虚拟机脱壳技术详解

　　2.脱壳

　　马甲“能穿也能脱”。相应的，有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法：硬脱壳和动态脱壳。

　　第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

　　第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

瑞星杀毒软件提供了强大的虚拟机脱壳技术

　　虚拟机脱壳引擎（VUE）技术

　　对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且，“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。

　　“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难，即使有雄厚的研发实力，也未必能在短时间内达到实用的程度。

　　经过四年多的技术创新和积累，瑞星“虚拟机”研发团队攻克了多项技术难题，在虚拟CPU、计算机周边设备的仿真模拟等方面取得了突破性的进展，在虚拟环境中可以同时运行数个完整的操作系统，成为继微软、VMWare之后全球第三家拥有自主知识产权的商用“虚拟机”技术的软件厂商。

　　通过将商用虚拟机的核心技术应用到反病毒引擎当中，瑞星“虚拟机脱壳”引擎可以将各种“加壳”病毒还原为原始状态，从而干净彻底的将其清除。

　　通过介绍，相信大家对于“加壳”、“脱壳”技术已经有所了解，确实只要装有瑞星全功能安全软件等反病毒产品，就可以有效查杀加壳文件，并通过虚拟机脱壳技术快速识别病毒“马甲”。

　　下面则是本周的相关安全预警和播报信息。