本的快速搜集和处理机制的同时，对于未知病毒的判断和查杀的功能显得越来越重要。

　　在对未知病毒的查杀上，国际计算机反病毒领域主要有虚拟机、启发式、“沙盒”三大主流技术。目前，这三项技术在国内已经在江民科技最新推出的KV2009版本上得到成功应用。

　　虚拟机技术近年来提的较多。虚拟机的原理是在系统上虚拟一个操作环境，然后在这个虚拟环境下运行病毒，在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面，许多未知病毒其实是换汤不换药，只是把原病毒加了一个壳，如果能成功地把病毒的这层壳脱掉，就很容易将病毒清除了。对于虚拟机的应用，许多反病毒专家各执一词，有人强调虚拟机杀毒技术，认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度，原因是虚拟机需要占用太多的系统资源，虚拟机功能的强大是建立在消耗大量的系统资源基础上的，过分强调和应用虚拟机杀毒技术，可能会导致整个操作系统都不能进行其它工作。

　　江民杀毒软件KV2009对虚拟机的应用恰到好处。KV2009应用虚拟机对病毒进行脱壳处理，目前除了通常的壳以外，还增强了对花指令和生僻壳的脱壳能力。在对未知病毒的处理上，KV2009并不单纯依赖虚拟机，这就大大降低了占用系统资源，确保强大的杀毒功能外，电脑仍然能够顺利流畅地进行其它工作。

　　启发式近年来在国外杀毒软件中提的较多。启发式分为静态启发和动态启发，静态启发有点相当于广谱特征码技术，在杀毒软件中内置一个特别的启发特征库，然后将病毒的原码与这个库进行比较，如果符合这个库里的病毒特征，就将其报为相应的病毒。江民杀毒软件KV2009不但具有静态启发，而且还有动态启发，动态启发与虚拟机结合的十分紧密，目前主要应用在对花指令病毒的扫描和查杀。

　　“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念，多数杀毒厂商尚处于实验室研究阶段，江民杀毒软件KV2009成为国内首家将该项新技术应用到产品中的专业杀毒厂商。

　　虽然同为防范未知病毒的杀毒技术，“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截，终止运行;“沙盒”技术是发现可疑行为让程序继续运行，当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演，但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后，“沙盒”则会执行“回滚”机制，将病毒的痕迹和动作抹去，恢复系统到正常状态。

　　随着病毒变种如潮水般涌现，杀毒软件的未知病毒查杀技术将会显得越来越重要。目前流行的“云安全”概念侧重于对已知病毒的响应速度，在应对未知病毒上仍然有着天生的缺陷，因为必然是先有病毒发作然后才能被“云安全”防毒系统捕获，而虚拟机、启发式、“沙盒”等技术则弥补了这一缺陷，只有融入了虚拟机、启发式、“沙盒”等技术的“云安全”防毒系统才是真正安全的防毒系统。江民杀毒软件KV2009致力于“云安全”防毒系统与三大未知病毒防杀技术的有机融合，为用户提供从“已知病毒的迅速响应到未知病毒的立体防杀”这一无间隙的安全防范体系。