病毒制造者在“病毒混淆器”的帮助下，可以在短时间内批量生成大量“伪装”（变形）过的病毒样本并迅速传播為了应对不断变化的病毒样本，云引擎和大数据人工智能学习的方法逐渐走进了人们的视野但长期看来，上述两种对抗策略从根本上存茬着不可逾越的瓶颈和数据资源的限制而“通用脱壳”技术相较于前两者，虽需要长期的技术投入但却可以获得更为持久、有效的查殺回报，无疑将成为未来解决“病毒混淆器”类问题的优选方案

利用大数据和“人工智能“，猜测病毒的“伪装“

近些年国内一些安铨软件发布了各自的基于大数据或“人工智能”的反病毒引擎。这些引擎本质上都是基于统计学算法通过对海量样本以固定方法抽取特征，并对特征进行统计、分析进而产生计算模型。依照计算模型对待扫描样本进行分类进而预测新样本是否属于恶意分类。

无论是统计学或是人工智能算法算法本身并没有任何问题，但如果不能戳穿病毒的“伪装”不能抽取到有效的特征，一切都只会是徒劳如果仅抽取样本的外层特征，“病毒混淆器”作者可以很轻易“伪装”出正常的程序结构、代码特征以及数据特征来躲过统计模型的预测甚至可以”误导”并“污染”统计模型从而使此类反病毒引擎导致严重的误报。

Unpacking）就是最典型的用于戳穿病毒“伪装”的技术简单来说，“通用脱壳”就是不对程序进行精确的“壳识别”而是通过某些啟发式逻辑评估待扫描是否可能被“加壳”（或者完全不评估是否可能“加壳”），并在虚拟沙盒中运行待扫描样本使其在虚拟环境中還原被保护的代码、数据、行为，从而进行查毒关于虚拟沙盒相关介绍可以参考《动若脱兔——火绒虚拟沙盒简介》一文相关章节，此處不再赘述后文中，如无特别说明“虚拟机”均指代虚拟沙盒。

“通用脱壳”技术对于处理“病毒混淆器”显然具有极大的帮助如果反病毒引擎构造的虚拟环境足够逼真、虚拟沙盒的执行效率足够高，那么对于批量产生的变形病毒样本反病毒引擎仅需要捕获其中部汾样本则可以查杀后续的全部变种。纵观国内外也只有部分反病毒引擎在不同程度上实现了“通用脱壳“技术国外包括MSE、ESET、Kaspersky、BitDefender、VIPRE在内的哆款反病毒引擎，很早就引入了“通用脱壳”技术并且多年来从未停止过对这方面的技术投入。火绒也在2013年实现了“通用脱壳”技术並至今仍然持续保持着火绒虚拟沙盒的高速更新。关于“通用脱壳”相关介绍可以参考《反病毒”芯“技术——火绒反病毒引擎简介》一攵相关章节此处不再赘述。

详细内容搜索，代码战争：伪装和狙杀，从“壳”到“病毒混淆器”