揭开现象看本质 主流杀毒软件引擎分析

揭开现象看本质 主流杀毒软件引擎分析 - 电脑安全 - 电脑教程网

揭开现象看本质 主流杀毒软件引擎分析

日期:2007-07-07   荐:

杀毒软件的本意是为用户清除不经意来袭的病毒和各种木马,却没有想到,在软件领域,自己会成为最具争议的话题之一。因为杀毒软件会直接面对各种病毒的挑衅,也因为病毒同杀毒软件一样拥有执着的力量,因此,当我们提到安全的时候,总是会把杀毒软件列为重点对象。而在讨论杀毒软件孰优孰劣时,又总会涉及到杀毒软件的关键组成部分——引擎。 如果把杀毒软件比做是一招独门绝技,那么杀毒引擎就好比是使得招数充满力量的内功心法。只是照猫画虎地学会动作而没有内功的支持是徒劳,而引擎,正是给杀毒软件提供了类似于“内功”一样的支持。按照各种技术性文章对杀毒引擎的描写,可以总结出其实杀毒引擎的任务就是对指定的文件或者程序进行判断其是否合法。至于为什么这么简单的任务有些杀毒软件却总是不能让人满意,还是先让我们对目前主流的杀毒软件采用的引擎技术进行一个全面的认识吧。 根据笔者从安全论坛上得到的各种信息来看,诺顿的杀毒引擎采用了系统最底层的核心驱动方式,理论上说是最安全、最高级、最稳定的方式,因为它直接深入到了操作系统的最底层,这从侧面说明了其实诺顿跟微软的关系非同一般,至少是亲密的合作关系。诺顿首创了实时监控技术,尽管不如McAfee的监控出色,至少理念上处在先进行列。因为是从最底层保护计算机,因此在运行速度上不那么尽如人意。这也许就是为什么很多都觉得诺顿企业版比个人版要出色的原因。 很多人对诺顿的病毒的隔离机制颇多诟病。其实在没有得到正确的处理方式之前采用隔离手段是非常明智的行为,至少不会造成数据的丢失,尽管给用户在使用上带来一些繁琐。

“卡饭”在中国的数量相当惊人,卡巴斯基也几乎成为论坛里被神化的一款杀毒软件。笔者从得到的各种资料中看出,卡巴斯基引擎中的虚拟机技术相当先进,并且采用了单一形式的规则判断,遇见病毒时的启动非常快,尽管有人一再强调卡巴斯基在杀毒方式上首选是自己强大的病毒库而不是引擎。卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,这是真正做技术的公司才有的行为,值得尊敬。 McAfee是目前在中国最热的杀毒软件之一。McAfee的引擎工作在硬件虚拟层,采用国际杀毒流行趋势的启发式杀毒和虚拟脱壳技术。在最近McAfee的宣传中,我们经常能看到“防止应用程序溢出”这种技术的频繁出现,大意是说在不考虑硬件平台的情况下将虚拟机技术和实时监控技术的完美结合,应当说功底相当深厚。在论坛中,多有一些技术人员认为在处理大批量文件时,Mcafee具有非常明显的速度优势。 国内的杀毒软件经常被揪出来谈论最多的是江民,因为它曾经被认为模仿了卡巴斯基的引擎设计,现在各种安全论坛上还能找到一些技术人员关于此事的大量讨论。据江民在各种宣传中所称,现在的江民采用的是“智能分级高速杀毒引擎”,将杀毒软件核心组件和病毒库等模块进行重新规划细分,不过作为用户的我们并不能看出这到底是采用了哪种技术。 Dr.Web是广受专业人士爱戴的一款俄罗斯杀毒软件,金山毒霸就是由它的引擎外面加了个壳而成。Dr.Web采用的也是启发式和虚拟脱壳技术,对付用了加密XTA算法而成的病毒也卓见成效。可惜的是,在中国,要么使用采用Dr.Web引擎的假蜘蛛,要么只能使用盗版。 当然,流行的杀毒软件还有很多,也正是越来越多的杀毒软件使得用户在选择时犯难。实际上,如果抛开许多表面上的东西,杀毒软件的引擎实现技术无非是上述几种,关键在于杀毒厂商的研发能力和实际工作效率,更取决于用户的自身体验。

标签: