在对未知病毒的查杀上,国际计算机反病毒领域主要有虚拟机、启发式、“沙盒”三大主流技术。目前,这三项技术在国内已经在江民科技最新推出的KV2009版本上得到成功应用。
虚拟机技术近年来提的较多。虚拟机的原理是在系统上虚拟一个操作环境,然后在这个虚拟环境下运行病毒,在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面,许多未知病毒其实是换汤不换药,只是把原病毒加了一个壳,如果能成功地把病毒的这层壳脱掉,就很容易将病毒清除了。对于虚拟机的应用,许多反病毒专家各执一词,有人强调虚拟机杀毒技术,认为这项技术可以很好地清除未知病毒。而有的专家则对此持保留态度,原因是虚拟机需要占用太多的系统资源,虚拟机功能的强大是建立在消耗大量的系统资源基础上的,过分强调和应用虚拟机杀毒技术,可能会导致整个操作系统都不能进行其它工作。
江民杀毒软件KV2009对虚拟机的应用恰到好处。KV2009应用虚拟机对病毒进行脱壳处理,目前除了通常的壳以外,还增强了对花指令和生僻壳的脱壳能力。在对未知病毒的处理上,KV2009并不单纯依赖虚拟机,这就大大降低了占用系统资源,确保强大的杀毒功能外,电脑仍然能够顺利流畅地进行其它工作。
启发式近年来在国外杀毒软件中提的较多。启发式分为静态启发和动态启发,静态启发有点相当于广谱特征码技术,在杀毒软件中内置一个特别的启发特征库,然后将病毒的原码与这个库进行比较,如果符合这个库里的病毒特征,就将其报为相应的病毒。江民杀毒软件KV2009不但具有静态启发,而且还有动态启发,动态启发与虚拟机结合的十分紧密,目前主要应用在对花指令病毒的扫描和查杀。
“沙盒”技术是国际反病毒业界近年来最新提出的反病毒新概念,多数杀毒厂商尚处于实验室研究阶段,江民杀毒软件KV2009成为国内首家将该项新技术应用到产品中的专业杀毒厂商。
虽然同为防范未知病毒的杀毒技术,“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截,终止运行;“沙盒”技术是发现可疑行为让程序继续运行,当发现的确是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演,但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后,“沙盒”则会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。