1.諾頓:這個最熟悉了,諾頓的殺毒軟件實際上防止偵測方面做得並不是很好,很多病毒程序在子程序段中經常借鑒搞崩諾頓的代碼,希望在新版本中諾頓可以采用更強的自身防護技術。諾頓的引擎應該是完全自成封閉體系的,沒有資料證實諾頓曾經購買或者借鑒過別的殺毒引擎。傳聞很多公司都在設計時參考過卡巴斯基的洩漏版引擎設計,因此曾經在微軟社區在線聊天時,問過這個問題。回貼一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無必要,它自己的引擎搞得挺好的。有一個叫fenssa的家伙甚至回貼說不考慮病毒庫因素,諾頓的殺毒引擎相當先進,綜合防護性能很好。
在微軟,除了用mcafee的就使用諾頓的(這一點我比較相信,很少見到別的殺軟在微軟被使用)。從諾頓的技術文檔描述和在病毒論壇上流傳的29A的一個家伙搞的一篇叫虛擬機環境下諾頓工作過程的步進追蹤和反編的文章來看,諾頓的殺毒引擎應該是傳統的靜態代碼對應與實時監控的完美結合,應該有一些改進的虛擬機技術在裡面(諾頓的人並不怎麼推崇虛擬機技術)。諾頓的殺毒速度慢,應該源於諾頓采用了較多的靜態代碼這種傳統的檢查方式有關。我個人非常喜歡諾頓的隔離機制,我認為在沒有確定完全正確的處理方式之前,刪除是不應該被采用的。一個高手寫的病毒應該能盡可能的與系統進程相關,在這種情況下,隔離的優勢立刻顯現。諾頓資源占用量比較大,但實現了如下設計目標:能識別的病毒和被識別為病毒的進程完全可以正確處理,對已經不可能產生破壞作用的’病毒屍體‘不會產生誤判,更不會出現出現一次又一次的在處理完某病毒後又檢測其為病毒的狀況。
很多人認為諾頓企業版和個人板采用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。zdnet上刊登過一篇文章指出:企業版和個人版引擎的核心規則完全一樣,但在前端文件匯入部分企業版是優於個人版的,企業版使用了更多的API接口。文章中說,在大規模文件掃描時,企業版明顯優於個人版。並且由於使用了負載技術,企業版資源占用還好一點。另外據說企業版支持基於網絡的多重負載技術。
2.Mcafee:記得看過一篇報道說mcafee收購過別的殺毒軟件引擎設計公司,據回貼可知為所羅門。在網上很少能看到關於對mcafee的殺毒引擎進行過分析的技術文檔,但從他自己宣傳的資料看,mcafee對虛擬機技術和實時監控研究的都挺徹底的。比如他最近宣傳防止應用程序溢出(大致這個名字)的技術,應該是在不考慮硬件平台的情況下虛擬機技術和實時監控技術結合的上乘之作,盡管經常出現錯誤的溢出偵測(軟件層面的放溢出技術確實不很穩定)。在處理大量的文件時,mcafee有一定的速度優勢(微軟社區中有這個問題的論述)。有來自於mcafee論壇的消息說,mcafee 正在研究更先進的智能碼掃描技術,估計肯定比東方衛士搞得要好。根據組長的回貼,McAfee自發布VSE8.0i以來就著重於"前懾防范"這一新型的安全領域,並且NORTON也在超這一方向邁進。
"前懾防范"一共分為兩個部分,其一為運用部分防火牆技術外加其入侵檢測技術有效的阻斷病毒的傳播源,以至於病毒在傳染的初期無法得到大面積的傳播降低了危害性;其二為依*其強大的特征碼檢測技術(Extra.dat)對病毒的行為方式、特征代碼等進行檢測,依*它強大的研發團隊以及策略聯盟伙伴使其在這一領域獨樹一幟。諾頓能在其新版產品中也加入了一些原本屬於防火牆的功能。發郵件詢問諾頓的研究人員為什麼沒有采用特征碼殺毒技術,回應說一個完美的特征碼掃描技術應該能夠達到根據用戶的指定加入特定文件為病毒的目的,也就是當用戶指定某個活動程序為病毒時,殺毒軟件的引擎能夠根據自身的規則為該活動程序定義一個特征碼,並且在控制該活動程序時,能夠有效地斷絕其與系統正常進程的關聯。在沒有這個水平之前,諾頓不會大規模采用特征碼技術。從mcafee的技術文檔來看,mcafee也只是有限度的試驗性的研究該技術,並在比較有把握的地方應用。實際上兩家公司在這方面還有很長的路要走。
3.卡巴斯基:本論壇上被過度神話的殺毒軟件。我個人非常尊重卡巴斯基的高水准,但說句實話,在不考慮資源占用的情況下,卡巴斯基並沒有什麼足夠的理由能夠讓我放棄諾頓,二者的水平並沒有什麼差異。在穩定性上,卡巴斯基比諾頓要差一些。由於早些年卡巴斯基的引擎曾經洩漏(實際上洩漏的並不是初始源代碼,只是洩漏的引擎可以比較容易的反編),因此網上可以找到很多關於卡巴斯基引擎的非常詳細的技術分析,尤其是德國的病毒高手寫的關於如何優化卡巴斯基殺毒引擎的文章,被認為是所有采用卡巴斯基引擎的殺毒軟件廠商必看的文章之一,就象美國人寫的那篇VB100到底怎麼測試殺毒軟件(裡面作者綜合近幾年的測試結果推測了VB100在測試時可能使用的病毒類型,相關比例等)是殺毒軟件廠商在將自己的軟件送測前必看的文章一樣。
從網上大量的分析文檔看卡巴斯基的虛擬機技術是很優秀的,但是去年有人發貼認為卡巴斯基的良好的性能來源於它非常龐大的病毒庫和良好的升級速度,其殺毒引擎設計水平並不高於其余的公司。卡巴斯基的引擎采用了所謂的單一形式的規則判斷,眾所周知諾頓是基於分類的規則處理。卡巴斯基的引擎在文件標識比對病毒庫的時候被認為有著很好的性能,充分利用了處理器的處理能力,"但令人擔憂的是,該公司對最新出現的技術並不充分重視"(英國的計算機雜志去年年末的評論),究竟是對原有引擎進行徹底改進還是大量使用新技術,估計誰都不知道。卡巴斯基的引擎存在叫做所謂的"過與簡短的文件碼"問題,說白了就是有時候會鞭屍,它的研究人員說正在改進。前段時間有人發帖子中指出病毒編寫者只認可卡巴斯基,說實話看了很多論壇文檔,好像沒有哪個強人這麼說過。卡巴斯基走的是與美國廠商有很大區別的研發道路,卡巴斯基很少引用別的公司開發的技術,而是在不斷的深化,改進自身的殺毒引擎,單從某些方面評論,卡巴斯基的引擎代表著業界最高水准,但並不是全部。卡巴斯基是一款很好的殺毒軟件,但並不是神。應該說它與諾頓,mcafee一樣都站在殺毒軟件的頂峰水平上。
在國內,一直有江民的殺毒軟件采用卡巴斯基引擎的傳聞,說句實話業界相當一部分殺毒軟件都參考了其引擎設計,即使在國內也沒有足夠的信息證實只是江民參考了其引擎設計。很多人都使用各種各樣的病毒包對卡巴斯基和江民進行測試,測試結果是完全一樣。說句實話,這種測試並沒有什麼可信性,對化石孢的檢測各種殺毒軟件結果幾乎都一樣。
只有兩種方法能夠說兩者的引擎如何:1.將兩款軟件送至VB100或者類似的權威機構進行測試,如果兩者對其中未知病毒的測試結果(這個結果並不公布,廠商自己去買)完全一樣,那什麼都沒說的。兩個不同的引擎機制在對待同樣大規模的未知病毒庫時出現相同的檢測結果近乎是不可能的。可惜的是,江民沒有參加過VB100測試,好像也不大可能個人有足夠龐大的未知病毒庫來進行檢測。2.采用類似於破解的方法進行反編,分析整個軟件的工作機制,,工作量有多大相信都能猜出來,也沒有見過有人搞過這種研究。因此我個人只能認為江民可能(較大程度的)參考了卡巴斯基的殺毒引擎設計,但從兩款殺毒軟件的靈敏程度,殺毒速度等諸多方民看,即使江民采用了卡巴斯基的引擎,江民也應該進行了很大程度的源代碼修改或者優化,另外也有消息說江民在引擎中加入了一些自己開發的技術,在實現方法上類似於數字碼技術。霏凡上曾有高手指出假如公布兩款軟件的源代碼,可能並不會有人能看出二者有什麼關系。
實際上,當發現江民的軟件並不能使用卡巴斯基的病毒庫的時候,我們就應該知道即便曾經借鑒過,二者也已經可以被認為是不同的殺毒引擎。可能在win3.x平台下,二者曾經很相近;但是今天我們在使用winxp.即使江民確實采用過卡巴斯基的引擎,那麼可以說江民在某些方面發展了這套引擎,盡管這種發展未必與原始的研發方向相符。但無論基於何種角度考慮,我認為江民的殺毒軟件還是有優秀之處的。畢竟你回頭看一看國內的殺毒軟件廠商,在真正的技術研發領域只有這麼一面旗幟偶爾飄揚。一步步走下來,江民還是有技術進步的。只就純技術因素而論,假如江民采用了卡巴斯基的引擎,那麼今天兩家廠商在不同的方向上發展著那套原始的引擎,這未必是壞事,只要不固步自封,我們好像沒什麼必要爭論兩家廠商是否一個原始祖先,怕的就是在別人都往前跑的時候自己停下來,這跟自取滅亡沒什麼區別。盡管市場是殺毒軟件廠商的第一要素,但別忘了技術是一個殺毒軟件能否基業常青的決定性力量。
4、第四個就是熊貓了,哈哈,這個西班牙的東東,全球第一個自動升級的,人家的引擎也相當不錯,速度絕對一流,查殺徹底,但病毒庫有點歐洲化,所以在中國用著不太好用,占內存很大,金山好像現在就在防熊貓,監控好像不是,殺毒和升級都是防造熊貓的,金山的監控很垃圾,你用用就知道了。
5、DR.WEB、也是俄羅斯的引擎,俄羅斯國家科學院合作開發的,軍方和克裡姆林宮專用。和卡巴基本是一樣的,但引擎和技術不一樣,是俄羅斯官方和軍隊的采用的產品,商業和個人大多是采用卡巴,分兩個版本。只有一個對外,而且它的技術是俄羅斯國家科學院為後盾的。這個殺毒軟件公司目標不是賺錢,純粹為了技術,所以現在都沒有中文版,它從來不把二進制病毒和不能發做的木馬列入病毒庫,所以在一些測試中名字不是很*前,甚至很少參加測評,但殺毒實力絕對在卡巴以上,占用內存很少,差不多4兆。啟發式加虛擬脫殼,北斗的殼,外面再加殼,加跳針也可以干掉,占用內存很少。可以說是最強的引擎。
對付變種病毒和木馬最好了。可以干掉加密XTA算法。清除極其復雜的病毒。 今天用驅逐艦全面掃描了一下,沒有發信什麼但用DR。WEB一掃發現這麼多沒有掃出來,雖然大多數是廣告。看來核心技術比dr.web 還是差很多,大家不要以為你真的用上了DR。WEB 人家俄羅斯說了,核