计算机病毒技术新动向
计算机病毒的广泛传播，推动了反病毒技术的发展，新的反病毒技术的出现，又迫使计算机病毒再更新其技术。
两者相互激励，螺旋式上升地不断提高各自的水平，在此过程中涌现出许多计算机病毒新技术，采用这些技术的目
的是为了计算机病毒能够广泛传播开来。

1．抗分析病毒技术
顾名思义，这种病毒技术是针对病毒的分析技术的。为了使得病毒的分析者难于分析清楚病毒原理，这种病毒
综合采用了以下两种技术：
（1）加密技术。这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下， 阅读加密过的病毒
程序。
（2）反跟踪技术。使得分析者无法动态跟踪病毒程序的运行。
显然，无法静态分析，无法动态跟踪，是无法知道病毒的工作原理的。当然这是在理想情况下，相对而言的。

2．隐蔽性病毒技术
计算机病毒刚刚开始出现时，由于人们对这种新生事物的认识不足，因而计算机病毒不需要刻意的采取什么隐
蔽技术，也能达到广泛传播的目的。然而当人们越来越了解计算机病毒，并有了一套成熟的检测病毒方法的时候，
病毒要想广泛传播开来，就应该能够躲避现有的病毒检测技术，以便不被人发现。
隐蔽自己，使人们难于发现的特性是病毒的重要特性。隐蔽好，不易被发现，可以争取较长的存活期，造成大
面积的感染，从而造成大面积的伤害。隐蔽自己不被发现的病毒技术叫做隐蔽性病毒技术，隐蔽性病毒技术是与计
算机病毒检测技术相对应的，一般来说）有什么样的病毒检测技术，就有相应的隐蔽性病毒技术。
军事上的“隐形”技术是使飞机不在敌方的防御雷达屏幕上显现成形，从而可以隐蔽地深入到敌人内部进行攻
击的技术。与此类似，当计算机病毒采用特殊的“隐形”技术后，可以在病毒进入内存后，使计算机的用户几乎感
觉不到它的存在。
1987年1月，在以色列发现了采用隐蔽性技术最早的最著名的计算机病毒-4096病毒。人们称之为既隐蔽又诡诈
的病毒。此病毒感染文件时，长度增加4096字节，而且恒定不变。它常驻内存高端，BIOS检测内存容量时，不能发
现它占用了内存。在带毒环境下，当用DIR命令查看文件时，病毒获得对系统的控制权，它把文件原先正确的长度、
日期显示给用户。受感染的EXE文件头已被改动，用DEBUG查看病毒的EXE文件头时， 用户看到的是未受感染的完全
正常的文件头。
类似4096病毒，采用隐蔽性技术的病毒已经形成一类。在带毒环境下，采用一般的方法观察，很难发现，反病
毒工具也失去作用，可能给用户造成很大的损失。
计算机病毒要做到不留一丝的痕迹是不可能的，也存在不可逾越的缺陷，因此这种病毒技术没有大大的危害性，
是可以对付的。对付“隐形”病毒最好的办法就是在未受病毒感染的环境下去观察它。

3．多态性病毒技术
“千面人”是难于识别的。假如一个人有1000张面相，人们无法确认他是谁。多态性病毒就是病毒世界的“千
面人”。
多形型病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行
加密。多形型病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更困难，并
还会带来许多的误报。国际上造成全球范围传播和破坏的第一例多形型病毒是TEQUTLA病毒， 从该病毒的出现到编
制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。
采用多形性病毒技术的计算机病毒叫做多形性病毒，又称多态性病毒，这种病毒在每次感染时，放人宿主程序
的代码互不相同，不断变化。同一种病毒的多个样本种，病毒代码不同，几乎没有稳定代码。所有采用特征代码法
的检测工具都不能识别它们。
诚然，多态性病毒的出现确实给传统的特征代码检测法带来巨大的冲击，甚至有人认为在静态的方式下检测这
种病毒是不可能的。但是世界上从来就不存在十全十美的事物，同样，多态性病毒也存在一些不可弥补的缺陷。
因此，反病毒技术不能再停留在等待被病毒感染，然后用查病毒软件扫描病毒，最后再杀病毒这样被动的状态，
而应该用主动防御的方法，用病毒行为跟踪的方法，在病毒要进行传染，要进行破坏的时候发出警报并及时阻止病
毒的任何有害操作。这就是针对病毒行为的预警系统的工作原理，英语上称之为ActivityTrap技术。

4．插入性病毒技术
一般病毒感染文件时，或者将病毒代码放在文件头部，或者放在尾部，虽然可能对宿主代码作某些改变，但从
总体上说，病毒与宿主程序有明确界限。
插入性病毒在不了解宿主程序的功能及结构的前提下，能够将宿主程序在适当处拦腰截断，在宿主程序的中部
插入病毒程序，并且必须做到：病毒首先获得运行权；病毒不能卡死；宿主程序不会因为插入病毒而卡死。
此类病毒在写作时，相当困难。宿主程序切断处不当，很容易死机。
很久以前，曾有文献介绍了此种病毒，直到1991年在保加利亚才发现了首例实战型病毒。这是最为简单的插入
性病毒，感染的是简单的COM型文件。由于插入文件的中部，如果不对病毒作剖析，采用一般的消毒工具， 很难消
除此类病毒。此类病毒给自动杀毒工具提出了新的难题。

5．超级病毒技术
超级病毒技术是一种很先进的病毒技术。它的主要目的是对抗计算机病毒的预防技术。
假定一个计算机病毒进行感染、破坏时，反病毒工具根本无法获取运行的机会，那么病毒的感染、破坏过程也
就可以顺利的完成了。由于计算机病毒的感染、破坏必然伴随着磁盘的读写操作，所以能否预防计算机病毒的关键
在于：在对磁盘进行读写操作时，病毒预防工具能否获得运行的机会以对这些读写操作进行判断分析。
超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术。一般病
毒攻击计算机时，往往窃取某些中断功能，要借助于DO5的帮助，才能完成操作。例如，在PC机中病毒要写盘， 必
须借助于原DOS的INT 13H，病毒作者知道，反病毒工具（软件的或硬件的）都是在DOS中设置许多陷阱， 等待病毒
来碰。一碰陷饼，病毒便被抓获。超级病毒作者，以更高的技术编写了完全不借助于 DOS系统而能攻击计算机的病
毒，此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DOS系统，不会掉人反病毒陷饼， 极难
捕获。一般的软件或反病毒工具遇到此类病毒都失效。
超级计算机病毒目前还比较少，因为它的技术还不为许多人所知，而且编制也有相当的难度。然而一旦这种技
术被越来越多的人掌握，同时结合多态性病毒技术、插入性病毒技术，这样的病毒将给反病毒的艰巨事业雪上加霜。

6．杀毒工具的困惑—破坏性感染病毒技术
破坏性感染病毒是针对计算机病毒消除技术的。
计算机病毒消除技术就是将患病程序中的病毒代码摘除，使之变为元毒可运行的健康程序。一般病毒感染文件
时，不伤害宿主程序代码。有的病毒虽然会移动或变动一部分宿主代码，但最后在内存运行时，还是要恢复其原样，
以保证宿主程序正常运行。
任何文件只要感染破坏性感染病毒，宿主部分便不能正常运行，如果没有副本的话，任何人、任何工具都不能
使之康复。因为无法恢复已经丢失的宿主程序代码。
Burge病毒会使文件头部丢失560字节，hahaha病毒使宿主程序丢失13592字节，最近发现的一个病毒替换了CO_
MMAND。COM中的一部分模块。如果要消毒，只有删除染毒文件。原来意义的消毒操作已无从谈起。
此类病毒，无论已知、未知的，都不可能做一般意义的杀毒操作。它是消毒工具不可逾越的障碍。
破坏性病毒虽然恶毒，然而很容易被发现，因为一旦人们发现一个程序不能完成它应有的功能，一般会将其删
除，这样的病毒根本无法传播开来的。所以这种病毒技术不会有大大的危害。

7．病毒检测工具的杀手一病毒自动生产技术
病毒自动生产技术是针对病毒的人工分析技术的。
最近，在国外出现了一种叫做“计算机病毒生成器”的软件工具，该工具界面良好，并有详尽的联机帮助，易
学易用，使得对计算机病毒一无所知的用户，也能随心所欲地组合出算法不同、功能各异的计算机病毒。另外还有
一种叫做“多态性发生器”的软件工具。利用此工具可将普通病毒编译成很难处理的多态性病毒。由此可见，病毒
的制作已进入自动化生产的阶段。
MutationEngine是一种程序变形器，它可以使程序代码本身发生变化，而保持原有功能。利用计算得到的密
钥，变形机产生的程序代码可以有很多种变化。当计算机病毒采用了这种技术时，就像生物病毒会产生自我变异一
样，也会变成一种具有自我变异功能的计算机病毒。这种病毒程序可以衍变出各种变种的计算机病毒，且这种变化
不是由人工干预生成的，而是由于程序自身的机制。单从程序设计的角度讲，这是一项很有意义的新技术，使计算
机软件这一人类思想的凝聚产物变成了一种具有某种“生命”形式的“活”的东西。但从保卫计算机系统安全的反
病毒技术人员角度来看，这种变形病毒是个不容易对付的敌手。在已知的三种MutationEngine变形机中，保加利
亚的DarkAvenger的变形机是较为著名的。这类变形病毒每感染出下一代病毒，其程序代码全发生了变化， 反病
毒软件如果用以往的特征串扫描的办法就已无法适用了。
大家知道，一个人的精力是有限的，面对批量生产的计算机病毒，如果分析，显然是人脑不可承受的，因此从
广义上说，病毒自动生产技术是针对病毒的分析技术的，它不是从“质”上，而是从“量”上来压垮病毒分析者的。

8．Internet病毒技术
由于Internet的迅速发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，
使得病毒的扩散速度也急骤提高，受感染的范围越来越广，据NCSA调查，在1994年中，只有约20％的企业受到过病
毒的攻击，但是在1997年中，就有约99.3％的企业受到病毒的攻击，也就是说几乎没有哪一家企业可以逃脱病毒的
攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或Internet感染。同样据NCSA调查，在1996年只
有21％的病毒是通过电子邮件、服务器或Internet下载来感染的，但到1997年，这一比例就达到52％。
电子邮件在服务信息社会的同时，也为计算机病毒找到了一条新的传播途径和载体。病毒为增加其隐蔽性，通
常夹在电子邮件中，并冠以熟悉的姓名或重要提示或美丽的图案，使用户不会产生任何怀疑，以诱骗用户打开邮件
及其附件。
这种病毒技术虽谈不上什么“高技术”，但它确实造成了重大影响。采用这种技术，是病毒黑手伸向互联网并
对其进行破坏的一种趋势。HAPPY99和MELISSA病毒就是其中的典型代表。
综上所述，对抗反病毒技术的病毒技术是多种多样的，在所有的方面都对反病毒技术带来严重的挑战。计算机
病毒不仅仅只是数量上的增长，而且在理论上和实践的技术上均有较大的发展和突破。从目前来看，计算机病毒技
术领先于反病毒技术。
因历史原因，以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的延续，造成了计算
机所固有的脆弱性，应该说，在今后一个相当长的历史阶段，我们必须继续加强反病毒手段的研究和超前研究。
俗话说：“知己知彼，百战不殆”。只有详细了解病毒原理以及病毒采用的各种技术，才谈得上很好的防治病
毒。也只有对病毒技术从理论、技术上做一些超前的研究，才能对“新型病毒”的出现做到心中有数，达到防患于
未然的目的。
人类抵抗生物病毒侵袭的最好办法就是增强自身的抵抗力。要使计算机免受计算机病毒的侵扰，最根本的解决
办法就是提高计算机自身的安全措施，这样才能让采用各种层出不穷新技术的病毒无“技”可施。