Giả sử cây chỉ thị nhị phân cĩ n nút. Do chỉ duyệt trên một nhánh nào đĩ của cây nhị phân nên mỗi lần duyệt, số nút giảm đi một nửa. Trong trường hợp xấu nhất, thuật giải tìm kiếm phải thực hiện i lần sao cho 2i = n, tức là i = logn. Do đĩ, độ phức tạp của thuật giải xử lý lệnh của máy ảo cĩ độ phức tạp là O(logn).
Trong thực nghiệm, máy ảo chẩn đốn B-class của MAV cĩ: - Bộ nhớ làm việc 64 KB RAM
- 256 vector ngắt 4-byte đặt tại địa chỉ 0000:0000 của máy ảo - 512 byte thơng tin điều khiển của máy ảo, timer cục bộ…
- Các biến nhớ đĩng vai trị của các thanh ghi gồm cờ nhớ, AX, BX, CX, DX, CS, ES, DS, SS, SP, BP, DI, SI và IP.
- Bộ chỉ thị và bộ xử lý lệnh tương thích CPU 80x86/Pentium
Để máy ảo hoạt động trên HĐH Windows32, MAV xây dựng thêm một hàm ánh xạđịa chỉ bộ nhớ giữa hai cơ chếđịnh vị địa chỉ tương đối (segment:offset) của MSDOS và định vịđịa chỉ bộ nhớ phẳng (flat memory) của Windows 32.
Bảng 3.4: Kết quả thực nghiệm bài tốn chẩn đốn lớp virus B-class
Lần thSửố nghi virus ệm cSậốp nh virus ật phát hiSố virus ện cSảốnh báo virus Sbốỏ virus sĩt Độxác (%) chính báo (%) Độ dự cĐộậy (%) tin
1 180 120 118 55 7 98.33 88.71 96.11 2 174 116 114 51 9 98.28 85.00 94.83 3 184 123 119 57 8 97.01 87.69 95.65 4 168 112 110 49 9 98.21 84.48 94.64 5 178 119 116 53 9 97.75 85.48 94.94 Trung bình: 97.92 86.27 95.24 Hình 3.6: Hàm bổ sung tri thức Heuristic function (1) (2) (3)
Kết quả thực nghiệm (bảng 3.4) cho thấy bài tốn B-class cĩ độ tin cậy trên 95%. Các trường hợp nhầm tên do các virus sử dụng cùng tập lệnh khởi động nhưng điểm vào lệnh khác nhau. Các mẫu thất bại do virus sử dụng kỹ thuật mã hĩa phức tạp (số vịng lặp giải mã lớn gây tràn ngăn xếp máy ảo). Chỉ sử dụng tập miền, bài tốn B-class cĩ thể dự báo boot virus khơng cần CSDL virus mẫu. Tuy nhiên nhược điểm của phương pháp này là phức tạp trong cài đặt.