【IT168专稿】随着互联网安全隐患的日益严重，严峻的现实要求广大计算机用户和安全厂商们在面临病毒突发事件必须作出更为迅捷的反应。这时，传统的病毒代码比对技术就显得有些力不从心了，因此，各种更为先进得杀毒技术被应用到了主流杀毒软件产品中。以下四种技术，是我们最常用到的。他们到底谁对目前的网络病毒的防范能力更强呢？

　　启发杀毒

　　过去单纯通过病毒特征库的严格比对，来判别病毒的杀毒方式总是会“慢半拍”。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代，以“主动防御”功能为主要特征的新一代防病毒体系已经完全确立了起来，相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领。

　　启发杀毒技术就是“主动防御”中的一种，是现在对付未知威胁的主要手段。启发分析技术可以分析程序编码，来判定程序是否具有恶意。启发杀毒技术中非常先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作，该程序将被归类为危险程序，并立即拦截。不同于以特征码为基础的方法，启发杀毒技术可以检测出已知和未知的病毒，但是如果启发杀毒技术控制的不好，会产生不少误报（这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因）。

　　行为杀毒

　　从2006年开始，行为杀毒技术逐渐风行，行为杀毒工具是在应用程序执行时分析其行为，并拦截任何可能危险活动的行为。和启发杀毒技术特别是利用了虚拟机的启发技术不同，行为杀毒乃是在实际系统的环境中运作，所以被病毒欺骗的可能性几乎没有。

　　如今的行为杀毒技术可监控系统中各式各样的事件。可以控制各种危险的活动，并将所有对系统设置和程序的变化资料储存下来，并设立完善的行为白名单。如果应用程序有危险的动作，行为杀毒模块会提醒用户，指出这种行为的危险性并同时拦截等用户处理。拦截工具还可拦截任意Dll注入其他处理程序的行为。拦截工具还可检测到Rootkit行为。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后，恢复变更，借以还原系统至感染前的状态

　　虚拟机技术在杀毒软件中现在也有非常多的运用，特别是在启发杀毒技术中，一些启发技术比较成熟的杀毒软件都在他们动态启发杀毒技术中运用了虚拟机技术。目前全球安全行业面临的最大难题，就是在商业利益的驱使下，黑客和病毒制造组织跟安全公司的直接对抗，而“加壳”则是病毒制造者最有力的武器，他们通过这种方式制造海量的变种病毒，让反病毒公司在“毒海”中疲于奔命，重复着新病毒监测、样本收集、解壳和杀毒软件升级等繁重工作。

　　“虚拟机脱壳”（VUE）是在计算机中构建一个仿真的运行环境，让加壳病毒在运行中自行脱壳、还原到原始形态，这样就能方便、彻底地将病毒清除掉。将商用虚拟机的核心技术应用到杀毒引擎中，不但能彻底解决“多重加壳”病毒这一困扰全球反病毒业界的难题，还可以将杀毒软件的病毒库减小1/3，并极大降低对系统资源的占用，使电脑运行得更流畅。

　　有统计数据显示，2006年1月到10月间截获的新病毒，约有90%以上是“加壳”病毒，国外流行的“威金”、国内流行的“灰鸽子”等恶性病毒，加壳率几乎达到100%。所谓“加壳”，就是给恶性病毒包上杀毒软件难以识别的外壳，某些黑客制造出来的病毒，甚至加了近10层外壳，如果用常规的解壳杀毒技术，很难彻底地层层解壳，并最终清除该病毒。

　　但是现在一些设计先进的病毒，能够识别出这种简化虚拟机环境和真实环境的差别，在这种环境下不发作！所以随着当前硬件的发展（目前特别是在CPU上加入虚拟化技术已经越来越多），为了对付一些智能病毒，只能在兼顾效率的情况下越来越完善虚拟机和行为判断技术。今年各大厂商在虚拟机杀毒方面的较量主要还是在这两个方面。

　　结束语

　　通过以上分析可以看出，目前的杀毒软件中都包含了两种以上的技术，因为这些技术都在各自的领域有所专长，谁也不能完全取代谁，谁也不能做到能查杀所有病毒，必须互为补充。就像前一阵子的“熊猫烧香”病毒，行为杀毒技术的效果就要好于启发杀毒技术，而对于“灰鸽子”病毒，显然虚拟机脱壳技术更有效。更重要的是，有特殊病毒依靠专杀工具才能达到防范的效果，就像“尼姆达”病毒。当然，除了查杀病毒，做好数据的备份才是最万无一失的好办法。