反病毒技术发展四部曲.pdfVIP

Cover Story 封面报道 回顾·展望 反病毒技术发展四部曲 文 肖新光 / 2013年 尽管出现了斯诺登事件 让网络安全热度陡升 但从实际技术走向上看 并不是一个大场面年 人 ， ， ， ， 。 们在这一年更多是改进已经突破的技术 或知道早已存在的事实 在这个看似火爆 实则平淡的年份 作者 ， 。 、 ， 回望反病毒技术的发展全程 不禁若有所思 遂总结其中较为熟悉的四个关键的发展阶段 献给读者 ， ， ， 。 现代反病毒的技术体系前端以反病毒引擎技术为 反病毒引擎是一个非常传统的概念，其在DOS时 核心，服务于主机与网络两个工作场景；而后端则 代依靠感染式病毒驱动已基本成形。在反病毒软 靠大规模海量分析处理体系作为支持。前端所采 件的早期经历了从专杀程序、组合工具、集成工 集的文件和事件提交后端体系分析处理，而后端则 具的过程，当数十个乃至上百个检测清除模块难 为前端产品提供规则升级、模块分发和其他支撑 以维护调试的时候，反病毒工作者开始将其检测 能力，这个实时能力迭代构成了一个持续不竭的信 方法形式化，将代码和数据分离。今天的反病毒 息循环。 引擎是由十几个主模块 （用于关键格式解析、预 正如世界上一切漫长而精彩的过程一样，反病毒 处理、规则匹配等），成千上万个小模块 （检测、 体系的形成也并非源自马基雅维利似的先验设计， 处理大量不能采用通用规则和参数处理的）组成 的，而与之配套的病毒库规则条数也以百万计、 而是在不断的威胁迁移和演进中逐渐成形的。其中 既有大量规律和必然，也有部分巧合与偶然。 甚至超过千万。但如果按照不同模块在对象处理 中扮演的角色，同样可以对反病毒引擎进行过程 感染式病毒驱动的反病毒引擎的成 抽象，而将其划分为分流器、预处理器、匹配器、 熟 1988-1995 鉴定器、处置器几部分。反病毒引擎的基本原理 （ ） 正是分流器基于格式识别把不同的数据对象分流 在整个反病毒的技术体系中，反病毒引擎是最先 到不同的检测分支；预处理器则是对这些数据进 成熟的。反病毒引擎是依赖于一组可扩展维护的 行加工 （如脱壳、解包裹、解码等）使它满足特征 数据结构，对待检测对象进行病毒检测和处理的 匹配的场景条件；匹配器是依托病毒库结构去完 程序模块的统称，而其所依赖的可维护数据结构