揭開現象看本質 主流殺毒軟件引擎分析

殺毒軟件的本意是為用戶清除不經意來襲的病毒和各種木馬，卻沒有想到，在軟件領域，自己會成為最具爭議的話題之一。因為殺毒軟件會直接面對各種病毒的挑釁，也因為病毒同殺毒軟件一樣擁有執著的力量，因此，當我們提到安全的時候，總是會把殺毒軟件列為重點對象。而在討論殺毒軟件孰優孰劣時，又總會涉及到殺毒軟件的關鍵組成部分——引擎。 如果把殺毒軟件比做是一招獨門絕技，那麼殺毒引擎就好比是使得招數充滿力量的內功心法。只是照貓畫虎地學會動作而沒有內功的支持是徒勞，而引擎，正是給殺毒軟件提供了類似於“內功”一樣的支持。按照各種技術性文章對殺毒引擎的描寫，可以總結出其實殺毒引擎的任務就是對指定的文件或者程序進行判斷其是否合法。至於為什麼這麼簡單的任務有些殺毒軟件卻總是不能讓人滿意，還是先讓我們對目前主流的殺毒軟件采用的引擎技術進行一個全面的認識吧。 根據筆者從安全論壇上得到的各種信息來看，諾頓的殺毒引擎采用了系統最底層的核心驅動方式，理論上說是最安全、最高級、最穩定的方式，因為它直接深入到了操作系統的最底層，這從側面說明了其實諾頓跟微軟的關系非同一般，，至少是親密的合作關系。諾頓首創了實時監控技術，盡管不如McAfee的監控出色，至少理念上處在先進行列。因為是從最底層保護計算機，因此在運行速度上不那麼盡如人意。這也許就是為什麼很多都覺得諾頓企業版比個人版要出色的原因。 很多人對諾頓的病毒的隔離機制頗多诟病。其實在沒有得到正確的處理方式之前采用隔離手段是非常明智的行為，至少不會造成數據的丟失，盡管給用戶在使用上帶來一些繁瑣。

“卡飯”在中國的數量相當驚人，卡巴斯基也幾乎成為論壇裡被神化的一款殺毒軟件。筆者從得到的各種資料中看出，卡巴斯基引擎中的虛擬機技術相當先進，並且采用了單一形式的規則判斷，遇見病毒時的啟動非常快，盡管有人一再強調卡巴斯基在殺毒方式上首選是自己強大的病毒庫而不是引擎。卡巴斯基很少引用別的公司開發的技術，而是在不斷的深化，改進自身的殺毒引擎，這是真正做技術的公司才有的行為，值得尊敬。 McAfee是目前在中國最熱的殺毒軟件之一。McAfee的引擎工作在硬件虛擬層，采用國際殺毒流行趨勢的啟發式殺毒和虛擬脫殼技術。在最近McAfee的宣傳中，我們經常能看到“防止應用程序溢出”這種技術的頻繁出現，大意是說在不考慮硬件平台的情況下將虛擬機技術和實時監控技術的完美結合，應當說功底相當深厚。在論壇中，多有一些技術人員認為在處理大批量文件時，Mcafee具有非常明顯的速度優勢。 國內的殺毒軟件經常被揪出來談論最多的是江民，因為它曾經被認為模仿了卡巴斯基的引擎設計，現在各種安全論壇上還能找到一些技術人員關於此事的大量討論。據江民在各種宣傳中所稱，現在的江民采用的是“智能分級高速殺毒引擎”，將殺毒軟件核心組件和病毒庫等模塊進行重新規劃細分，不過作為用戶的我們並不能看出這到底是采用了哪種技術。 Dr.Web是廣受專業人士愛戴的一款俄羅斯殺毒軟件，金山毒霸就是由它的引擎外面加了個殼而成。Dr.Web采用的也是啟發式和虛擬脫殼技術，對付用了加密XTA算法而成的病毒也卓見成效。可惜的是，在中國，要麼使用采用Dr.Web引擎的假蜘蛛，要麼只能使用盜版。 當然，流行的殺毒軟件還有很多，也正是越來越多的殺毒軟件使得用戶在選擇時犯難。實際上，如果拋開許多表面上的東西，殺毒軟件的引擎實現技術無非是上述幾種，關鍵在於殺毒廠商的研發能力和實際工作效率，更取決於用戶的自身體驗。