概述

特征

概述

“千面人”是难于识别的。假如一个人有1000张面相，人们无法确认他是谁。多态性病毒就是病毒世界的“千面人”。

多形型病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。多形型病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更困难，并还会带来许多的误报。国际上造成全球范围传播和破坏的第一例多态型病毒是TEQUTLA病毒，从该病毒的出现到编制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。

特征

采用多形性病毒技术的计算机病毒叫做多形性病毒，又称多态性病毒，这种病毒在每次感染时，放入宿主程序的代码互不相同，不断变化。同一种病毒的多个样本种，病毒代码不同，几乎没有稳定代码。所有采用特征法的检测工具都不能识别它们。

诚然，多态性病毒的出现确实给传统的特征代码检测法带来巨大冲击，甚至有人认为在静态的方式下检测这种病毒是不可能的。但是世界上从来就不存在十全十美的事物，同样，多态性病毒也存在一些不可弥补的缺陷。

因此，反病毒技术不能再停留在等待被病毒感染，然后用查病毒软件扫描病毒，最后再杀病毒这样被动的状态，而应该用主动防御的方法，用病毒行为跟踪的方法，在病毒要进行传染，要进行破坏的时候发出警报并及时阻击病毒的任何有害操作。这就是针对病毒行为的预警系统的工作原理，英语上称之为Activity Trap技术。

摘自陈立新《计算机病毒防治百事通》 清华大学出版社