7.6.2　恶意代码的免疫原理

恶意代码的传染模块一般包括传染条件判断和实施传染两部分,在恶意代码被激活的状态下,恶意代码程序通过判断传染条件的满足与否决定是否对目标对象进行传染。一般情况下,恶意代码程序为了防止重复感染同一个对象,都要给被传染对象加上传染标识。检测被攻击对象是否存在这种标识是传染条件判断的重要环节。若存在这种标识,则恶意代码程序不对该对象进行传染;若不存在这种标识,则恶意代码程序就对该对象实施传染。基于这种原理,自然会想到,如果在正常对象中加上这种标识,就可以不受恶意代码的传染,以达到免疫的效果。

从实现恶意代码免疫的角度看恶意代码的传染,可以将恶意代码的传染分成两种。一种是在传染前先检查待传染对象是否已经被自身传染过,如果没有则进行传染,如果传染了则不再重复进行传染。这种用作判断是否被恶意代码自身传染的特殊标志被称作传染标识。第二种是在传染时不判断是否存在免疫标识,恶意代码只要找到一个可传染对象就进行一次传染。就像“黑色星期五”病毒那样,一个文件可能被“黑色星期五”病毒反复传染多次,滚雪球一样越滚越大。在过去,对于前一种恶意代码容易进行免疫,而对于后一种恶意代码的免疫非常难以实现。