常用的五大殺毒軟件引擎分析！

諾頓

　　這個(gè)最熟悉了，諾頓的殺毒軟件實(shí)際上防止偵測方面做得并不是很好，很多病毒程序在子程序段中經(jīng)常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強的自身防護技術(shù)。諾頓的引擎應該是完全自成封閉體系的，沒(méi)有資料證實(shí)諾頓曾經(jīng)購買(mǎi)或者借鑒過(guò)別的殺毒引擎。傳聞很多公司都在設計時(shí)參考過(guò)卡巴斯基的泄漏版引擎設計，因此曾經(jīng)在微軟社區在線(xiàn)聊天時(shí)，問(wèn)過(guò)這個(gè)問(wèn)題?；刭N一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無(wú)必要，它自己的引擎搞得挺好的。有一個(gè)叫fenssa的家伙甚至回貼說(shuō)不考慮病毒庫因素，諾頓的殺毒引擎相當先進(jìn)，綜合防護性能很好。

　　在微軟，除了用mcafee的就使用諾頓的(這一點(diǎn)我比較相信，很少見(jiàn)到別的殺軟在微軟被使用)。從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A的一個(gè)家伙搞的一篇叫虛擬機環(huán)境下諾頓工作過(guò)程的步進(jìn)追蹤和反編的文章來(lái)看，諾頓的殺毒引擎應該是傳統的靜態(tài)代碼對應與實(shí)時(shí)監控的完美結合，應該有一些改進(jìn)的虛擬機技術(shù)在里面(諾頓的人并不怎么推崇虛擬機技術(shù))。諾頓的殺毒速度慢，應該源于諾頓采用了較多的靜態(tài)代碼這種傳統的檢查方式有關(guān)。我個(gè)人非常喜歡諾頓的隔離機制，我認為在沒(méi)有確定完全正確的處理方式之前，刪除是不應該被采用的。一個(gè)高手寫(xiě)的病毒應該能盡可能的與系統進(jìn)程相關(guān)，在這種情況下，隔離的優(yōu)勢立刻顯現。諾頓資源占用量比較大，但實(shí)現了如下設計目標：能識別的病毒和被識別為病毒的進(jìn)程完全可以正確處理，對已經(jīng)不可能產(chǎn)生破壞作用的’病毒尸體‘不會(huì )產(chǎn)生誤判，更不會(huì )出現出現一次又一次的在處理完某病毒后又檢測其為病毒的狀況。

　　很多人認為諾頓企業(yè)版和個(gè)人板采用的引擎完全一致這種理解不很正確。實(shí)際上企業(yè)版在個(gè)人板的技術(shù)上還是有改進(jìn)的。zdnet上刊登過(guò)一篇文章指出：企業(yè)版和個(gè)人版引擎的核心規則完全一樣，但在前端文件匯入部分企業(yè)版是優(yōu)于個(gè)人版的，企業(yè)版使用了更多的API接口。文章中說(shuō)，在大規模文件掃描時(shí)，企業(yè)版明顯優(yōu)于個(gè)人版。并且由于使用了負載技術(shù)，企業(yè)版資源占用還好一點(diǎn)。另外據說(shuō)企業(yè)版支持基于網(wǎng)絡(luò )的多重負載技術(shù)。

　　Mcafee

　　記得看過(guò)一篇報道說(shuō)mcafee收購過(guò)別的殺毒軟件引擎設計公司，據回貼可知為所羅門(mén)。在網(wǎng)上很少能看到關(guān)于對mcafee的殺毒引擎進(jìn)行過(guò)分析的技術(shù)文檔，但從他自己宣傳的資料看，mcafee對虛擬機技術(shù)和實(shí)時(shí)監控研究的都挺徹底的。比如他最近宣傳防止應用程序溢出(大致這個(gè)名字)的技術(shù)，應該是在不考慮硬件平臺的情況下虛擬機技術(shù)和實(shí)時(shí)監控技術(shù)結合的上乘之作，盡管經(jīng)常出現錯誤的溢出偵測(軟件層面的放溢出技術(shù)確實(shí)不很穩定)。在處理大量的文件時(shí)，mcafee有一定的速度優(yōu)勢(微軟社區中有這個(gè)問(wèn)題的論述)。有來(lái)自于mcafee論壇的消息說(shuō)，mcafee 正在研究更先進(jìn)的智能碼掃描技術(shù)，估計肯定比東方衛士搞得要好。根據組長(cháng)的回貼，McAfee自發(fā)布VSE8.0i以來(lái)就著(zhù)重于前懾防范這一新型的安全領(lǐng)域，并且NORTON也在超這一方向邁進(jìn)。

　　前懾防范一共分為兩個(gè)部分，其一為運用部分防火墻技術(shù)外加其入侵檢測技術(shù)有效的阻斷病毒的傳播源，以至于病毒在傳染的初期無(wú)法得到大面積的傳播降低了危害性;其二為依*其強大的特征碼檢測技術(shù)(Extra.dat)對病毒的行為方式、特征代碼等進(jìn)行檢測，依*它強大的研發(fā)團隊以及策略聯(lián)盟伙伴使其在這一領(lǐng)域獨樹(shù)一幟。諾頓能在其新版產(chǎn)品中也加入了一些原本屬于防火墻的功能。發(fā)郵件詢(xún)問(wèn)諾頓的研究人員為什么沒(méi)有采用特征碼殺毒技術(shù)，回應說(shuō)一個(gè)完美的特征碼掃描技術(shù)應該能夠達到根據用戶(hù)的指定加入特定文件為病毒的目的，也就是當用戶(hù)指定某個(gè)活動(dòng)程序為病毒時(shí)，殺毒軟件的引擎能夠根據自身的規則為該活動(dòng)程序定義一個(gè)特征碼，并且在控制該活動(dòng)程序時(shí)，能夠有效地斷絕其與系統正常進(jìn)程的關(guān)聯(lián)。在沒(méi)有這個(gè)水平之前，諾頓不會(huì )大規模采用特征碼技術(shù)。從mcafee的技術(shù)文檔來(lái)看，mcafee也只是有限度的試驗性的研究該技術(shù)，并在比較有把握的地方應用。實(shí)際上兩家公司在這方面還有很長(cháng)的路要走。

卡巴斯基

　　本論壇上被過(guò)度神話(huà)的殺毒軟件。我個(gè)人非常尊重卡巴斯基的高水準，但說(shuō)句實(shí)話(huà)，在不考慮資源占用的情況下，卡巴斯基并沒(méi)有什么足夠的理由能夠讓我放棄諾頓，二者的水平并沒(méi)有什么差異。在穩定性上，卡巴斯基比諾頓要差一些。由于早些年卡巴斯基的引擎曾經(jīng)泄漏(實(shí)際上泄漏的并不是初始源代碼，只是泄漏的引擎可以比較容易的反編)，因此網(wǎng)上可以找到很多關(guān)于卡巴斯基引擎的非常詳細的技術(shù)分析，尤其是德國的病毒高手寫(xiě)的關(guān)于如何優(yōu)化卡巴斯基殺毒引擎的文章，被認為是所有采用卡巴斯基引擎的殺毒軟件廠(chǎng)商必看的文章之一，就象美國人寫(xiě)的那篇VB100到底怎么測試殺毒軟件(里面作者綜合近幾年的測試結果推測了VB100在測試時(shí)可能使用的病毒類(lèi)型，相關(guān)比例等)是殺毒軟件廠(chǎng)商在將自己的軟件送測前必看的文章一樣。

　　從網(wǎng)上大量的分析文檔看卡巴斯基的虛擬機技術(shù)是很優(yōu)秀的，但是去年有人發(fā)貼認為卡巴斯基的良好的性能來(lái)源于它非常龐大的病毒庫和良好的升級速度，其殺毒引擎設計水平并不高于其余的公司?？ò退够囊娌捎昧怂^的單一形式的規則判斷，眾所周知諾頓是基于分類(lèi)的規則處理?？ò退够囊嬖谖募俗R比對病毒庫的時(shí)候被認為有著(zhù)很好的性能，充分利用了處理器的處理能力，但令人擔憂(yōu)的是，該公司對最新出現的技術(shù)并不充分重視(英國的計算機雜志去年年末的評論)，究竟是對原有引擎進(jìn)行徹底改進(jìn)還是大量使用新技術(shù)，估計誰(shuí)都不知道?？ò退够囊娲嬖诮凶鏊^的過(guò)與簡(jiǎn)短的文件碼問(wèn)題，說(shuō)白了就是有時(shí)候會(huì )鞭尸，它的研究人員說(shuō)正在改進(jìn)。前段時(shí)間有人發(fā)帖子中指出病毒編寫(xiě)者只認可卡巴斯基，說(shuō)實(shí)話(huà)看了很多論壇文檔，好像沒(méi)有哪個(gè)強人這么說(shuō)過(guò)?？ò退够叩氖桥c美國廠(chǎng)商有很大區別的研發(fā)道路，卡巴斯基很少引用別的公司開(kāi)發(fā)的技術(shù)，而是在不斷的深化，改進(jìn)自身的殺毒引擎，單從某些方面評論，卡巴斯基的引擎代表著(zhù)業(yè)界最高水準，但并不是全部?？ò退够且豢詈芎玫臍⒍拒浖?，但并不是神。應該說(shuō)它與諾頓，mcafee一樣都站在殺毒軟件的頂峰水平上。

　　在國內，一直有江民的殺毒軟件采用卡巴斯基引擎的傳聞，說(shuō)句實(shí)話(huà)業(yè)界相當一部分殺毒軟件都參考了其引擎設計，即使在國內也沒(méi)有足夠的信息證實(shí)只是江民參考了其引擎設計。很多人都使用各種各樣的病毒包對卡巴斯基和江民進(jìn)行測試，測試結果是完全一樣。說(shuō)句實(shí)話(huà)，這種測試并沒(méi)有什么可信性，對化石孢的檢測各種殺毒軟件結果幾乎都一樣。

只有兩種方法能夠說(shuō)兩者的引擎如何：1.將兩款軟件送至VB100或者類(lèi)似的權威機構進(jìn)行測試，如果兩者對其中未知病毒的測試結果(這個(gè)結果并不公布，廠(chǎng)商自己去買(mǎi))完全一樣，那什么都沒(méi)說(shuō)的。兩個(gè)不同的引擎機制在對待同樣大規模的未知病毒庫時(shí)出現相同的檢測結果近乎是不可能的?？上У氖?，江民沒(méi)有參加過(guò)VB100測試，好像也不大可能個(gè)人有足夠龐大的未知病毒庫來(lái)進(jìn)行檢測。2.采用類(lèi)似于破解的方法進(jìn)行反編，分析整個(gè)軟件的工作機制，工作量有多大相信都能猜出來(lái)，也沒(méi)有見(jiàn)過(guò)有人搞過(guò)這種研究。因此我個(gè)人只能認為江民可能(較大程度的)參考了卡巴斯基的殺毒引擎設計，但從兩款殺毒軟件的靈敏程度，殺毒速度等諸多方民看，即使江民采用了卡巴斯基的引擎，江民也應該進(jìn)行了很大程度的源代碼修改或者優(yōu)化，另外也有消息說(shuō)江民在引擎中加入了一些自己開(kāi)發(fā)的技術(shù)，在實(shí)現方法上類(lèi)似于數字碼技術(shù)。霏凡上曾有高手指出假如公布兩款軟件的源代碼，可能并不會(huì )有人能看出二者有什么關(guān)系。

　　實(shí)際上，當發(fā)現江民的軟件并不能使用卡巴斯基的病毒庫的時(shí)候，我們就應該知道即便曾經(jīng)借鑒過(guò)，二者也已經(jīng)可以被認為是不同的殺毒引擎?？赡茉趙in3.x平臺下，二者曾經(jīng)很相近;但是今天我們在使用winxp.即使江民確實(shí)采用過(guò)卡巴斯基的引擎，那么可以說(shuō)江民在某些方面發(fā)展了這套引擎，盡管這種發(fā)展未必與原始的研發(fā)方向相符。但無(wú)論基于何種角度考慮，我認為江民的殺毒軟件還是有優(yōu)秀之處的。畢竟你回頭看一看國內的殺毒軟件廠(chǎng)商，在真正的技術(shù)研發(fā)領(lǐng)域只有這么一面旗幟偶爾飄揚。一步步走下來(lái)，江民還是有技術(shù)進(jìn)步的。只就純技術(shù)因素而論，假如江民采用了卡巴斯基的引擎，那么今天兩家廠(chǎng)商在不同的方向上發(fā)展著(zhù)那套原始的引擎，這未必是壞事，只要不固步自封，我們好像沒(méi)什么必要爭論兩家廠(chǎng)商是否一個(gè)原始祖先，怕的就是在別人都往前跑的時(shí)候自己停下來(lái)，這跟自取滅亡沒(méi)什么區別。盡管市場(chǎng)是殺毒軟件廠(chǎng)商的第一要素，但別忘了技術(shù)是一個(gè)殺毒軟件能否基業(yè)常青的決定性力量。

　　熊貓

　　第四個(gè)就是熊貓了，哈哈，這個(gè)西班牙的東東，全球第一個(gè)自動(dòng)升級的，人家的引擎也相當不錯，速度絕對一流，查殺徹底，但病毒庫有點(diǎn)歐洲化，所以在中國用著(zhù)不太好用，占內存很大，金山好像現在就在防熊貓，監控好像不是，殺毒和升級都是防造熊貓的，金山的監控很垃圾，你用用就知道了。

　　DR.WEB

　　是俄羅斯的引擎，俄羅斯國家科學(xué)院合作開(kāi)發(fā)的，軍方和克里姆林宮專(zhuān)用。和卡巴基本是一樣的，但引擎和技術(shù)不一樣，是俄羅斯官方和軍隊的采用的產(chǎn)品，商業(yè)和個(gè)人大多是采用卡巴，分兩個(gè)版本。只有一個(gè)對外，而且它的技術(shù)是俄羅斯國家科學(xué)院為后盾的。這個(gè)殺毒軟件公司目標不是賺錢(qián)，純粹為了技術(shù)，所以現在都沒(méi)有中文版，它從來(lái)不把二進(jìn)制病毒和不能發(fā)做的木馬列入病毒庫，所以在一些測試中名字不是很*前，甚至很少參加測評，但殺毒實(shí)力絕對在卡巴以上，占用內存很少，差不多4兆。啟發(fā)式加虛擬脫殼，北斗的殼，外面再加殼，加跳針也可以干掉，占用內存很少?？梢哉f(shuō)是最強的引擎。

　　對付變種病毒和木馬最好了?？梢愿傻艏用躕TA算法。清除極其復雜的病毒。 今天用驅逐艦全面掃描了一下，沒(méi)有發(fā)信什么但用DR。WEB一掃發(fā)現這么多沒(méi)有掃出來(lái)，雖然大多數是廣告?？磥?lái)核心技術(shù)比dr.web 還是差很多，大家不要以為你真的用上了DR。WEB 人家俄羅斯說(shuō)了，核心的東西是不賣(mài)的.驅逐艦用的它的引擎，但畢竟是假蜘蛛，殺毒效果和DR。WEB根本不一樣。