详细评说各种杀毒引擎.docVIP

详细评说各种杀毒引擎 2009年03月02日 星期一 15:55 1.什么是杀毒软件引擎，与病毒库的关系？首先必须指出杀毒软件的引擎与其病毒库并没有什么直接的关系。杀毒引擎的任务和功能非常简单，就是对于给定的文件或者程序进程判断其是否是合法程序（对应 于杀毒软件厂商自己定义的正常和非异常程序规范而言。正常的程序规范是指在程序所在系统平台上操所系统本身洗净有定义的或者业界已经公认的程序行为过程， 比如操作系统正常运行就必须要求应用程序与系统核心进行进程响应并与交换相关数据。非异常程序活动是指可能存在非法程序操作结果但能够以较高的置信度确定 其非非法程序活动规范的。一般情况下，相关文件的复制，移动，删除等都奔包括在该界定范围内）。我们知道病毒的最终目的有些是与合法活动很类似的，在这种情况下，要求软件厂商必须自己有一个行为规范界定规则，在一个给定的范围和置信度下，判断相关操 作是否为合法。在这方面，各个厂商的界定是有区别的，一般而言非美国厂商界定是非常严格的，只有有很高的置信水平的程序行为，他们才判别为非病毒操作。记 得前一阵论坛上有人给了四段简单的代码，很多杀毒软件将其判为病毒或有病毒性质的文件行为，实际上看那几段代码可以知道，其结果并不足以视之为病毒。美国 厂商一般判断比较复杂，这主要由于美国市场上的杀毒软件引擎来源比较复杂，比如诺顿，有足够的技术资料确信它的杀毒软件引擎是自成体系的，而mcafee 则存在一定的外界技术引进（收购所罗门）。用简单的话说，杀毒引擎就是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机制。一个完整的技术引擎遵守如下的行为过程：1.非自身程序行为的程序行为捕获。包括来自于内存的程序运行，来自于给定文件的行为虚拟判断，来自于网络的动态的信息等等。一般情况下，我们称之为引擎 前端。捕捉的方法非常多，除诺顿以外的杀毒软件采用的都是行为规范代码化的方法。诺顿由于与微软有这远远高于其它厂商合作关系，其实现过程比较独特，另有 叙述。2.基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平，一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为，存而避免进入 下一个判断环节。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术，即在文件中寻找特定十六进制串，如果找到，就可判定文件感染了某种病毒。但这种 方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒，相继开发了所谓的虚拟机，实时监控等相关技术。这个环节被叫做杀毒软件 引擎工作的核心层。3.引擎与病毒库的交互作用。这个过程往往被认为是收尾阶段，相对于前两个环节，这个阶段速度是非常慢的，杀毒引擎与要将非自身程序行为过程转化为杀毒软 件自身可识别的行为标识符（包括静态代码等），然后与病毒库中所存贮的行为信息进行对应，并作出相应处理。当然必须承认，当前的杀毒软件对大量病毒的识别 都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到，如果在核心层阶段就可以结束并清除病毒程序，那么 杀毒软件的工作速度将会大幅提升。很可惜的是，当前我们没有足够聪明的杀毒引擎来完成这个过程，这就是为什么有病毒库的原因。诺顿是微软最高级的安全方面核心合作厂商，因此它的杀毒软件在某些方面工作比较特殊。比如在杀毒软件的安装，使用和功能实现方面，大部分厂商采用的是中间 件技术，在系统底层与非自身应用程序之间作为中间件存在并实现其功能；另有一些厂商使用的是应用程序或者嵌入技术，相对而言这种方法安全性较低；诺顿和 mcafee实现方式比较相似，诺顿采用了基于系统最底层的系统核心驱动，这种实现方式是最安全的或者说最高级的实现方式，当然这需要微软的系统源代码级 的支持（要花许多money），业界公认，这是最稳定的实现方法，但从目前而言，只诺顿一家。Mcafee实现方式与诺顿很接近，一般称之为软件驱动。相 当于在系统中存在一个虚拟硬件，来实现杀毒软件功能。这些实现方式关系着杀毒引擎对程序行为进行捕捉的方式。我们使用的intel系的处理器有两个 ring层，对应两个层，微软的操作系统将系统中的所有行为分为如下几个层：1.最底层：系统核心层，这个层的所有行为都由操作系统已经内置的指令来实现，所有外界因素（即使你是系统管理员）均不能影响该层的行为。诺顿的核心层既工作在这个层上。2.硬件虚拟层，一般称之为HAL。为了实现硬件无关性，微软设计了该层。所有的外部工作硬件（相对于系统核心而言）都进入HAL，并被HAL处理为核心 层可以相应的指令。我们所使用的硬件的驱动程序既工作在该层上。当外界硬件存在指令请求时，驱动程序作出相关处理后传给核心层。如果无与之对应的驱动相 应，那么将按照默认硬件进行处理