世界著名杀毒软件引擎分析.doc
4页世界著名杀毒软件引擎分析目前国内用户最多、评论最火的世界顶级杀毒软件,主要是以下三款:卡巴斯基 (Kaspersky),诺顿(Norton)和麦咖啡(McAfee)»下面就其查杀引擎作一简要分析:(1) 卡巴斯基引擎中的虚拟机技术相当先进,并且采用了单一形式的规则判断它 具有反应快速的超大病毒库,检测到病毒时启动非常快,而且查杀凶狠、彻底卡巴斯基很 少引用别的公司开发的技术,而是在不断的深化、改进自身的杀毒引擎,这是真正做技术的 公司才具有的值得尊敬行为2) 诺顿的杀毒引擎采用了系统最底层的核心驱动方式,理论上说是最安全、最高 级、最稳定的方式因为是从最底层保护计算机,因此在运行速度上不那么尽如人意很多 人对诺顿的病毒隔离机制颇多诟病其实在没有得到正确的处理方式之前采用隔离手段是非 常明智的行为,至少不会造成数据的丢失.(3) McAfee的引擎工作在硬件虚拟层,采用国际杀毒流行趋势的启发式杀毒和虚拟 脱壳技术在最近McAfee的宣传中,经常能看到“防止应用程序溢出”这种技术的频繁出 现,大意是说在不考虑硬件平台的情况下将虚拟机技术和实时监控技术的完美结合,这项技 术应当说功底相当深厚。
常用的五大杀毒软件引擎分析!诺顿这个最熟悉了,诺顿的杀毒软件实际上防止侦测方面做得并不是很好,很多病毒程序在 子程序段中经常借鉴搞崩诺顿的代码,希望在新版本中诺顿可以采用更强的自身防护技术 诺顿的引擎应该是完全自成封闭体系的,没有资料证实诺顿曾经购买或者借鉴过别的杀毒引 擎传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计,因此曾经在微软社区在 线聊天时,问过这个问题回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要,它自己的 引擎搞得挺好的有一个叫fenssa的家伙甚至回贴说不考虑病毒库因素,诺顿的杀毒引擎相 当先进,综合防护性能很好在微软,除了用mcafee的就使用诺顿的(这一点我比较相信,很少见到别的杀软在微 软被使用)从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚 拟机环境下诺顿工作过程的步进追踪和反编的文章来看,诺顿的杀毒引擎应该是传统的静态 代码对应与实时监控的完美结合,应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么 推崇虚拟机技术)诺顿的杀毒速度慢,应该源于诺顿采用了较多的静态代码这种传统的检 查方式有关我个人非常喜欢诺顿的隔离机制,我认为在没有确定完全正确的处理方式之 前,删除是不应该被采用的。
一个高手写的病毒应该能尽可能的与系统进程相关,在这种情 况下,隔离的优势立刻显现诺顿资源占用量比较大,但实现了如下设计目标:能识别的病 毒和被识别为病毒的进程完全可以正确处理,对已经不可能产生破坏作用的'病毒尸体,不会 产生误判,更不会出现一次又一次的在处理完某病毒后又检测其为病毒的状况很多人认为诺顿企业版和个人板采用的引擎完全一致这种理解不很正确实际上企业 版在个人板的技术上还是有改进的zdnet ±刊登过一篇文章指出:企业版和个人版引擎的 核心规则完全一样,但在前端文件汇入部分企业版是优于个人版的,企业版使用了更多的 API接口文章中说,在大规模文件扫描时,企业版明显优于个人版并且由于使用了负载 技术,企业版资源占用还好一点另外据说企业版支持基于网络的多重负载技术Mcafee记得看过一篇报道说mcafee收购过别的杀毒软件引擎设计公司,据回贴可知为所罗门 在网上很少能看到关于对mcafee的杀毒引擎进行过分析的技术文档,但从他自己宣传的资 料看,mcafee对虚拟机技术和实时监控研究的都挺彻底的比如他最近宣传防止应用程序 溢出(大致这个名字)的技术,应该是在不考虑硬件平台的情况下虚拟机技术和实时监控技术 结合的上乘之作,尽管经常出现错误的溢出侦测(软件层面的放溢出技术确实不很稳定)。
在 处理大量的文件时,mcafee有一定的速度优势(微软社区中有这个问题的论述)有来自于 mcafee论坛的消息说,mcafee正在研究更先进的智能码扫描技术,估计肯定比东方卫士搞 得要好根据组长的回贴,McAfee自发布VSE8.0i以来就着重于”前慑防范”这一新型的安 全领域,并且NORTON也在超这一方向迈进前慑防范”一共分为两个部分,其一为运用部分防火墙技术外加其入侵检测技术有效的 阻断病毒的传播源,以至于病毒在传染的初期无法得到大面积的传播降低了危害性;其二为 依靠其强大的特征码检测技术(Extra.dat)对病毒的行为方式、特征代码等进行检测,依靠它 强大的研发团队以及策略联盟伙伴使其在这一领域独树一帜诺顿能在其新版产品中也加入 了一些原本属于防火墙的功能发邮件询问诺顿的研究人员为什么没有采用特征码杀毒技 术,回应说一个完美的特征码扫描技术应该能够达到根据用户的指定加入特定文件为病毒的 目的,也就是当用户指定某个活动程序为病毒时,杀毒软件的引擎能够根据自身的规则为 该活动程序定义一个特征码,并且在控制该活动程序时,能够有效地断绝其与系统正常进程 的关联在没有这个水平之前,诺顿不会大规模采用特征码技术。
从mcafee的技术文档来 看,mcafee也只是有限度的试验性的研究该技术,并在比较有把握的地方应用实际上两 家公司在这方面还有很长的路要走卡巴斯基本论坛上被过度神话的杀毒软件我个人非常尊重卡巴斯基的高水准,但说句实话,在 不考虑资源占用的情况下,卡巴斯基并没有什么足够的理由能够让我放弃诺顿,二者的水 平并没有什么差异在稳定性上,卡巴斯基比诺顿要差一些由于早些年卡巴斯基的引擎曾 经泄漏(实际上泄漏的并不是初始源代码,只是泄漏的引擎可以比较容易的反编),因此网 上可以找到很多关于卡巴斯基引擎的非常详细的技术分析,尤其是德国的病毒高手写的关于 如何优化卡巴斯基杀毒引擎的文章,被认为是所有采用卡巴斯基引擎的杀毒软件厂商必看的 文章之一,就象美国人写的那篇VB100到底怎么测试杀毒软件(里面作者综合近几年的测试 结果推测了 VB100在测试时可能使用的病毒类型,相关比例等)是杀毒软件厂商在将自己的 软件送测前必看的文章一样从网上大量的分析文档看卡巴斯基的虚拟机技术是很优秀的,但是去年有人发贴认为 卡巴斯基的良好的性能来源于它非常庞大的病毒库和良好的升级速度,其杀毒引擎设计水平 并不高于其余的公司。
卡巴斯基的引擎采用了所谓的单一形式的规则判断,众所周知诺顿是 基于分类的规则处理卡巴斯基的引擎在文件标识比对病毒库的时候被认为有着很好的性 能,充分利用了处理器的处理能力,”但令人担忧的是,该公司对最新出现的技术并不充分 重视”(英国的计算机杂志去年年末的评论),究竟是对原有引擎进行彻底改进还是大量使用 新技术,估计谁都不知道卡巴斯基的引擎存在叫做所谓的”过于简短的文件码”问题,说白 了就是有时候会鞭尸,它的研究人员说正在改进前段时间有人发帖子中指出病毒编写者只 认可卡巴斯基,说实话看了很多论坛文档,好像没有哪个强人这么说过卡巴斯基走的是与 美国厂商有很大区别的研发道路,卡巴斯基很少引用别的公司开发的技术,而是在不断的深 化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并 不是全部卡巴斯基是一款很好的杀毒软件,但并不是神应该说它与诺顿,mcafee 一样 都站在杀毒软件的顶峰水平上在国内,一直有江民的杀毒软件采用卡巴斯基引擎的传闻,说句实话业界相当一部分 杀毒软件都参考了其引擎设计,即使在国内也没有足够的信息证实只是江民参考了其引擎设 计很多人都使用各利,各样的病毒包对卡巴斯基和江民进行测试,测试结果是完全一样。
说 句实话,这种测试并没有什么可信性,对化石抱的检测各种杀毒软件结果几乎都一样只有两种方法能够说两者的引擎如何:1.将两款软件送至VB100或者类似的权威机 构进行测试,如果两者对其中未知病毒的测试结果(这个结果并不公布,厂商自己去买)完 全一样,那什么都没说的两个不同的引擎机制在对待同样大规模的未知病毒库时出现相同 的检测结果近乎是不可能的可惜的是,江民没有参加过VB100测试,好像也不大可能个 人有足够庞大的未知病毒库来进行检测2.采用类似于破解的方法进行反编,分析整个软件 的工作机制,工作量有多大相信都能猜出来,也没有见过有人搞过这种研究因此我个人只 能认为江民可能(较大程度的)参考了卡巴斯基的杀毒引擎设计,但从两款杀毒软件的灵敏程 度,杀毒速度等诸多方民看,即使江民采用了卡巴斯基的引擎,江民也应该进行了很大程度 的源代码修改或者优化,另外也有消息说江民在引擎中加入了一些自己开发的技术,在实 现方法上类似于数字码技术霏凡上曾有高手指出假如公布两款软件的源代码,可能并不会 有人能看出二者有什么关系实际上,当发现江民的软件并不能使用卡巴斯基的病毒库的时候,我们就应该知道即便 曾经借鉴过,二者也已经可以被认为是不同的杀毒引擎。
可能在win3.x平台下,二者曾经 很相近;但是今天我们在使用winxp.即使江民确实采用过卡巴斯基的引擎,那么可以说江民 在某些方面发展了这套引擎,尽管这种发展未必与原始的研发方向相符但无论基于何种 角度考虑,我认为江民的杀毒软件还是有优秀之处的毕竟你回头看一看国内的杀毒软件厂 商,在真正的技术研发领域只有这么一面旗帜偶尔飘扬一步步走下来,江民还是有技术 进步的只就纯技术因素而论,假如江民采用了卡巴斯基的引擎,那么今天两家厂商在不同 的方向上发展着那套原始的引擎,这未必是坏事,只要不固步自封,我们好像没什么必要 争论两家厂商是否一个原始祖先,怕的就是在别人都往前跑的时候自己停下来,这跟自取灭 亡没什么区别尽管市场是杀毒软件厂商的第一要素,但别忘了技术是一个杀毒软件能否 基业常青的决定性力量熊猫第四个就是熊猫了,哈哈,这个西班牙的东东,全球第一个自动升级的,人家的引擎 也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用, 占内存很大,金山好像现在就在仿熊猫,监控好像不是,杀毒和升级都是防造熊猫的,金山 的监控很垃圾,你用用就知道了DR.WEB是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。
和卡巴斯 基本是一样的,但引擎和技术不一样,是俄罗斯官方和军队的采用的产品,商业和个人大多 是采用卡巴,分两个版本只有一个对外,而且它的技术是俄罗斯国家科学院为后盾的这 个杀毒软件公司目标不是赚钱,纯粹为了技术,所以现在都没有中文版,它从来不把二进制 病毒和不能发做的木马列入病毒库,所以在一些测试中名字不是很靠前,甚至很少参加测评, 但杀毒实力绝对在卡巴以上,占用内存很少,差不多4兆启发式加虚拟脱壳,北斗的壳, 外面再加壳,加跳针也可以干掉,占用内存很少可以说是最强的引擎对付变种病毒和木马最好了可以干掉加密XTA算法清除极其复杂的病毒今天用驱逐 舰全面扫描了一下,没有发信什么但用DRWEB 一扫发现这么多没有扫出来,虽然大多 数是广告看来核心技术比dr.web还是差很多,大家不要以为你真的用上了 DRWEB人 家俄罗斯说了,核心的东西是不卖的.驱逐舰用的它的引擎,但毕竟是假蜘蛛,杀毒效果和 DR» WEB根本不一样。
