話說(shuō)諾頓的殺毒引擎 NIS2011越來(lái)越好用了

1.什么是殺毒軟件引擎，與病毒庫(kù)的關(guān)系？ 我們知道病毒的最終目的是與合法活動(dòng)很類似的，在這種情況下，要求廠商必須自己有一個(gè)行為規(guī)范界定規(guī)則，在一個(gè)給定的范圍和置信度下，判斷相關(guān)操作是否合法。各個(gè)廠商的界定是有區(qū)別的，一般而言美國(guó)廠商界定是非常嚴(yán)格的，只有很高的置信水平的程序行為，他們才判別為非病毒操作。美國(guó)廠商一般判斷比較復(fù)雜，這主要由于美國(guó)市場(chǎng)上的殺毒軟件引擎來(lái)源比較復(fù)雜，比如諾頓，有足夠的技術(shù)資料確信它的殺毒軟件引擎是自成體系的，而 Mcafee 則存在一定的外界技術(shù)引進(jìn)（收購(gòu)所羅門） 諾頓是微軟最高級(jí)的安全方面核心合作廠商，因此它的殺毒軟件在某些方面工作比較特殊比如在殺毒軟件的安裝，使用和功能實(shí)現(xiàn)方面，大部分廠商采用的是中間件技術(shù)，在系統(tǒng)底層魚(yú)非自身應(yīng)用程序之間作為中間件存在并實(shí)現(xiàn)其功能（ 這個(gè)能看出來(lái)，比如開(kāi)windows 防火墻，會(huì)顯示正由Norton Internet Security管理，ms還沒(méi)有那個(gè)廠商能像Norton一樣做到這一步吧）；另有一些廠商使用的是應(yīng)用程序或者嵌入技術(shù)，相對(duì)而言這種方法安全性較低；諾頓和Mcafee實(shí)現(xiàn)方式比較相似，諾頓采用了基于系統(tǒng)最底層的系統(tǒng)核心驅(qū)動(dòng)，這種實(shí)現(xiàn)方式是最安全的或者說(shuō)最高級(jí)的實(shí)現(xiàn)方式，當(dāng)然這需要微軟的系統(tǒng)源代碼級(jí)的支持（要花許多money），業(yè)界公認(rèn)，這是最穩(wěn)定的實(shí)現(xiàn)方法，但從目前而言，只諾頓一家。（那是xp時(shí)代，現(xiàn)在也沒(méi)聽(tīng)說(shuō)symantec獲得了win7的代碼，當(dāng)然也不太可能） 盡管比較先進(jìn)的工作方式給諾頓和Mcafee帶來(lái)了較高的系統(tǒng)穩(wěn)定性，較快的響應(yīng)速度。但同時(shí)也帶來(lái)了一些問(wèn)題：1。資源占用比較厲害。在Mcafee上體現(xiàn)的不是很明顯，在諾頓上表現(xiàn)非常明顯。因?yàn)閷?duì)于越底層的行為，硬件資源分配越多。。最耗資源的是什么？當(dāng)然是操作系統(tǒng)。因?yàn)樗谧畹讓�。（現(xiàn)在終于知道以前諾頓占資源的原因了）2。卸載問(wèn)題。卸載底層的組件出問(wèn)題的概率是相對(duì)比較高的，因?yàn)橹Z頓的卸載比較慢，偶爾還出問(wèn)題。（這個(gè)真沒(méi)聽(tīng)過(guò)。。。） 2.引擎部分的實(shí)現(xiàn) 殺毒引擎目前主流有兩種實(shí)現(xiàn)方式：1.虛擬機(jī)技術(shù) 2.實(shí)時(shí)監(jiān)控技術(shù) 3.智能碼標(biāo)識(shí)技術(shù) 4.行為攔截技術(shù) 3.4.為最近兩年搞出來(lái)的技術(shù)。3的目的是提高殺毒速度并且預(yù)防未知病毒，但就顯示而言，除了東方衛(wèi)士實(shí)驗(yàn)了一下(并且不成功），其余廠商未完全基于該技術(shù)的引擎。 對(duì)于未知病毒的判斷實(shí)際上代表著殺毒軟件廠商在引擎研究方面的最高能力。業(yè)界公認(rèn)，防止未知病毒 是“代表研究水平的”。 平心而論，非美國(guó)廠商在這方面能力較差。業(yè)界對(duì)于防止未知病毒能力是按照如下方法衡量的：以評(píng)測(cè)當(dāng)日的殺毒軟件最新版本為該廠商的供測(cè)試版本，未知病毒由如下而來(lái)：1.病毒作者提供給。2.業(yè)界安全雜志自己的研究實(shí)驗(yàn)室的研究人員根據(jù)最新的趨勢(shì)和技術(shù)手段及工具寫(xiě)的一些病毒。一般情況下，這些病毒式不會(huì)流到網(wǎng)上去的。3.假病毒。測(cè)試的時(shí)候病毒庫(kù)被置空，在這種情況下進(jìn)行測(cè)試。（掃描測(cè)試區(qū)可以借鑒哦） 小結(jié)：文中有一部分來(lái)源于業(yè)已公開(kāi)的技術(shù)資料，有一部分來(lái)源于病毒論壇上被奉為經(jīng)典的反編，還有一部分來(lái)源于廠商技術(shù)人員的介紹（官方和私下的都有）。 諾頓：諾頓的殺毒軟件實(shí)際上防止偵測(cè)方面做得并不是很好，很多病毒程序在子程序中經(jīng)常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強(qiáng)的自身防護(hù)技術(shù)。諾頓的殺毒引擎應(yīng)該是完全自成封閉體系的，沒(méi)有資料證實(shí)諾頓曾經(jīng)購(gòu)買或者接見(jiàn)過(guò)別的殺毒引擎。傳聞很多公司都在設(shè)計(jì)是參考過(guò)卡巴斯基的泄露版引擎設(shè)計(jì)，因此在微軟社區(qū)在線聊天室，問(wèn)過(guò)這個(gè)問(wèn)題。回帖一致認(rèn)為諾頓借鑒卡巴斯基的殺毒引擎毫無(wú)必要，他自己的殺毒引擎相當(dāng)先進(jìn)。有一個(gè)叫fenssa的家伙甚至回帖說(shuō)不考慮病毒庫(kù)因素，諾頓的殺毒引擎相當(dāng)先進(jìn)，綜合防護(hù)性能很好。在微軟，除了用Mcafee的就使用哪個(gè)諾頓的（額，御用eset跑哪去了？） 從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A 的一個(gè)家伙搞的一篇叫虛擬機(jī)環(huán)境下諾頓工作過(guò)程的步進(jìn)追蹤和反編的文章來(lái)看，諾頓的殺毒引擎應(yīng)該是傳統(tǒng)的靜態(tài)代碼對(duì)應(yīng)與實(shí)時(shí)監(jiān)控的完美結(jié)合，應(yīng)該有一些改進(jìn)的虛擬機(jī)技術(shù)在里面（諾頓的人并不怎么推崇虛擬機(jī)技術(shù)）諾頓的殺毒速度很慢，應(yīng)該源于諾頓采用了較多的靜態(tài)代碼這種傳統(tǒng)的檢查方式有關(guān)。 以前的諾頓很難卸的。08開(kāi)始，流暢度，安裝、卸載速度有了質(zhì)的提高. “這個(gè)能看出來(lái)，比如開(kāi)windows 防火墻，會(huì)顯示正由Norton Internet Security管理，ms還沒(méi)有那個(gè)廠商能像Norton一樣做到這一步吧”——————這個(gè)好像不是諾頓獨(dú)有。 個(gè)人認(rèn)為一般帶防火墻的安全軟件都會(huì)接管windows防火墻，沒(méi)記錯(cuò)的話以前裝卡巴的時(shí)候也是這樣。 P.S. :我現(xiàn)在用nis2011很流暢，放心。