• 首页
• 新闻中心
  • 内部新闻
  • 公共新闻
  • 业界新闻
  • 产品新闻
• 产品应用
  • 程序开发工具
  • 企业级应用
  • 服务器软件
  • 应用工具
  • 数字娱乐
  • 硬件
• 解决方案
  • 系统架构经验谈
  • 系统部署应用
  • 办公自动化
  • 案例集锦
  • 参考手册
• 开源应用支持
  • 认识Unix
  • 系统管理
  • 网络管理
  • 桌面应用
  • 存储备份
  • 引导安装
  • 服务应用
  • 群集应用
  • 数据库
  • 系统安全
• 程序设计与开发
  • Perl编程
  • 设计与开发
  • 应用编程开发
  • Web设计与编程
• 关于我们
  • 关于本站

计算机病毒

2010-08-04 22:22:06 阿炯

计算机病毒一般具有以下特性：

1．计算机病毒的程序性(可执行性) 计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上， 因此它享有一切程序所能得到的权力。在病毒运行时，与合法程序争夺系统的控制权。计算机病毒只有当它在计算机 内得以运行时，才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。 若计算机在正常程序控制 下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机 病毒的代码，打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下 工作。他们的计算机虽也存有各种计算机病毒的代码，但己置这些病毒于控制之下，计算机不会运行病毒程序，整个 系统是安全的。相反，计算机病毒一经在计算机上运行，在同一台计算机内病毒程序与正常系统程序，或某种病毒与 其他病毒程序争夺系统控制权时往往会造成系统崩溃，导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控 制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的 抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码，阻止其运行或旁路掉其对系统的控制权(实现安全带毒 运行被感染程序)，还应该识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。

2．计算机病毒的传染性
传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可 得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机 扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒 是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程 序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那 么病毒会在这台机子上迅速扩散，其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染 源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一 切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的 计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网 的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。

3．计算机病毒的潜伏性
一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在 合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围 就会愈大。

潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里 呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指， 计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

4．计算机病毒的可触发性
病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜 伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又 要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发 条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如 果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

5．计算机病毒的破坏性
所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒 都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。 同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统的正常 运行的话，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破 坏全部数据并使之无法恢复。 但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统 崩溃等重大恶果。

6．攻击的主动性
病毒对系统的攻击是主动的，不以人的意志为转移的。也就是说，从一定的程度上讲，计算机系统无论采取多 么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。

7．病毒的针对性
计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对1BM PC机及其兼容机的，有针对App1e公司 的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。

8．病毒的非授权性
病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

9．病毒的隐蔽性
病毒一般是具有很高编程技巧，短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含 文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一 般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染 后，计算机系统通常仍能正常运行，使用户不会感到任何异常，好像不曾在计算机内发生过什么。试想，如果病毒在 传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得 以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。

大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1K字节，而 PC机对DOS文件的 存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易察觉。

计算机病毒的隐蔽性表现在两个方面：
一是传染的隐蔽性，大多数病毒在进行传染时速度是极快的，一般不具有外部表现，不易被人发现。让我们设想， 如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序，我要干坏事了”，那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”，时不时在屏幕上显示一些图案或信息，或演奏一段乐曲。 往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念，更不用说心理上的警惕 了。他们见到这些新奇的屏幕显示和音响效果，还以为是来自计算机系统，而没有意识到这些病毒正在损害计算机系统，正在制造灾难。

二是病毒程序存在的隐蔽性，一般的病毒程序都夹在正常程序之中，很难被发现，而一旦病毒发作出来，往往已经给计算机系统造成了不同程度的破坏。被病毒感染的计算机在多数情况下仍能维持其部分功能，不会由于一感染上病毒，整台计算机就不能启动了，或者某个程序一旦被病毒所感染，就被损坏得不能运行了，如果出现这种情况，病毒也就不能流传于世了，计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后，其原有功能基本上不 受影响，病毒代码附于其上而得以存活，得以不断地得到运行的机会，去传染出更多的复制体，与正常程序争夺系统 的控制权和磁盘空间，不断地破坏系统，导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。

10．病毒的衍生性
这种特性为一些好事者提供了一种创造新病毒的捷径。 分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原 理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。

11．病毒的寄生性(依附性)
病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿 主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。

12．病毒的不可预见性
从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的 (如驻内存，改中断)。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。新一代计算机病毒甚至连一些基本的特征都隐藏了，有时可通过观察文件长度的变化来判别。然而，更新的病毒也可以在这个问题上蒙蔽用户，它们利用文件中的空隙来存放自身代码，使文件长度不变。许多新病毒则采用 变形来逃避检查，这也成为新一代计算机病毒的基本特征。

13．计算机病毒的欺骗性
计算机病毒行动诡秘，计算机对其反应迟钝，往往把病毒造成的错误当成事实接受下来，故它很容易获得成功。

14．计算机病毒的持久性
即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传播，使得病毒程序的清除非常复杂。

(摘自陈立新《计算机病毒防治百事通》清华大学出版社)

杀毒软件引擎技术之窥探

一. 群雄逐鹿的杀毒软件市场

如果不安装杀毒软件，势必会因为使用者带来运行的媒体介质感染了病毒而造 成系统瘫痪或交叉感染，无论出现哪种情况都会影响工作效率；但如果安装的杀毒软件功能不够强大，无法及时更新数据，一样不能防止病毒造成破坏。 面对市场上众多品牌的杀毒软件，每一款杀毒产品都具备它自己的优缺点和特色，该选择哪一种呢？

二. 从病毒原理说起

病毒的定义和行为特征
在这个年代里，计算机病毒（Computer Virus）已经是家喻户晓的名词了，而其在业界里也早已有了定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使 用，并能够自我复制的一组计算机指令或者程序代码，它可以是一个程序，一段执行代码，像生物病毒一样有独特的复制能力，可以很快蔓延。他们能把自身附着在 各种类型的文件上，随文件的传播而蔓延。现在随着计算机网络的发展，病毒和网络技术结合，蔓延的速度更加迅速。计算机病毒具有可执行性、寄生性、传染性、 破坏性、欺骗性、隐蔽性、潜伏性、衍生性。

以上便是早期就已经定义好的计算机病毒概念，而如今可称为病毒的，还有各种不会感染文件的特洛伊木马程 序（后门）等（Trojan、BackDoor），大部分特洛伊木马除了不具备对文件的传染性以外，其他特征均与病毒符合，而且一部分文件型特洛伊木马还 可感染文件。此外，还有一种通过系统漏洞进行传播的恶意程序或“蠕虫”（Worm），利用系统自带的脚本语言功能实现破坏效果的宏病毒和恶意脚本 （Macro Virus、Evil Script），因此，文中将把木马后门、蠕虫、宏病毒和传统文件型病毒等统称为“病毒”。

自我复制
病毒的基本动作是复制自身，文件型病毒会把 自身插入正常程序文件内部以便程序每次执行时连病毒代码也一并执行，恶意程序或木马后门会将自身复制到系统目录，然后通过多种途径令系统在启动时执行病毒 体文件，但是无论是哪种病毒的复制行为，其最终目的都只有一个：潜伏到用户计算机内，伺机执行各种危害操作。

病毒在执行复制行为时必须隐蔽，否则它会轻易被稍有经验的用户发现，因此不同的病毒都会采取各种手段来实现其隐蔽目的，但是无论它们的表现形式如何，最终都可归纳为两种形式：寄生和欺骗。

寄生
这是文件型病毒的传播方式，文件型病毒的成品一 般没有自己的独立程序体，它们通过受感染的可执行文件进行传播。当用户执行一个感染了文件型病毒的程序时，由于原程序的执行入口已经被破坏，因此病毒代码 会首先得到执行，将自身载入内存中，成为一个“驻留程序”（TSR），根据病毒作者的破坏性差异，病毒可能仅仅停留在内存空间里等待用户执行程序时进行感 染操作，也可能会主动出击，搜索用户计算机上符合感染条件的可执行文件进行感染。

较普通的文件型病毒会将自身代码放置到受感染文件的头部或尾 部，而后修改文件头部的执行入口指向自身代码起始段，以达到自身先于受感染程序执行的目的，当病毒在入内存后，才会去调用受感染文件的真正执行入口，让受 感染文件能够运行，这样用户才不会起疑心。在早期的感染模式里，文件型病毒通常会主动搜索感染可执行文件，甚至因为感染失败而导致文件损坏的事情也常有发 生，而自从微软在Windows 2000开始引入“系统文件校验”技术后，主动搜索可执行文件进行感染的病毒寄生技术便因为导致系统不断出现“系统文件遭遇替换”的警告而逐渐退出舞台， 继而换成守株待兔类型的等待程序执行后进行感染的被动寄生方式。较新的文件型病毒还会采取不感染系统文件的政策，让用户无论如何都难以发现文件被感染的痕 迹。

但是直接把自身简单的插入文件首尾的寄生方式会导致文件体积和修改日期的变化，因此高级的病毒会自动根据目标文件内部的“无用”空间分配情况 来将自身代码分段插入文件体内，并修改文件日期为原始日期，如此一来便加大了检测和查杀的难度。这一技术得以实现的原因是PE规范的特点：PE文件的每个 节之间留有按簇大小对齐后的空洞，病毒体如果足够小则可以将自身分成几份并分别插入到每个节最后的空隙中，这样就不必额外增加一个节，因而文件大小保持不 变，能做到这种形式的病毒体积必须十分小巧，否则它会把文件破坏掉的。当文件被执行时，病毒通过初始化代码的复杂计算将自身全部代码恢复连贯载入内存，继 续完成下一次感染过程。

欺骗
并非所有病毒（注意此文的“病毒”所指范围）都 是文件型的，例如特洛伊木马、蠕虫和恶意程序等，那么它们如何将自身隐蔽呢？这就要用到欺骗了。所谓欺骗，就是利用各种手段将自身执行文件植入系统，而不 被用户轻易察觉，即使被发现，也难以判断真伪或者无法彻底删除，从最初的简单设置文件属性为隐藏，到现在的伪装系统核心文件、DLL形式，甚至驱动程序类 型的隐藏，病毒技术的不断发展使得手工查杀增加了难度。

破坏
一个程序是否具备破坏性是衡量它是否属于病毒的 一个重要标准，病毒的破坏是多种多样的，其实在它们进行寄生或欺骗操作时就已经对被感染的文件、以及受害计算机的环境完整性形成一定的破坏了，由于病毒需 要驻留内存进行感染操作，直接导致的影响就是磁盘读写增加，计算机响应迟钝，更有甚者为了取得最高的响应速度，而修改系统正常的优先级设置让自己达到最高 等级，从而导致系统效率严重下降。然而这还不是真正可怕的，当病毒发作时，可能会破坏你的文件档案，或者敞开计算机大门让入侵者随意进出，甚至通过特殊的 软件读写达到破坏计算机硬件的目的。

三. 剖析杀毒软件的心脏——引擎技术

病毒和反病毒产品是天生的冤家，由于病毒永无休止的存在，反病毒产品这片领域自然也会出现众多厂商来分割的局面，因此也就衔生出了多种杀毒引擎技术。

杀 毒引擎是决定一款杀毒软件技术是否成熟可靠的关键，什么是杀毒引擎呢？简言之，它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制，引擎不仅 需要具备判断病毒的能力，还必须拥有足够的病毒清理技术和环境恢复技术，如果一款杀毒产品能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功 恢复，那它也只能是鸡肋。为了达到查杀病毒的目的，杀毒引擎自身要实施的行为就要比病毒还病毒，例如，为了及时获得环境变动的监控数据，一些杀毒引擎采用 DLL的钩子技术将自身注入系统进程中，这一行为和DLL木马无异；而为了成功拦截查杀驱动级别木马Rootkit，杀毒引擎更需要将自身的一部分作为驱 动形式运行，以便进入系统内核领域……说到这里，一些计算机配置较低的用户应该能明白，为什么自己安装杀毒软件后计算机速度明显变慢了，这多半是因为杀毒 软件的“文件监控”等功能导致的，因为这一功能的实现原理就如文件型病毒的寄生过程一样，只不过文件型病毒是守候在内存中伺机感染每一个打开的文件，而 “文件监控”功能是时刻驻守在内存里检查每一个打开的文件是否存在病毒，两者导致的后果都是程序载入内存的时间增加，在低配置的计算机表现得比较明显罢了。

由于以上提到的原因，杀毒软件是会不可避免的对用户计算机运行速度造成一定影响的，但是为了安全，大部分用户只能牺牲一点工作效率来换取安全了，那么，杀毒引擎的具体实现过程又是如何呢？且让我们来对其窥探一番。

1.守住每一个关卡——程序行为捕获
每个程序运行时 都需要进行各种交互动作，如收发网络数据、响应某个触发事件、文件读写操作等，这些交互都被称为“行为”（Action），这个周期过程是可以被跟踪记录 的，这就是杀毒引擎必须干涉的第一步，当杀毒软件的环境监视模块启动后，它会嵌入系统的操作接口，使得任何非核心程序和除了杀毒软件自身程序的运作过程都 要被它实时监视，这一技术通常通过钩子技术和驱动层挂载实现，每个杀毒软件厂商都预先定义了一套病毒行为判断规范，即在一个给定的范围和置信度下，判断相 关操作是否为合法。例如一个代码执行后被发现试图将自己写入用户请求执行的程序文件体内、或进行特定的复制动作和添加注册表操作，则可将其怀疑为病毒，移 交给查毒过程的第二步进一步判断处理。

为了实现行为捕获操作，杀毒软件引擎必须将自身模块嵌入系统底层，在这个实现方法上，各大厂商都有自己的一 套方案，一般厂商普遍采用的是中间件技术，即通过Hook挂钩方式实现对每个进程的访问，这种方案通过在系统底层与应用程序之间嵌入一个全局钩子DLL模 块达到目的，从严格上来说，它的相对安全和稳定性较低，但是在源代码不开放的操作系统层面上，这是最简单的方法。

一部分厂商因为与操作系统厂商存 在合作关系，因而获得了较其他厂商杀毒产品要高的操作系统特权，所以他们采用的方案是基于系统最底层的系统核心驱动，这种实现方式是最安全的，或者说最高 级的实现方式，至今只有Norton获得了这个特权。随着病毒技术逐渐渗透到Rootkit层次，过去的Hook技术逐渐有点力不从心，于是杀毒厂商开始 转入驱动方案，当然，由于没有操作系统厂商的授权，他们并无法实现最底层的核心驱动解决方案，于是杀毒厂商编写了一个称为“软件驱动”的中间件，用于在系 统中产生一个虚拟硬件。众所周知，在操作系统中，只有驱动模块能通过一个“硬件抽象层（HAL）”的通讯接口而到达系统底层，如今流行的Rootkit木 马也是采用驱动形式进入系统核心的，因此杀毒厂商使用“软件驱动”来实现底层监视的方案是要比一般的Hook技术效果显著的，但是这也不可避免会出现一些 问题，如果这个“软件驱动”存在缺陷或者被某些程序异常终止（例如出现未预料的错误），在系统底层无任何保护措施的环境下，最直接的一个后果就是系统蓝屏 崩溃，造成可能的损失。

引用(小知识：系统的几个“层”)

操作系统作为一个复杂的运作体系，其内部是必须实现一定的功能模块来进行分工合作的，这些功能模块像金字塔一样层层堆积，形成了系统的几个“层”，分别是系统核心层、硬件抽象层、用户层。
系 统核心层（Kernel Layer）位于整个操作系统的最底层，负责系统的基本运作，在这一层里的所有行为都由系统内置的指令来实现，所有外界因素都不会对这一处的行为造成影 响。能直接进入这个层交互的程序不多，除了操作系统自身，第三方厂商若要能在此层直接工作，必须和系统厂商建立合作关系，使用系统厂商提供的接口函数才能 进入。目前能在这个层面直接工作的杀毒软件只有赛门铁克的Norton AntiVirus。

硬件抽象层（Hardware Abstraction Layer）是美国微软公司为了便于操作系统在不同硬件结构上进行移植而提出的将系统底层与硬件相关的部分独立运作的思想，HAL为系统实现了“硬件无关 性”，即在不同的硬件平台上，硬件与操作系统的交互也不会有所差异，这样一来，硬件厂商开发驱动的难度便能大大降低，HAL将硬件的接口细节隐藏起来，并 为操作系统提供一个标准硬件交互接口，目前所有的硬件驱动都工作在这个层面上，当外界硬件存在指令请求时，驱动程序响应请求并将指令通过HAL转换为系统 核心层能理解的指令交给内核执行，如果未找到相应的驱动程序类型，则将其视为“默认硬件”（Default Hardware）处理，什么叫“默认硬件”呢？最简单的例子就是进入安全模式，这时候大部分驱动程序不会被加载，此时的系统便是工作于“默认硬件”上。 大部分使用“软件驱动”解决方案的杀毒软件就是在HAL层上虚拟了一个硬件来达到与核心层交互的效果，如McAfee、卡巴斯基等，瑞星2006也是通过 这个方案实现了内核交互。

用户层（User Layer）就是平时我们直接看到的部分，例如桌面，大部分杀毒软件也是在这一层运行的，主要用于用户接口交互和将指令传递到杀毒引擎。一般运行于 Ring3的程序行为也产生于此，一个应用程序产生的指令要求首先被传递到HAL层，HAL层将其解释处理为核心层可以识别的指令串，然后提交给核心层最 后进入CPU的指令处理循环，CPU处理完毕后将结果反向送回到用户层上的应用程序，最终得到运算结果。

2.检测的核心——基于引擎机制的规则判断
这 一步环节可以称之为病毒判断的核心阶段，一个好的杀毒引擎能在这个阶段识别出相当规模的病毒，其原理是在引擎中内置一部分病毒的特征代码，称为“基于特征 码的静态扫描技术”，即杀毒引擎直接在文件中查找自身携带的特征代码，力求尽量在这一步发现病毒。早期的计算机用户应该记得，当初的杀毒产品并没有非常大 的病毒特征数据库，甚至KV300+的所谓病毒特征数据库还是ASCII格式的，并由用户自己手工加入，仅仅作为一种简单的扩充手段来运作而已，这是因为 KV300+的主程序内就已经包含了当时各种流行病毒的特征码。

但是如今由于网络普及和计算机技术发展，病毒攻势铺天盖地而来，如果单纯靠杀毒引 擎自身携带病毒特征代码，将会造成主程序体积过于庞大而无法高效率运行，且升级麻烦等难点，因而杀毒引擎不得不将病毒特征库从自身脱离开来，形成独立的病 毒数据库结构来与自身保持联系，这就是“基于特征码的静态扫描技术”的扩展产物：病毒特征代码数据库。

3.在翰林辞典中穿梭——引擎与病毒特征库的交互
由 于上述原因，如今的杀毒软件已经不得不采用外部数据库连接的方法来达到识别病毒的效果，病毒特征代码数据库中以特定格式储存了各种病毒的行为标识和静态代 码，在工作时，杀毒引擎需要将捕获到的程序行为转换为它自身可以识别的行为标识和静态代码，然后进入病毒特征代码数据库中查询并期待其返回查询结果，因此 这个步骤是整个杀毒过程中最慢的，但是不可否认，当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒引擎的 不足之处，但是当今病毒越发复杂和繁多，如此长期以往，病毒特征库将会有一天过于臃肿而导致不良后果，要解决这个问题，只能在核心技术上尽量实现将病毒检 测工作在第二步完成，只可惜在当前我们仍然没有能够实现这个想法的杀毒引擎技术，因此如今的杀毒软件或多或少都依赖着一个几十MB的病毒特征库来维持工 作，杀毒厂商在杀毒引擎核心未进行关键修改时发布的病毒更新其实也就是为了往这个特征数据库中添加最新发现的病毒数据，以达到查杀新病毒的作用。

“基于特征码的静态扫描技术”的最大弱点在于它无法发现和查杀“未公开”或“未收录”的病毒，由于它的大部分判断依据来自病毒特征代码数据库，一旦用户被感染 了病毒中的“0day”或“私人后门”，杀毒软件就无能为力，甚至落得个被病毒终结运行的下场，当然，由于杀毒软件自身的校验机制，一般不会有病毒愚蠢到 去感染杀毒软件，但是如果一个杀毒软件被病毒终止了，它就无法对用户的计算机实施病毒防护了，但是如何判断阻止由病毒发出的关闭指令，而不影响用户正常点 击杀毒软件自身提供的“退出”功能，这也是个难题。

一部分杀毒引擎会通过自身的病毒行为判断规范来“怀疑”某些未收录在数据库中的程序为病毒，并 询问用户需要什么解决方案，一般情况下，杀毒软件最折衷的默认解决方案是将被怀疑动机不纯的程序文件改名备份到一个被称为“隔离区”的文件夹中，然后将该 原始文件销毁。这样做或许能达到查杀未知病毒的目的，但是我们也不能忽视其可能带来的严重后果，例如某个关键文件或重要文档感染了病毒，如果杀毒软件不由 分说就将其消灭，那就很可能引发系统崩溃甚至经济损失，因为一个健全稳妥的查杀过程和环境恢复是很重要的。

4.月光宝盒——病毒查杀和系统环境恢复
当杀毒引擎 检测到病毒时，需要分为两种情况对待，首先是尚未来得及进行感染或破坏行为的病毒，在这种情况下杀毒引擎只需要简单删除文件就可以了，但是日常操作中用户 面临最多的还是已经被病毒实施感染破坏行为后的系统环境，在这种情况下，杀毒引擎必须在使用适当的方式查杀病毒后，根据病毒特征库中记录的病毒行为来智能 判断当前系统环境遭受破坏的情况并进行恢复，例如对于受病毒感染的文件，杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除，这个过 程必须非常谨慎，否则直接的后果就是导致原文件被破坏，这样的杀毒就毫无意义了。而对于非文件型的木马和恶意程序，由于它们会通过各种方式篡改系统注册表 甚至系统文件来达到加载自身之目的，杀毒引擎在清除了这些病毒后能否准确有效的恢复受破坏的系统环境，就是对杀毒引擎的最大挑战。病毒隐藏技术已经从最初 的简单加载单一启动项，演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式，甚至采用多项结 合的方法，使得查杀工作变得十分困难，甚至只要遗漏了一个文件未能清除，病毒便能卷土重来，因此，如何有效准确的判断和修复受损环境，也是衡量杀毒引擎技 术是否成熟的关键。

以上说的是杀毒引擎完整工作过程的原理，那么，它所采取的技术有哪些呢？目前，主流的技术有两种：虚拟机技术、实时监控技术。除此之外，还有两种最新的技术仍在试验阶段，分别是智能码标识技术和行为拦截技术。

1.虚拟机技术
一提起虚拟机，部分读者可能就会联想 到VMWare去了，然而这里提到的虚拟机并非如此。在反病毒界里，虚拟机也被称为通用解密器，已经成为反病毒软件中最重要的部分之一。杀毒引擎的虚拟机 技术并非是为病毒提供一套计算机仿真系统，让其在内部折腾直到暴露出病毒行为特征，在这里的虚拟机是指杀毒引擎模拟出一个仿真CPU，这个“CPU”具备 和真正CPU等同的指令分析功能，杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行，直到出现特定情况才结束工作，在这个过程中探知程序是否 具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”，它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果，最初虚拟机技 术是为了对付变形病毒而产生的，因为变形病毒会将自身代码以一定的方式进行多次变换，这样传统静态特征码扫描技术就对其无能为力，因为它根本无法确认特征 码，但是即使再强悍的变形病毒也不可避免在运行时出现一段相对固定的机器码，否则它自身也无法正常运行完成变形过程，而由于这段机器码只有在运行时才能被 捕获到，因此工程师开发了“虚拟机技术”诱使病毒在杀毒引擎产生的“CPU”里尽情运行，而后根据其固定机器码匹配病毒特征数据库中的静态特征来判断这个 程序是否病毒。虽然这个技术可能会导致误报，但是仍不能否认其是一种有效的方法。

2.实时监控技术
实时监控技术，说白了其实就是一个 文件监视器，它会在文件打开、关闭、修改等操作时将其拦截并送入查毒模块进行分析，而在如今的操作系统中要实现对所有文件操作的拦截并非易事，这需要涉及 系统核心，因此，这里所采取的方案原型，就是“软件驱动”。通过驱动进入核心，便能获知每个文件的操作情况并做出反应了。这项技术的难度在于驱动代码的编 写，由于内核没有异常处理过程，在这里执行的代码稍有一点错漏都能直接导致系统崩溃，且驱动与用户层的实时交互也需要一套复杂的实现方案，因此只有一定实 力的厂家才实现这项技术，且实现了这项技术的厂家大部分都会连同虚拟机技术、静态特征码扫描技术一起结合起来，最终形成自己的产品。

四. 结语

许多用户都在挑选杀毒软件时犯难，实际上，如果抛开许多表面上的东西，杀毒软件的引擎实现技术也就那么几个，关键在于杀毒厂商的研发能力和实际工作效率，也不能只凭杀毒软件在对付某种病毒的差别上就断定它们之间的地位差异。符合自己使用的，就是最好的。