什么是多形性(幽灵病毒)病毒
多形型病毒是这样的病毒:它产生了与它自身不同的,但是操作可用的拷贝,这些目的是希望病毒扫描程序将不能检测到所有的病毒的情况。
一个不被扫描病毒检测程序发现的方法就是使用可变的加密钥匙进行自我加密
有一些病毒(例如: Cascade)不是“多形态的”,因为它们的解密代码总是相同的。
因此在简单的字符-驱动病毒扫描程序中可以将解密码作为一个扫描字符串。
制造多形态病毒的技术是选择变化的不同的加密术,要求相应匹配的不同的解码程序:
在这些程序中有唯一的一个程序可以在所有的病毒事例中清楚的发现。(例如:Whale病毒)。
一个会扫描字符串-驱动的病毒扫描程序将不得不使用几个扫描字符串来有效的鉴别这类病毒。
更复杂的多形性病毒(例如:v2p6)他们通过交换互相独立的命令或者在变量中改变指令的顺序设置解码指令和“噪音”指令(例如不运行指令或者把任意的值装载到当前未使用的登记指令里)或者产生相同效果的操作(如:A-A MOV 0 A),一系列的病毒扫描程序将不能令人信赖地识别全部这种类的病毒的变化性;在深入彻底的研究了这种病毒之后,一个更著名的“扫描引擎”被创造出来。
迄今为止最狡猾的的多形态病毒的形式是“Mutation Engine” (MtE),以目标模块的形式来开始的。
一类的病毒能够成功的变形,通过增加几个特定的调用汇编程序源代码并且链接到变化的任意的中断模块。
多形态病毒的出现说明病毒-扫描将更加困难,而且也需更加努力;
把几个扫描引擎简单叠加的扫描程序并不能恰当的处理这些病毒。
