話說諾頓的殺毒引擎 NIS2011越來越好用了

1.什么是殺毒軟件引擎，與病毒庫的關(guān)系？ 我們知道病毒的最終目的是與合法活動很類似的，在這種情況下，要求廠商必須自己有一個行為規(guī)范界定規(guī)則，在一個給定的范圍和置信度下，判斷相關(guān)操作是否合法。各個廠商的界定是有區(qū)別的，一般而言美國廠商界定是非常嚴(yán)格的，只有很高的置信水平的程序行為，他們才判別為非病毒操作。美國廠商一般判斷比較復(fù)雜，這主要由于美國市場上的殺毒軟件引擎來源比較復(fù)雜，比如諾頓，有足夠的技術(shù)資料確信它的殺毒軟件引擎是自成體系的，而 Mcafee 則存在一定的外界技術(shù)引進(jìn)（收購所羅門） 諾頓是微軟最高級的安全方面核心合作廠商，因此它的殺毒軟件在某些方面工作比較特殊比如在殺毒軟件的安裝，使用和功能實現(xiàn)方面，大部分廠商采用的是中間件技術(shù)，在系統(tǒng)底層魚非自身應(yīng)用程序之間作為中間件存在并實現(xiàn)其功能（ 這個能看出來，比如開windows 防火墻，會顯示正由Norton Internet Security管理，ms還沒有那個廠商能像Norton一樣做到這一步吧）；另有一些廠商使用的是應(yīng)用程序或者嵌入技術(shù)，相對而言這種方法安全性較低；諾頓和Mcafee實現(xiàn)方式比較相似，諾頓采用了基于系統(tǒng)最底層的系統(tǒng)核心驅(qū)動，這種實現(xiàn)方式是最安全的或者說最高級的實現(xiàn)方式，當(dāng)然這需要微軟的系統(tǒng)源代碼級的支持（要花許多money），業(yè)界公認(rèn)，這是最穩(wěn)定的實現(xiàn)方法，但從目前而言，只諾頓一家。（那是xp時代，現(xiàn)在也沒聽說symantec獲得了win7的代碼，當(dāng)然也不太可能） 盡管比較先進(jìn)的工作方式給諾頓和Mcafee帶來了較高的系統(tǒng)穩(wěn)定性，較快的響應(yīng)速度。但同時也帶來了一些問題：1。資源占用比較厲害。在Mcafee上體現(xiàn)的不是很明顯，在諾頓上表現(xiàn)非常明顯。因為對于越底層的行為，硬件資源分配越多。。最耗資源的是什么？當(dāng)然是操作系統(tǒng)。因為它在最底層。（現(xiàn)在終于知道以前諾頓占資源的原因了）2。卸載問題。卸載底層的組件出問題的概率是相對比較高的，因為諾頓的卸載比較慢，偶爾還出問題。（這個真沒聽過。。。） 2.引擎部分的實現(xiàn) 殺毒引擎目前主流有兩種實現(xiàn)方式：1.虛擬機技術(shù) 2.實時監(jiān)控技術(shù) 3.智能碼標(biāo)識技術(shù) 4.行為攔截技術(shù) 3.4.為最近兩年搞出來的技術(shù)。3的目的是提高殺毒速度并且預(yù)防未知病毒，但就顯示而言，除了東方衛(wèi)士實驗了一下(并且不成功），其余廠商未完全基于該技術(shù)的引擎。 對于未知病毒的判斷實際上代表著殺毒軟件廠商在引擎研究方面的最高能力。業(yè)界公認(rèn)，防止未知病毒 是“代表研究水平的”。 平心而論，非美國廠商在這方面能力較差。業(yè)界對于防止未知病毒能力是按照如下方法衡量的：以評測當(dāng)日的殺毒軟件最新版本為該廠商的供測試版本，未知病毒由如下而來：1.病毒作者提供給。2.業(yè)界安全雜志自己的研究實驗室的研究人員根據(jù)最新的趨勢和技術(shù)手段及工具寫的一些病毒。一般情況下，這些病毒式不會流到網(wǎng)上去的。3.假病毒。測試的時候病毒庫被置空，在這種情況下進(jìn)行測試。（掃描測試區(qū)可以借鑒哦） 小結(jié)：文中有一部分來源于業(yè)已公開的技術(shù)資料，有一部分來源于病毒論壇上被奉為經(jīng)典的反編，還有一部分來源于廠商技術(shù)人員的介紹（官方和私下的都有）。 諾頓：諾頓的殺毒軟件實際上防止偵測方面做得并不是很好，很多病毒程序在子程序中經(jīng)常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強的自身防護(hù)技術(shù)。諾頓的殺毒引擎應(yīng)該是完全自成封閉體系的，沒有資料證實諾頓曾經(jīng)購買或者接見過別的殺毒引擎。傳聞很多公司都在設(shè)計是參考過卡巴斯基的泄露版引擎設(shè)計，因此在微軟社區(qū)在線聊天室，問過這個問題�；靥恢抡J(rèn)為諾頓借鑒卡巴斯基的殺毒引擎毫無必要，他自己的殺毒引擎相當(dāng)先進(jìn)。有一個叫fenssa的家伙甚至回帖說不考慮病毒庫因素，諾頓的殺毒引擎相當(dāng)先進(jìn)，綜合防護(hù)性能很好。在微軟，除了用Mcafee的就使用哪個諾頓的（額，御用eset跑哪去了？） 從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A 的一個家伙搞的一篇叫虛擬機環(huán)境下諾頓工作過程的步進(jìn)追蹤和反編的文章來看，諾頓的殺毒引擎應(yīng)該是傳統(tǒng)的靜態(tài)代碼對應(yīng)與實時監(jiān)控的完美結(jié)合，應(yīng)該有一些改進(jìn)的虛擬機技術(shù)在里面（諾頓的人并不怎么推崇虛擬機技術(shù)）諾頓的殺毒速度很慢，應(yīng)該源于諾頓采用了較多的靜態(tài)代碼這種傳統(tǒng)的檢查方式有關(guān)。 以前的諾頓很難卸的。08開始，流暢度，安裝、卸載速度有了質(zhì)的提高. “這個能看出來，比如開windows 防火墻，會顯示正由Norton Internet Security管理，ms還沒有那個廠商能像Norton一樣做到這一步吧”——————這個好像不是諾頓獨有。 個人認(rèn)為一般帶防火墻的安全軟件都會接管windows防火墻，沒記錯的話以前裝卡巴的時候也是這樣。 P.S. :我現(xiàn)在用nis2011很流暢，放心。