話說諾頓的殺毒引擎 NIS2011越來越好用了

1.什么是殺毒軟件引擎，與病毒庫的關(guān)系？ 我們知道病毒的最終目的是與合法活動很類似的，在這種情況下，要求廠商必須自己有一個行為規(guī)范界定規(guī)則，在一個給定的范圍和置信度下，判斷相關(guān)操作是否合法。各個廠商的界定是有區(qū)別的，一般而言美國廠商界定是非常嚴(yán)格的，只有很高的置信水平的程序行為，他們才判別為非病毒操作。美國廠商一般判斷比較復(fù)雜，這主要由于美國市場上的殺毒軟件引擎來源比較復(fù)雜，比如諾頓，有足夠的技術(shù)資料確信它的殺毒軟件引擎是自成體系的，而 Mcafee 則存在一定的外界技術(shù)引進(jìn)（收購所羅門） 諾頓是微軟最高級的安全方面核心合作廠商，因此它的殺毒軟件在某些方面工作比較特殊比如在殺毒軟件的安裝，使用和功能實(shí)現(xiàn)方面，大部分廠商采用的是中間件技術(shù)，在系統(tǒng)底層魚非自身應(yīng)用程序之間作為中間件存在并實(shí)現(xiàn)其功能（ 這個能看出來，比如開windows 防火墻，會顯示正由Norton Internet Security管理，ms還沒有那個廠商能像Norton一樣做到這一步吧）；另有一些廠商使用的是應(yīng)用程序或者嵌入技術(shù)，相對而言這種方法安全性較低；諾頓和Mcafee實(shí)現(xiàn)方式比較相似，諾頓采用了基于系統(tǒng)最底層的系統(tǒng)核心驅(qū)動，這種實(shí)現(xiàn)方式是最安全的或者說最高級的實(shí)現(xiàn)方式，當(dāng)然這需要微軟的系統(tǒng)源代碼級的支持（要花許多money），業(yè)界公認(rèn)，這是最穩(wěn)定的實(shí)現(xiàn)方法，但從目前而言，只諾頓一家。（那是xp時代，現(xiàn)在也沒聽說symantec獲得了win7的代碼，當(dāng)然也不太可能） 盡管比較先進(jìn)的工作方式給諾頓和Mcafee帶來了較高的系統(tǒng)穩(wěn)定性，較快的響應(yīng)速度。但同時也帶來了一些問題：1。資源占用比較厲害。在Mcafee上體現(xiàn)的不是很明顯，在諾頓上表現(xiàn)非常明顯。因?yàn)閷τ谠降讓拥男袨�，硬件資源分配越多。。最耗資源的是什么？當(dāng)然是操作系統(tǒng)。因?yàn)樗�在最底層。（現(xiàn)在終于知道以前諾頓占資源的原因了）2。卸載問題。卸載底層的組件出問題的概率是相對比較高的，因?yàn)橹Z頓的卸載比較慢，偶爾還出問題。（這個真沒聽過。。。） 2.引擎部分的實(shí)現(xiàn) 殺毒引擎目前主流有兩種實(shí)現(xiàn)方式：1.虛擬機(jī)技術(shù) 2.實(shí)時監(jiān)控技術(shù) 3.智能碼標(biāo)識技術(shù) 4.行為攔截技術(shù) 3.4.為最近兩年搞出來的技術(shù)。3的目的是提高殺毒速度并且預(yù)防未知病毒，但就顯示而言，除了東方衛(wèi)士實(shí)驗(yàn)了一下(并且不成功），其余廠商未完全基于該技術(shù)的引擎。 對于未知病毒的判斷實(shí)際上代表著殺毒軟件廠商在引擎研究方面的最高能力。業(yè)界公認(rèn)，防止未知病毒 是“代表研究水平的”。 平心而論，非美國廠商在這方面能力較差。業(yè)界對于防止未知病毒能力是按照如下方法衡量的：以評測當(dāng)日的殺毒軟件最新版本為該廠商的供測試版本，未知病毒由如下而來：1.病毒作者提供給。2.業(yè)界安全雜志自己的研究實(shí)驗(yàn)室的研究人員根據(jù)最新的趨勢和技術(shù)手段及工具寫的一些病毒。一般情況下，這些病毒式不會流到網(wǎng)上去的。3.假病毒。測試的時候病毒庫被置空，在這種情況下進(jìn)行測試。（掃描測試區(qū)可以借鑒哦） 小結(jié)：文中有一部分來源于業(yè)已公開的技術(shù)資料，有一部分來源于病毒論壇上被奉為經(jīng)典的反編，還有一部分來源于廠商技術(shù)人員的介紹（官方和私下的都有）。 諾頓：諾頓的殺毒軟件實(shí)際上防止偵測方面做得并不是很好，很多病毒程序在子程序中經(jīng)常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強(qiáng)的自身防護(hù)技術(shù)。諾頓的殺毒引擎應(yīng)該是完全自成封閉體系的，沒有資料證實(shí)諾頓曾經(jīng)購買或者接見過別的殺毒引擎。傳聞很多公司都在設(shè)計(jì)是參考過卡巴斯基的泄露版引擎設(shè)計(jì)，因此在微軟社區(qū)在線聊天室，問過這個問題。回帖一致認(rèn)為諾頓借鑒卡巴斯基的殺毒引擎毫無必要，他自己的殺毒引擎相當(dāng)先進(jìn)。有一個叫fenssa的家伙甚至回帖說不考慮病毒庫因素，諾頓的殺毒引擎相當(dāng)先進(jìn)，綜合防護(hù)性能很好。在微軟，除了用Mcafee的就使用哪個諾頓的（額，御用eset跑哪去了？） 從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A 的一個家伙搞的一篇叫虛擬機(jī)環(huán)境下諾頓工作過程的步進(jìn)追蹤和反編的文章來看，諾頓的殺毒引擎應(yīng)該是傳統(tǒng)的靜態(tài)代碼對應(yīng)與實(shí)時監(jiān)控的完美結(jié)合，應(yīng)該有一些改進(jìn)的虛擬機(jī)技術(shù)在里面（諾頓的人并不怎么推崇虛擬機(jī)技術(shù)）諾頓的殺毒速度很慢，應(yīng)該源于諾頓采用了較多的靜態(tài)代碼這種傳統(tǒng)的檢查方式有關(guān)。 以前的諾頓很難卸的。08開始，流暢度，安裝、卸載速度有了質(zhì)的提高. “這個能看出來，比如開windows 防火墻，會顯示正由Norton Internet Security管理，ms還沒有那個廠商能像Norton一樣做到這一步吧”——————這個好像不是諾頓獨(dú)有。 個人認(rèn)為一般帶防火墻的安全軟件都會接管windows防火墻，沒記錯的話以前裝卡巴的時候也是這樣。 P.S. :我現(xiàn)在用nis2011很流暢，放心。