品質出於架構 殺毒軟件新防護技術

　　我們常常會聽到「某某殺毒軟件品牌比其它品牌優越」、「某某品牌屢獲權威測試機構的最高評價」之類的宣傳，但說到殺毒軟件品牌之間有何差異，卻未必人人說得出來。事實上，優秀的殺毒軟件究竟采用了怎樣的壓倒性技術，讓它在各種測試中脫穎而出？這些技術又有何革命性的意義，更全面地保護我們的計算機安全呢？在這篇文章中，我們將會深入剖析 ESET NOD32 已獲得專利的 ThreatSense.NET引擎與嶄新的 ThreatSense.Net 系統。

　　軟件小資料

　　NOD32 Antivirus System 3.0.658 簡體中文版
　　軟件大小：16925KB
　　運行平台：WinNT/2000/XP/2003
　　下載地址：http://www.q.cc/2007/07/17/12782.html

　　ESET NOD32高效能的綜合性防護架構簡介

　　不少使用過 ESET NOD32 的用戶，都會驚訝它體積輕巧與速度驚人，其中一個成功之處在於ESET NOD32 采用綜合性防護架構 (Integrated Protection)。ESET NOD32 采用ThreatSense.NET引擎處理病毒、蠕蟲、廣告軟件、木馬、間諜軟件、網絡釣魚等各類惡意程序，大大簡化了工序並提高了執行效能。

　　某些殺毒軟件采用多套獨立的軟件處理不同的惡意程序，整套軟件高達數百 MB 之巨，這樣不僅加重了系統負擔，復雜的架構也造成管理困難，甚至在重疊的防護機制裡造成安全漏洞。相比之下， Virus Bulletin 的測試指出，ESET NOD32 的綜合性防護架構的掃毒速度往往比其它殺毒軟件快 2 至 5 倍，表現非常出眾。

　　ESET NOD32采用的 ThreatSense.NET引擎介紹

　　（1）;基因碼檢測技術

　　直到現在，幾乎所有的殺毒軟件主要還是通過病毒數據庫裡的病毒特征數據，與被掃描的文件加以對照，從而把符合條件的真正的病毒區分出來。由於幾乎每天都有新病毒或變種出現，各殺毒軟件廠商也只有不斷進行特征更新 (Signature Update) 與擴充自己的病毒數據庫，才能確保盡快把最新的病毒特征數據收錄其中。

　　這種處理方法看似簡單有效，但網絡世界裡出現過的病毒高達7萬多種，即使是仍活躍的病毒種類也達到數千種以上；若病毒數據庫要一口氣全部收錄，數據庫體積必然非常龐大，就是在掃描系統時進行逐個數據對照，過程也極為費時。因此，像ESET NOD32 等先進的殺毒軟件，已逐漸改變這種特征檢測 (Signature-based Detection) 的查毒方式，進而采用較新型的基因碼 (Generic Signature) 檢測技術。采用基因碼技術後，病毒特征和病毒庫的大小都得到了簡化。
病毒特征化繁為簡

　　所謂基因碼，就是指同一病毒族群中的不同變種，多半含有相同的病毒特征。不少病毒最初是以單一品種出現，後經由其它病毒作者修改或自行演化，最後變成數十種以上的病毒變種。若以傳統特征檢測方式處理，病毒數據庫便要為每一種病毒變種制作一份獨立的特征數據；而較新的基因碼檢測技術，則會從各變種中找出共同之處，包括一些非連續的程序代碼，以此找出同一類型病毒的普遍特征。
縮小病毒數據庫的體積

　　這樣，在進行系統掃描時，由於采用較少的特征數據就能檢測龐大的病毒種類，因此進行特征對照時便能大大縮短時間。同時，對於由同一種源頭變化出來的新變種，只要吻合該族群的普遍特征條件，即使未更新病毒數據庫亦很有可能成功進行識別。因此，ESET NOD32 更新病毒數據庫所用的時間極短，每次更新不過下載 20KB 至 50KB 不等，絕不會加重網絡與硬盤的負擔。

　　（2）虛擬機技術

　　針對變形病毒、未知病毒等復雜的病毒情況，極少數防病毒軟件采用了虛擬機技術，達到了對未知病毒良好的查殺效果。它實際上是一種可控的，由軟件模擬出來的程序虛擬運行環境。在這一環境中虛擬執行的程序。雖然病毒通過各種方式來躲避防病毒軟件，但是當它運行在虛擬機中時，它並不知道自己的一切行為都在被虛擬機所監控，所以當它在虛擬機中脫去偽裝進行傳染時，就會被虛擬機所發現，如此一來，利用虛擬機技術就可以發現大部分的變形病毒和大量的未知病毒。

　　（3）代碼分析技術

　　為了對付病毒的不斷變化和對未知病毒的研究，代碼分析掃描方式出現了。代碼分析掃描是通過分析指令出現的順序，或特定組合情況等常見病毒的標准特征來決定文件是否感染未知病毒。因為病毒要達到感染和破壞的目的，通常的行為都會有一定的特征，例如讀寫敏感文件，自我刪除、自我復制，獲取操作系統底層權限等等。所以可以根據掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒。

　　ESET NOD32擁有嶄新的ThreatSense.Net預警系統

　　為了強化 ThreatSense.NET引擎的准確性與效率，ESET NOD32 在最新的版本裡加入了嶄新的ThreatSense.Net 預警系統。該系統可說是把 ThreatSense.NET 的優秀病毒分析能力，由個人計算機范圍拓展至全球性的規模處理；每當客戶端的 ESET NOD32 遇到疑似病毒的文件時，便可自動或手動地將該文件壓縮加密，並經由電郵寄送到 [email protected] ，快速地交由 ESET 總部的專家進行分析研究；一旦確定為病毒，ESET便迅速進行後續的處理。

　　小結

　　互聯網的普及，讓新病毒能在極短時間內迅速傳播至世界上的每一個角落；惡意程序的作者們在編寫新的病毒、蠕蟲與間碟軟件時，也致力於如何繞過殺毒軟件的法眼，包括利用各種加殼與加花技術來偽裝，好讓自己的「大作」能侵入系統大肆破壞。很多殺毒軟件廠商為了更迅速應對危機，無不強調其病毒數據庫更新之快；但無論行動有多麼迅速，在病毒首次出現與用戶成功更新數據庫之間，還是存在一段時間差，這段時間差可由數分鐘到長達數天不等。而ESET NOD32采用了基因碼 (Generic Signature) 檢測，虛擬機，代碼分析等業界領先的啟發式技術，即使病毒是由已知病毒變種而來的新病毒，病毒庫內並無與之相關的特征數據，ESET NOD32還是能夠將此新病毒識別與清除，讓這些新病毒沒有藏身之地。

　　例如，在 2005 年 9 月出現的 Win32/Bagle.DC 與 Win32/Bagle.DD 蠕蟲病毒，特性是通過電子郵件方式感染，當時以每小時 2000 封電郵的速度向外傳播；它在設計上故意避開了依靠特征檢測的系統，使絕大部分依靠特征更新的殺毒軟件無法作出實時響應。而 ESET NOD32 的 ThreatSense? 引擎則迅速發現該病毒的入侵，顯示了主動式與實時防護的重要性。事實上，在國際權威的主動式防護測試裡，ThreatSense? 引擎均能成功攔截超過 9 成以上的零日攻擊蠕蟲與病毒 (Zero-day worms and virus)，表現卓越！

　　（2）虛擬機技術

　　針對變形病毒、未知病毒等復雜的病毒情況，極少數防病毒軟件采用了虛擬機技術，達到了對未知病毒良好的查殺效果。它實際上是一種可控的，由軟件模擬出來的程序虛擬運行環境。在這一環境中虛擬執行的程序。雖然病毒通過各種方式來躲避防病毒軟件，但是當它運行在虛擬機中時，它並不知道自己的一切行為都在被虛擬機所監控，所以當它在虛擬機中脫去偽裝進行傳染時，就會被虛擬機所發現，如此一來，利用虛擬機技術就可以發現大部分的變形病毒和大量的未知病毒。

　　（3）代碼分析技術

　　為了對付病毒的不斷變化和對未知病毒的研究，代碼分析掃描方式出現了。代碼分析掃描是通過分析指令出現的順序，或特定組合情況等常見病毒的標准特征來決定文件是否感染未知病毒。因為病毒要達到感染和破壞的目的，通常的行為都會有一定的特征，例如讀寫敏感文件，自我刪除、自我復制，獲取操作系統底層權限等等。所以可以根據掃描特定的行為或多種行為的組合來判斷一個程序是否是病毒。

　　ESET NOD32擁有嶄新的ThreatSense.Net預警系統

　　為了強化 ThreatSense.NET引擎的准確性與效率，ESET NOD32 在最新的版本裡加入了嶄新的ThreatSense.Net 預警系統。該系統可說是把 ThreatSense.NET 的優秀病毒分析能力，由個人計算機范圍拓展至全球性的規模處理；每當客戶端的 ESET NOD32 遇到疑似病毒的文件時，便可自動或手動地將該文件壓縮加密，並經由電郵寄送到 [email protected] ，快速地交由 ESET 總部的專家進行分析研究；一旦確定為病毒，ESET便迅速進行後續的處理。

　　小結

　　互聯網的普及，讓新病毒能在極短時間內迅速傳播至世界上的每