技術(shù)領(lǐng)域：

本發(fā)明涉及計(jì)算機(jī)病毒防治和數(shù)據(jù)分析與處理領(lǐng)域，特別涉及一種應(yīng)用于用來(lái)防治計(jì)算機(jī)病毒的自動(dòng)化分析系統(tǒng)中的計(jì)算機(jī)病毒的動(dòng)態(tài)行為捕獲方法。

背景技術(shù)：

所謂計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼；計(jì)算機(jī)病毒具有以下幾個(gè)基本特征：(1)潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)及程序中；(2)當(dāng)達(dá)到一定條件時(shí)被激活；(3)對(duì)計(jì)算機(jī)資源具有破壞作用的程序或者指令集合；就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的自我復(fù)制能力，它們能把自身附著在各種類(lèi)型的文件上，當(dāng)文件被復(fù)制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。

隨著計(jì)算機(jī)軟硬件水平的不斷發(fā)展，近年來(lái)，計(jì)算機(jī)病毒技術(shù)也是突飛猛進(jìn)，黑客和間諜技術(shù)也在不斷更新改進(jìn)，計(jì)算機(jī)病毒對(duì)人類(lèi)造成的影響也越來(lái)越大；當(dāng)前，計(jì)算機(jī)病毒正呈現(xiàn)出傳播方式、傳播途徑以及破壞方式更加多樣化的趨勢(shì)。

據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心綜合觀察分析認(rèn)為：“目前計(jì)算機(jī)病毒的網(wǎng)絡(luò)化趨勢(shì)更加明顯，病毒的入侵主要來(lái)自蠕蟲(chóng)病毒，同時(shí)集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)”，計(jì)算機(jī)病毒表現(xiàn)出以下特點(diǎn)：傳播方式和途徑多樣化；病毒的欺騙性日益增強(qiáng)；病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動(dòng)在線(xiàn)升級(jí)和自我保護(hù)能力；病毒編制采用了集成方式等。

綜合上述分析，今后計(jì)算機(jī)病毒的發(fā)展趨勢(shì)是：群發(fā)郵件病毒將大量出現(xiàn)；針對(duì)系統(tǒng)漏洞的具有遠(yuǎn)程控制功能的病毒將越發(fā)突出；病毒和垃圾郵件編寫(xiě)者將不斷加強(qiáng)合作；病毒編寫(xiě)者更加年輕化、更有組織性。計(jì)算機(jī)病毒具有極強(qiáng)的繁殖感染能力，而因計(jì)算機(jī)病毒所造成的危害正在加劇，病毒危害主要包括系統(tǒng)崩潰、網(wǎng)絡(luò)癱疾、系統(tǒng)設(shè)置被修改、電腦使用受限、數(shù)據(jù)丟失等。

常見(jiàn)的病毒檢測(cè)方法有以下幾種：

(1)特征碼技術(shù)

特征碼技術(shù)是一種基于對(duì)已知病毒分析、查解的反病毒技術(shù)。它作為反病毒技術(shù)中最基本的技術(shù)被沿用至今，也是到目前為止各類(lèi)反病毒軟件仍普遍采用的技術(shù)。特征碼是一串二進(jìn)制位信息，它能唯一標(biāo)識(shí)某一非法程序，研究人員通過(guò)對(duì)非法程序樣本的分析，提取出“特征碼”寫(xiě)入反病毒軟件的特征碼庫(kù)，通過(guò)對(duì)用戶(hù)指定的某個(gè)或某幾個(gè)文件進(jìn)行掃描，以確定是否包含非法程序的特征碼。

特征碼技術(shù)的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱(chēng)、誤報(bào)警率低，被公認(rèn)為檢測(cè)已知病毒的最簡(jiǎn)單、開(kāi)銷(xiāo)較小的方法；其缺點(diǎn)是不能檢測(cè)新病毒、捕獲已知病毒的特征代碼，費(fèi)用開(kāi)銷(xiāo)大、在網(wǎng)絡(luò)上效率低，因長(zhǎng)時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能降低。

(2)虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)是一種啟發(fā)式探測(cè)未知病毒的反病毒技術(shù)。虛擬機(jī)技術(shù)的主要作用是能夠運(yùn)行一定規(guī)則的描述語(yǔ)言；由于病毒的最終判定準(zhǔn)則是其復(fù)制傳染性，而這個(gè)標(biāo)準(zhǔn)是不易被使用和實(shí)現(xiàn)的，如果病毒已經(jīng)傳染了才判定它是病毒，定會(huì)給病毒的清除帶來(lái)麻煩。

虛擬機(jī)實(shí)質(zhì)是在反病毒系統(tǒng)中設(shè)置的一種程序機(jī)制，它能在內(nèi)存中模擬一個(gè)操作系統(tǒng)環(huán)境，待查文件在虛擬機(jī)上執(zhí)行，其效果如同物理機(jī)。虛擬機(jī)實(shí)際是用軟件的方法模擬地執(zhí)行所有的或者設(shè)計(jì)者關(guān)心的CPU指令，營(yíng)造一個(gè)虛擬的、可觀察的、可控制的目標(biāo)程序運(yùn)行環(huán)境。

在處理加殼或變形的木馬和蠕蟲(chóng)方面，虛擬機(jī)被作為一個(gè)比較理想的選擇。虛擬機(jī)技術(shù)仍需要與傳統(tǒng)技術(shù)相結(jié)合，其本質(zhì)上的檢測(cè)判斷方法依然是特征碼檢查，對(duì)于那些經(jīng)過(guò)修改而不是簡(jiǎn)單的加殼后的惡意軟件效果比較有限。

(3)啟發(fā)式掃描技術(shù)

啟發(fā)式掃描技術(shù)是一種基于人工智能領(lǐng)域啟發(fā)式分析手段的檢測(cè)技術(shù)，啟發(fā)式掃描能夠發(fā)現(xiàn)一些應(yīng)用了已有機(jī)制或行為方式的未知病毒。啟發(fā)式掃描一般包括靜態(tài)掃描方式和動(dòng)態(tài)掃描方式兩種。啟發(fā)式掃描是通過(guò)分析指令出現(xiàn)的順序，或特定組合情況等常見(jiàn)病毒的標(biāo)準(zhǔn)特征來(lái)決定是否為病毒。

靜態(tài)啟發(fā)式掃描技術(shù)和基于特征碼的靜態(tài)掃描類(lèi)似，也是靜態(tài)掃描待測(cè)程序的代碼，但不同的是前者查找非法程序的特征碼，而后者則查找非法程序的行為，而這些行為是通過(guò)某些相應(yīng)的代碼序列來(lái)確定的；通過(guò)掃描某個(gè)待測(cè)文件當(dāng)中的可執(zhí)行代碼，查找與非法程序行為相對(duì)應(yīng)的代碼序列，掃描結(jié)束后，關(guān)聯(lián)所有查找到的序列，并與非法程序的典型行為模式相對(duì)照，最終做出判斷。