变形恶意软件

变形(metamorphic)恶意软件比多态更进一步:它不仅改变外层加密包装,而是在每次新感染中对整个载荷进行重新编译或变换。变形引擎采用指令替换、寄存器重命名、控制流扁平化、代码片段位置调换、插入死代码等技术,使两份感染样本可能没有任何相同字节序列,行为却完全一致。这使基于静态签名的检测几乎失效,需要依靠动态分析、语义相似度比较、行为型 EDR 与基于仿真的扫描器。由于实现复杂,变形引擎在普通恶意软件中较少见,但出现在学术研究、高级病毒以及部分定向工具包中。