計算機病毒嚴重威脅著計算機系統的安全，多態病毒采用自動變形技術對抗特征碼
檢測，本文介紹了利用虛擬機技術的病毒檢測引擎的工作原理，討論了目前存在的效率問題，提出一個采用啟發式掃描的檢測引擎模型。
近幾年中計算機病毒正以驚人的速度蔓延,對計算機系統的安全構成了威脅。早期的計
算機病毒并沒有采用自動變形技術,都具有固定的特征碼。因此，反病毒軟件可以利用病毒特征碼匹配很容易的檢測出隱藏在系統中的病毒程序。然而，病毒和反病毒技術這種“矛與盾”的斗爭中,盡管反病毒專家采用了各種各樣的方法來檢測計算機病毒,但是新病毒還是層出不窮,而且技術水平越來越高,隱蔽性越來越強。現在許多病毒采用自動變形技術來逃避特征碼檢測技術的檢測，這就是所謂的多態病毒。多態病毒是指每次傳染產生的病毒副本在外觀形態上都發生變化的病毒。因此,多態病毒在外觀形態上沒有固定的特征碼。
多態病毒之所以能產生自動變形是因為其內部有一種變形機構,本文稱之為多態變形引
擎(Polymorph Engine)。下面分析多態病毒的變形機制，多態病毒的變形引擎主要由五部分組成:預處理器(Preprocessor)、還原器(Restorer)、病毒體(Virus Main Code)、變形驅動
器(Polymorph Driver)、變形器(Polymorph Processor)，五部件相互協作,共同完成傳染和
變形[1]。預處理器在病毒進入內存時對病毒進行預處理,如將分塊寄生的病毒進行組裝。還原器在病毒進入內存后將被變形器變形的部分還原。病毒體代碼完成普通病毒的常規任務,如傳染、破壞等。變形驅動器是對病毒產生變形的變形控制部件。變形驅動器對預處理器和還原器產生代碼等價變形,調用變形器對其它部件產生變形。變形器使病毒體代碼、變形驅動器和變形器產生變形，還原器是變形器的逆變換器。由于變形器在對同一數據或代碼進行兩次變形時,所得到的兩個結果相同的概率很小,所以假定變形器對同一數據的多次變形運算都會得到不同結果。多態病毒采用的這種程序演化的技術，使基于特征碼檢測的反病毒軟件徹底失去作用。