以下為各家廠商的殺毒引擎簡介,文中有一部分來源於業已公開的技術資料,有一部分來源於在病毒論壇上被奉為傳統的反編,還有一部分來源於廠商技術人員的介紹(官方和私下的都有)。
1.諾頓:這個最熟悉了,諾頓的殺毒軟體實際上防止偵測方面做得並不是很好,很多病毒程序在子程序段中經常借鑒搞崩諾頓的程式碼,希望在新版本中諾頓可以採用更強的自身防護技術。
諾頓的引擎應該是完全自成封閉體系的,沒有資料證實諾頓曾經購買或者借鑒過別的殺毒引擎。
傳聞很多公司都在設計時參考過卡巴斯基的洩漏版引擎設計,因此曾經在微軟社區在線聊天時,問過這個問題。回貼一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無必要,它自己的引擎搞得挺好的。
有一個叫fenssa的傢伙甚至回貼說不考慮病毒庫因素,諾頓的殺毒引擎相當先進,綜合防護效能很好。
在微軟,除了用mcafee的就使用諾頓的(這一點我比較相信,很少見到別的殺軟在微軟被使用)。
從諾頓的技術我的文件描述和在病毒論壇上流傳的29A的一個傢伙搞的一篇叫虛擬機環境下諾頓工作程序的步進追蹤和反編的文章來看,諾頓的殺毒引擎應該是傳統的靜態程式碼對應與既時監控的完美結合,應該有一些改進的虛擬機技術在裡面(諾頓的人並不怎麼推崇虛擬機技術)。諾頓的殺毒速度慢,應該源於諾頓採用了較多的靜態程式碼這種傳統的檢查方式有關。
我個人非常喜歡諾頓的隔離機制,我認為在沒有確定完全正確的處理方式之前,移除是不應該被採用的。
一個高手寫的病毒應該能盡可能的與系統工作相關,在這種情況下,隔離的優勢立刻顯現。諾頓資源佔用量比較大,但實現了如下設計目標:
能識別的病毒和被識別為病毒的工作完全可以正確處理,對已經不可能產生破壞作用的』病毒屍體『不會產生誤判,更不會出現出現一次又一次的在處理完某病毒後又檢測其為病毒的狀況。
很多人認為諾頓企業版和個人板採用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。
zdnet上刊登過一篇文章指出:
企業版和個人版引擎的核心規則完全一樣,但在前端文件匯入部分企業版是優於個人版的,企業版使用了更多的API接頭。
文章中說,在大規模文件掃瞄時,企業版明顯優於個人版。
並且由於使用了負載技術,企業版資源佔用還好一點。
另外據說企業版支持關於網路的多重負載技術。
卡巴從去年已經是微軟安全軟體的金牌合作夥伴吧!
微軟的各層次的合作夥伴滿天飛,只有那種能獲得」來源碼級「系統底層支持的合作夥伴才是微軟所真正給與最強大技術支持的。諾頓和mcafee很少宣傳自己是什麼層次的合作夥伴,關鍵在於能給多少支持。
反彙編過norton,就知道它在ring0。
另外,其實網頁的監控還是比較必要的,網頁的指令碼在記憶體中執行,文件監控無法做到攔截。
當然如果有很好的記憶體監控可以解決這個問題。但是真正的記憶體監控比較難實現。
|