什么是多态性病毒？

计算机病毒是一种程序或恶意代码，它会在计算机之间传播，并对系统造成破坏。这种病毒通过将自身的副本附加到某个程序文件中来传播。病毒会不断复制自己，同时还会显示一些信息。此外，病毒还可能将部分恶意代码植入到某些程序中，这些程序能够破坏程序、删除文件、格式化硬盘，甚至摧毁有价值的信息。

多态性病毒：

“Poly”指的是“许多”，而“morphic”则指的是“形态”。因此，顾名思义，多态性病毒是一种复杂的计算机病毒。这种病毒在传播过程中会改变自己的形态，从而避免被反病毒程序检测到。它是一种自加密病毒，它包含一个变异引擎以及一段能够自我传播的程序代码。

这种多态性病毒由以下部分组成：

• 一种解密程序/方法。
• 一种经过加密处理的病毒体。
• 一种能够生成随机解密程序的突变引擎。
• 在多态型病毒中，变异引擎和病毒体都是经过加密处理的。
• 当被感染的程序被执行时，病毒的解密程序会控制计算机，从而解压出病毒体以及变异引擎。之后，控制权会被转移给病毒本身，而病毒会寻找一个新的目标来感染。
• 由于病毒体的数据被加密了，而且解密程序也因感染方式的不同而有所差异，因此病毒扫描器无法识别固定的签名或固定的解密程序。这就使得病毒难以被检测出来。

多态性病毒的工作原理：

每当防病毒软件检测到某种病毒时，该病毒就会被列入黑名单。同时，任何具有类似特征的病毒也会被自动阻止。 对于这种多态性病毒来说，每次发生突变时，病毒的基本功能仍然保持不变。尽管病毒的签名或解密程序会发生变化，但病毒所发挥的基本功能则不会受到影响。 那些采用传统签名检测方式的杀毒软件，在签名和解密程序发生变化后，就无法再找到并阻止恶意代码了。 因此，这种病毒会复制自身以及其变异机制。 然后，会调用变异引擎，从而生成一个新的解密程序。这个新的解密程序与之前使用的解密程序完全不同。 接下来，该病毒会将其自身的代码以及变异引擎进行加密处理。同时，它还会将新的解密程序、被加密的病毒代码以及变异引擎附加到新程序中。

多态性代码是如何生成的呢？

多态代码在运行过程中会同时使用变异引擎以及多态代码本身。 该变异引擎会生成一个随机的解密程序，并将多态代码的文件名从“感染”改为“感染”。 该病毒会找到新的程序来感染它们，并将自身的副本以及变异引擎的副本附着到这些新程序中。 这有助于这种多态性病毒在系统中传播，并造成破坏，而不会被基于传统签名检测方式的任何杀毒软件所检测到或阻止。

多态性病毒的检测

多态性病毒很容易欺骗基于签名检测的传统杀毒软件。不过，这些病毒可以被新的安全技术所识别，这些技术利用机器学习和行为检测来发现系统中的任何异常行为。

1. 基于行为的检测：这种技术不仅分析代码，还分析病毒的行为。这有助于识别出具有类似行为的病毒。
2. 启发式扫描：这种技术关注的是不同威胁所共有的组件，而不是寻找与某个特定威胁完全匹配的组件。这有助于识别新的变种病毒。

多态性病毒的例子

1. URSNIF
2. CryptoWall
3. VIRLOCK
4. VOBFUS
5. 比博恩
6. 风暴蠕虫

预防多态性病毒：

1. 不要打开来自可疑来源的任何链接或附件。
2. 不会从未经授权的来源下载任何软件。
3. 请确保您的系统和软件保持最新状态。
4. 定期更新密码。
5. 采用启发式扫描方法
6. 保留数据备份。
7. 采用先进的基于行为的检测技术。