根據(jù)ESET NOD32 08年病毒分析實(shí)驗(yàn)室捕獲的數(shù)據(jù)統(tǒng)計(jì)，2008年12月爆發(fā)量最大的是盜號(hào)木馬和U盤病毒，這兩種病毒占到了捕獲樣本總數(shù)的 24% 。這個(gè)是對(duì)病毒制作經(jīng)濟(jì)利益最大化，制作流程產(chǎn)業(yè)化的一個(gè)最好證據(jù)。隨著網(wǎng)絡(luò)游戲，網(wǎng)上購物等活動(dòng)的興起，病毒作者看到可以通過竊取游戲帳號(hào)，銀行帳號(hào)，傳播廣告等方式來進(jìn)行獲利，因而他們有了更大的動(dòng)力來開發(fā)各種的惡意程序，包括：惡意網(wǎng)頁代碼、盜號(hào)木馬、間諜軟件、網(wǎng)絡(luò)釣魚及垃圾郵件等。

　　由于大量惡意程序的涌現(xiàn)，殺毒軟件和病毒的技術(shù)競(jìng)爭(zhēng)也愈加激烈。病毒作者會(huì)利用新的技術(shù)隱藏自己躲避殺毒軟件的查殺，或者尋找新的傳播方式，或者甚至主動(dòng)破壞殺毒軟件。一個(gè)典型的案例是2008年2月份在國內(nèi)爆發(fā)的“磁碟機(jī)”病毒。該病毒爆發(fā)后，每日會(huì)有數(shù)個(gè)變種產(chǎn)生來躲避殺軟的檢查，感染量達(dá)到數(shù)百萬臺(tái)計(jì)算機(jī)。同時(shí)，殺毒軟件本身也在不斷進(jìn)化。那么，現(xiàn)在殺毒軟件的主流技術(shù)有哪些呢？我們將給大家作一個(gè)簡(jiǎn)要的介紹。

　　(1)基因碼檢測(cè)技術(shù)

　　直到現(xiàn)在，幾乎所有的殺毒軟件主要還是通過病毒數(shù)據(jù)庫里的病毒特征數(shù)據(jù)，與被掃描的文件加以對(duì)照，從而把符合條件的真正的病毒區(qū)分出來。由于幾乎每天都有新病毒或變種出現(xiàn)，各殺毒軟件廠商也只有不斷進(jìn)行特征更新 (Signature Update) 與擴(kuò)充自己的病毒數(shù)據(jù)庫，才能確保盡快把最新的病毒特征數(shù)據(jù)收錄其中。

　　這種處理方法看似簡(jiǎn)單有效，但網(wǎng)絡(luò)世界里出現(xiàn)過的病毒高達(dá)7萬多種，即使是仍活躍的病毒種類也達(dá)到數(shù)千種以上；若病毒數(shù)據(jù)庫要一口氣全部收錄，數(shù)據(jù)庫體積必然非常龐大，就是在掃描系統(tǒng)時(shí)進(jìn)行逐個(gè)數(shù)據(jù)對(duì)照，過程也極為費(fèi)時(shí)。因此，像ESET NOD32 等先進(jìn)的殺毒軟件，已逐漸改變這種特征檢測(cè) (Signature-based Detection) 的查毒方式，進(jìn)而采用較新型的基因碼 (Generic Signature) 檢測(cè)技術(shù)。采用基因碼技術(shù)后，病毒特征和病毒庫的大小都得到了簡(jiǎn)化。

　　病毒特征化繁為簡(jiǎn)

　　所謂基因碼，就是指同一病毒族群中的不同變種，多半含有相同的病毒特征。不少病毒最初是以單一品種出現(xiàn)，后經(jīng)由其它病毒作者修改或自行演化，最后變成數(shù)十種以上的病毒變種。若以傳統(tǒng)特征檢測(cè)方式處理，病毒數(shù)據(jù)庫便要為每一種病毒變種制作一份獨(dú)立的特征數(shù)據(jù)；而較新的基因碼檢測(cè)技術(shù)，則會(huì)從各變種中找出共同之處，包括一些非連續(xù)的程序代碼，以此找出同一類型病毒的普遍特征。

　　縮小病毒數(shù)據(jù)庫的體積

　　這樣，在進(jìn)行系統(tǒng)掃描時(shí)，由于采用較少的特征數(shù)據(jù)就能檢測(cè)龐大的病毒種類，因此進(jìn)行特征對(duì)照時(shí)便能大大縮短時(shí)間。同時(shí)，對(duì)于由同一種源頭變化出來的新變種，只要吻合該族群的普遍特征條件，即使未更新病毒數(shù)據(jù)庫亦很有可能成功進(jìn)行識(shí)別。因此，ESET NOD32 更新病毒數(shù)據(jù)庫所用的時(shí)間極短，每次更新不過下載 20KB 至 50KB 不等，絕不會(huì)加重網(wǎng)絡(luò)與硬盤的負(fù)擔(dān)。

　　(2)虛擬機(jī)技術(shù)

　　針對(duì)變形病毒、未知病毒等復(fù)雜的病毒情況，極少數(shù)防病毒軟件采用了虛擬機(jī)技術(shù)，達(dá)到了對(duì)未知病毒良好的查殺效果。它實(shí)際上是一種可控的，由軟件模擬出來的程序虛擬運(yùn)行環(huán)境。在這一環(huán)境中虛擬執(zhí)行的程序。雖然病毒通過各種方式來躲避防病毒軟件，但是當(dāng)它運(yùn)行在虛擬機(jī)中時(shí)，它并不知道自己的一切行為都在被虛擬機(jī)所監(jiān)控，所以當(dāng)它在虛擬機(jī)中脫去偽裝進(jìn)行傳染時(shí)，就會(huì)被虛擬機(jī)所發(fā)現(xiàn)，如此一來，利用虛擬機(jī)技術(shù)就可以發(fā)現(xiàn)大部分的變形病毒和大量的未知病毒。

　　(3)代碼分析技術(shù)

　　為了對(duì)付病毒的不斷變化和對(duì)未知病毒的研究，代碼分析掃描方式出現(xiàn)了。代碼分析掃描是通過分析指令出現(xiàn)的順序，或特定組合情況等常見病毒的標(biāo)準(zhǔn)特征來決定文件是否感染未知病毒。因?yàn)椴《疽_(dá)到感染和破壞的目的，通常的行為都會(huì)有一定的特征，例如讀寫敏感文件，自我刪除、自我復(fù)制，獲取操作系統(tǒng)底層權(quán)限等等。所以可以根據(jù)掃描特定的行為或多種行為的組合來判斷一個(gè)程序是否是病毒。

    為了強(qiáng)化 ThreatSense? 引擎的準(zhǔn)確性與效率，ESET NOD32 在最新的版本里加入了嶄新的ThreatSense.Net 預(yù)警系統(tǒng)。該系統(tǒng)可說是把 ThreatSense? 的優(yōu)秀病毒分析能力，由個(gè)人計(jì)算機(jī)范圍拓展至全球性的規(guī)模處理；每當(dāng)客戶端的 ESET NOD32 遇到疑似病毒的文件時(shí)，便可自動(dòng)或手動(dòng)地將該文件壓縮加密，并經(jīng)由電郵寄送到 [email protected] ，快速地交由 ESET 總部的專家進(jìn)行分析研究；一旦確定為病毒，ESET便迅速進(jìn)行后續(xù)的處理。

　　(4)主動(dòng)防御技術(shù)

　　一般意義上的“主動(dòng)防御”，就是全程監(jiān)視進(jìn)程的行為，一但發(fā)現(xiàn)“違規(guī)”行為，就通知用戶，或者直接終止進(jìn)程。它一般會(huì)對(duì)一些敏感的注冊(cè)表鍵值，系統(tǒng)文件，網(wǎng)絡(luò)訪問進(jìn)行監(jiān)控，如果有程序企圖修改這些敏感區(qū)域，就會(huì)提示用戶。

　　但是它也存在著一個(gè)弊端,就是殺毒軟件會(huì)不斷地彈出提示,詢問用戶是否允許。如果你不懂計(jì)算機(jī),那么將很難應(yīng)付,需要選擇操作的東西很多. 所以不適合大部分的普通用戶.

　　ESET NOD32 的啟發(fā)式技術(shù)，綜合利用了基因碼，虛擬機(jī)，代碼分析，和傳統(tǒng)的病毒庫技術(shù)。利用各種技術(shù)之間的優(yōu)劣互補(bǔ)來提升整體的防病毒能力。