ESET NOD32最新病毒防护技术解析

　　病毒特征化繁为简

　　所谓基因码，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，后经由其它病毒作者修改或自行演化，最后变成数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种制作一份独立的特征数据；而较新的基因码检测技术，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此找出同一类型病毒的普遍特征。

　　相关导读《用户趋于理性！杀毒软件选择回归技术本位》

　　缩小病毒数据库的体积

　　这样，在进行系统扫描时，由于采用较少的特征数据就能检测庞大的病毒种类，因此进行特征对照时便能大大缩短时间。同时，对于由同一种源头变化出来的新变种，只要吻合该族群的普遍特征条件，即使未更新病毒数据库亦很有可能成功进行识别。因此，ESET NOD32 更新病毒数据库所用的时间极短，每次更新不过下载 20KB 至 50KB 不等，绝不会加重网络与硬盘的负担。

　　（2）虚拟机技术

　　针对变形病毒、未知病毒等复杂的病毒情况，极少数防病毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境。在这一环境中虚拟执行的程序。虽然病毒通过各种方式来躲避防病毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。

　　（3）代码分析技术

　　为了对付病毒的不断变化和对未知病毒的研究，代码分析扫描方式出现了。代码分析扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如读写敏感文件，自我删除、自我复制，获取操作系统底层权限等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。

　　ESET NOD32拥有崭新的ThreatSense.Net预警系统

图2 崭新的ThreatSense.Net预警系统

　　为了强化 ThreatSense®引擎的准确性与效率，ESET NOD32 在最新的版本里加入了崭新的ThreatSense.Net 预警系统。该系统可说是把 ThreatSense®的优秀病毒分析能力，由个人计算机范围拓展至全球性的规模处理；每当客户端的 ESET NOD32 遇到疑似病毒的文件时，便可自动或手动地将该文件压缩加密，并经由电邮寄送到 sample@eset.com ，快速地交由 ESET 总部的专家进行分析研究；一旦确定为病毒，ESET便迅速进行后续的处理。

　　小结

　　互联网的普及，让新病毒能在极短时间内迅速传播至世界上的每一个角落；恶意程序的作者们在编写新的病毒、蠕虫与间碟软件时，也致力于如何绕过杀毒软件的法眼，包括利用各种加壳与加花技术来伪装，好让自己的「大作」能侵入系统大肆破坏。很多杀毒软件厂商为了更迅速应对危机，无不强调其病毒数据库更新之快；但无论行动有多么迅速，在病毒首次出现与用户成功更新数据库之间，还是存在一段时间差，这段时间差可由数分钟到长达数天不等。而ESET NOD32采用了基因码 (Generic Signature) 检测，虚拟机，代码分析等业界领先的启发式技术，即使病毒是由已知病毒变种而来的新病毒，病毒库内并无与之相关的特征数据，ESET NOD32还是能够将此新病毒识别与清除，让这些新病毒没有藏身之地。

　　例如，在 2005 年 9 月出现的 Win32/Bagle.DC 与 Win32/Bagle.DD 蠕虫病毒，特性是通过电子邮件方式感染，当时以每小时 2000 封电邮的速度向外传播；它在设计上故意避开了依靠特征检测的系统，使绝大部分依靠特征更新的杀毒软件无法作出实时响应。而 ESET NOD32 的 ThreatSense®引擎则迅速发现该病毒的入侵，显示了主动式与实时防护的重要性。事实上，在国际权威的主动式防护测试里，ThreatSense®引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus)，表现卓越！