- 類型:其它殺軟大小:214M語(yǔ)言:中文 評(píng)分:1.7
- 標(biāo)簽:
立即下載
1.什么是
殺毒軟件引擎,與病毒庫(kù)的關(guān)系?
我們知道病毒的最終目的是與合法活動(dòng)很類似的,在這種情況下,要求廠商必須自己有一個(gè)行為規(guī)范界定規(guī)則,在一個(gè)給定的范圍和置信度下,判斷相關(guān)操作是否合法。各個(gè)廠商的界定是有區(qū)別的,一般而言美國(guó)廠商界定是非常嚴(yán)格的,只有很高的置信水平的程序行為,他們才判別為非病毒操作。美國(guó)廠商一般判斷比較復(fù)雜,這主要由于美國(guó)市場(chǎng)上的殺毒軟件引擎來(lái)源比較復(fù)雜,比如諾頓,有足夠的技術(shù)資料確信它的殺毒軟件引擎是自成體系的,而 Mcafee 則存在一定的外界技術(shù)引進(jìn)(收購(gòu)所羅門)
諾頓是微軟最高級(jí)的安全方面核心合作廠商,因此它的殺毒軟件在某些方面工作比較特殊比如在殺毒軟件的安裝,使用和功能實(shí)現(xiàn)方面,大部分廠商采用的是中間件技術(shù),在系統(tǒng)底層魚(yú)非自身應(yīng)用程序之間作為中間件存在并實(shí)現(xiàn)其功能( 這個(gè)能看出來(lái),比如開(kāi)windows 防火墻,會(huì)顯示正由Norton Internet Security管理,ms還沒(méi)有那個(gè)廠商能像Norton一樣做到這一步吧);另有一些廠商使用的是應(yīng)用程序或者嵌入技術(shù),相對(duì)而言這種方法安全性較低;諾頓和Mcafee實(shí)現(xiàn)方式比較相似,諾頓采用了基于系統(tǒng)最底層的系統(tǒng)核心驅(qū)動(dòng),這種實(shí)現(xiàn)方式是最安全的或者說(shuō)最高級(jí)的實(shí)現(xiàn)方式,當(dāng)然這需要微軟的系統(tǒng)源代碼級(jí)的支持(要花許多money),業(yè)界公認(rèn),這是最穩(wěn)定的實(shí)現(xiàn)方法,但從目前而言,只諾頓一家。(那是xp時(shí)代,現(xiàn)在也沒(méi)聽(tīng)說(shuō)symantec獲得了win7的代碼,當(dāng)然也不太可能)
盡管比較先進(jìn)的工作方式給諾頓和Mcafee帶來(lái)了較高的系統(tǒng)穩(wěn)定性,較快的響應(yīng)速度。但同時(shí)也帶來(lái)了一些問(wèn)題:1。資源占用比較厲害。在Mcafee上體現(xiàn)的不是很明顯,在諾頓上表現(xiàn)非常明顯。因?yàn)閷?duì)于越底層的行為,硬件資源分配越多。。最耗資源的是什么?當(dāng)然是操作系統(tǒng)。因?yàn)樗谧畹讓�。(現(xiàn)在終于知道以前諾頓占資源的原因了)2。卸載問(wèn)題。卸載底層的組件出問(wèn)題的概率是相對(duì)比較高的,因?yàn)橹Z頓的卸載比較慢,偶爾還出問(wèn)題。(這個(gè)真沒(méi)聽(tīng)過(guò)。。。)
2.引擎部分的實(shí)現(xiàn)
殺毒引擎目前主流有兩種實(shí)現(xiàn)方式:1.
虛擬機(jī)技術(shù) 2.實(shí)時(shí)監(jiān)控技術(shù) 3.智能碼標(biāo)識(shí)技術(shù) 4.行為攔截技術(shù)
3.4.為最近兩年搞出來(lái)的技術(shù)。3的目的是提高殺毒速度并且預(yù)防未知病毒,但就顯示而言,除了東方衛(wèi)士實(shí)驗(yàn)了一下(并且不成功),其余廠商未完全基于該技術(shù)的引擎。
對(duì)于未知病毒的判斷實(shí)際上代表著殺毒軟件廠商在引擎研究方面的最高能力。業(yè)界公認(rèn),防止未知病毒
是“代表研究水平的”。 平心而論,非美國(guó)廠商在這方面能力較差。業(yè)界對(duì)于防止未知病毒能力是按照如下方法衡量的:以評(píng)測(cè)當(dāng)日的殺毒軟件最新版本為該廠商的供測(cè)試版本,未知病毒由如下而來(lái):1.病毒作者提供給。2.業(yè)界安全雜志自己的研究實(shí)驗(yàn)室的研究人員根據(jù)最新的趨勢(shì)和技術(shù)手段及工具寫(xiě)的一些病毒。一般情況下,這些病毒式不會(huì)流到網(wǎng)上去的。3.假病毒。測(cè)試的時(shí)候病毒庫(kù)被置空,在這種情況下進(jìn)行測(cè)試。(掃描測(cè)試區(qū)可以借鑒哦)
小結(jié):文中有一部分來(lái)源于業(yè)已公開(kāi)的技術(shù)資料,有一部分來(lái)源于病毒論壇上被奉為經(jīng)典的反編,還有一部分來(lái)源于廠商技術(shù)人員的介紹(官方和私下的都有)。
諾頓:諾頓的殺毒軟件實(shí)際上防止偵測(cè)方面做得并不是很好,很多病毒程序在子程序中經(jīng)常借鑒搞崩諾頓的代碼,希望在新版本中諾頓可以采用更強(qiáng)的自身防護(hù)技術(shù)。諾頓的殺毒引擎應(yīng)該是完全自成封閉體系的,沒(méi)有資料證實(shí)諾頓曾經(jīng)購(gòu)買或者接見(jiàn)過(guò)別的殺毒引擎。傳聞很多公司都在設(shè)計(jì)是參考過(guò)卡巴斯基的泄露版引擎設(shè)計(jì),因此在微軟社區(qū)在線
聊天室,問(wèn)過(guò)這個(gè)問(wèn)題。回帖一致認(rèn)為諾頓借鑒卡巴斯基的殺毒引擎毫無(wú)必要,他自己的殺毒引擎相當(dāng)先進(jìn)。有一個(gè)叫fenssa的家伙甚至回帖說(shuō)不考慮病毒庫(kù)因素,諾頓的殺毒引擎相當(dāng)先進(jìn),綜合防護(hù)性能很好。在微軟,除了用Mcafee的就使用哪個(gè)諾頓的(額,御用eset跑哪去了?) 從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A 的一個(gè)家伙搞的一篇叫
虛擬機(jī)環(huán)境下諾頓工作過(guò)程的步進(jìn)追蹤和反編的文章來(lái)看,諾頓的殺毒引擎應(yīng)該是傳統(tǒng)的靜態(tài)代碼對(duì)應(yīng)與實(shí)時(shí)監(jiān)控的完美結(jié)合,應(yīng)該有一些改進(jìn)的虛擬機(jī)技術(shù)在里面(諾頓的人并不怎么推崇虛擬機(jī)技術(shù))諾頓的殺毒速度很慢,應(yīng)該源于諾頓采用了較多的靜態(tài)代碼這種傳統(tǒng)的檢查方式有關(guān)。
以前的諾頓很難卸的。08開(kāi)始,流暢度,安裝、卸載速度有了質(zhì)的提高.
“這個(gè)能看出來(lái),比如開(kāi)windows 防火墻,會(huì)顯示正由Norton Internet Security管理,ms還沒(méi)有那個(gè)廠商能像Norton一樣做到這一步吧”——————這個(gè)好像不是諾頓獨(dú)有。
個(gè)人認(rèn)為一般帶防火墻的安全軟件都會(huì)接管windows防火墻,沒(méi)記錯(cuò)的話以前裝卡巴的時(shí)候也是這樣。
P.S. :我現(xiàn)在用nis2011很流暢,放心。