諾頓

　　這個(gè)最熟悉了，諾頓的殺毒軟件實(shí)際上防止偵測(cè)方面做得并不是很好，很多病毒程序在子程序段中經(jīng)常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強(qiáng)的自身防護(hù)技術(shù)。諾頓的引擎應(yīng)該是完全自成封閉體系的，沒有資料證實(shí)諾頓曾經(jīng)購買或者借鑒過別的殺毒引擎。傳聞很多公司都在設(shè)計(jì)時(shí)參考過卡巴斯基的泄漏版引擎設(shè)計(jì)，因此曾經(jīng)在微軟社區(qū)在線聊天時(shí)，問過這個(gè)問題?；刭N一致認(rèn)為諾頓借鑒卡巴斯基的殺毒引擎毫無必要，它自己的引擎搞得挺好的。有一個(gè)叫fenssa的家伙甚至回貼說不考慮病毒庫因素，諾頓的殺毒引擎相當(dāng)先進(jìn)，綜合防護(hù)性能很好。

　　在微軟，除了用mcafee的就使用諾頓的(這一點(diǎn)我比較相信，很少見到別的殺軟在微軟被使用)。從諾頓的技術(shù)文檔描述和在病毒論壇上流傳的29A的一個(gè)家伙搞的一篇叫虛擬機(jī)環(huán)境下諾頓工作過程的步進(jìn)追蹤和反編的文章來看，諾頓的殺毒引擎應(yīng)該是傳統(tǒng)的靜態(tài)代碼對(duì)應(yīng)與實(shí)時(shí)監(jiān)控的完美結(jié)合，應(yīng)該有一些改進(jìn)的虛擬機(jī)技術(shù)在里面(諾頓的人并不怎么推崇虛擬機(jī)技術(shù))。諾頓的殺毒速度慢，應(yīng)該源于諾頓采用了較多的靜態(tài)代碼這種傳統(tǒng)的檢查方式有關(guān)。我個(gè)人非常喜歡諾頓的隔離機(jī)制，我認(rèn)為在沒有確定完全正確的處理方式之前，刪除是不應(yīng)該被采用的。一個(gè)高手寫的病毒應(yīng)該能盡可能的與系統(tǒng)進(jìn)程相關(guān)，在這種情況下，隔離的優(yōu)勢(shì)立刻顯現(xiàn)。諾頓資源占用量比較大，但實(shí)現(xiàn)了如下設(shè)計(jì)目標(biāo)：能識(shí)別的病毒和被識(shí)別為病毒的進(jìn)程完全可以正確處理，對(duì)已經(jīng)不可能產(chǎn)生破壞作用的’病毒尸體‘不會(huì)產(chǎn)生誤判，更不會(huì)出現(xiàn)出現(xiàn)一次又一次的在處理完某病毒后又檢測(cè)其為病毒的狀況。

　　很多人認(rèn)為諾頓企業(yè)版和個(gè)人板采用的引擎完全一致這種理解不很正確。實(shí)際上企業(yè)版在個(gè)人板的技術(shù)上還是有改進(jìn)的。zdnet上刊登過一篇文章指出：企業(yè)版和個(gè)人版引擎的核心規(guī)則完全一樣，但在前端文件匯入部分企業(yè)版是優(yōu)于個(gè)人版的，企業(yè)版使用了更多的API接口。文章中說，在大規(guī)模文件掃描時(shí)，企業(yè)版明顯優(yōu)于個(gè)人版。并且由于使用了負(fù)載技術(shù)，企業(yè)版資源占用還好一點(diǎn)。另外據(jù)說企業(yè)版支持基于網(wǎng)絡(luò)的多重負(fù)載技術(shù)。

　　Mcafee

　　記得看過一篇報(bào)道說mcafee收購過別的殺毒軟件引擎設(shè)計(jì)公司，據(jù)回貼可知為所羅門。在網(wǎng)上很少能看到關(guān)于對(duì)mcafee的殺毒引擎進(jìn)行過分析的技術(shù)文檔，但從他自己宣傳的資料看，mcafee對(duì)虛擬機(jī)技術(shù)和實(shí)時(shí)監(jiān)控研究的都挺徹底的。比如他最近宣傳防止應(yīng)用程序溢出(大致這個(gè)名字)的技術(shù)，應(yīng)該是在不考慮硬件平臺(tái)的情況下虛擬機(jī)技術(shù)和實(shí)時(shí)監(jiān)控技術(shù)結(jié)合的上乘之作，盡管經(jīng)常出現(xiàn)錯(cuò)誤的溢出偵測(cè)(軟件層面的放溢出技術(shù)確實(shí)不很穩(wěn)定)。在處理大量的文件時(shí)，mcafee有一定的速度優(yōu)勢(shì)(微軟社區(qū)中有這個(gè)問題的論述)。有來自于mcafee論壇的消息說，mcafee 正在研究更先進(jìn)的智能碼掃描技術(shù)，估計(jì)肯定比東方衛(wèi)士搞得要好。根據(jù)組長(zhǎng)的回貼，McAfee自發(fā)布VSE8.0i以來就著重于前懾防范這一新型的安全領(lǐng)域，并且NORTON也在超這一方向邁進(jìn)。

　　前懾防范一共分為兩個(gè)部分，其一為運(yùn)用部分防火墻技術(shù)外加其入侵檢測(cè)技術(shù)有效的阻斷病毒的傳播源，以至于病毒在傳染的初期無法得到大面積的傳播降低了危害性;其二為依*其強(qiáng)大的特征碼檢測(cè)技術(shù)(Extra.dat)對(duì)病毒的行為方式、特征代碼等進(jìn)行檢測(cè)，依*它強(qiáng)大的研發(fā)團(tuán)隊(duì)以及策略聯(lián)盟伙伴使其在這一領(lǐng)域獨(dú)樹一幟。諾頓能在其新版產(chǎn)品中也加入了一些原本屬于防火墻的功能。發(fā)郵件詢問諾頓的研究人員為什么沒有采用特征碼殺毒技術(shù)，回應(yīng)說一個(gè)完美的特征碼掃描技術(shù)應(yīng)該能夠達(dá)到根據(jù)用戶的指定加入特定文件為病毒的目的，也就是當(dāng)用戶指定某個(gè)活動(dòng)程序?yàn)椴《緯r(shí)，殺毒軟件的引擎能夠根據(jù)自身的規(guī)則為該活動(dòng)程序定義一個(gè)特征碼，并且在控制該活動(dòng)程序時(shí)，能夠有效地?cái)嘟^其與系統(tǒng)正常進(jìn)程的關(guān)聯(lián)。在沒有這個(gè)水平之前，諾頓不會(huì)大規(guī)模采用特征碼技術(shù)。從mcafee的技術(shù)文檔來看，mcafee也只是有限度的試驗(yàn)性的研究該技術(shù)，并在比較有把握的地方應(yīng)用。實(shí)際上兩家公司在這方面還有很長(zhǎng)的路要走。

卡巴斯基

　　本論壇上被過度神話的殺毒軟件。我個(gè)人非常尊重卡巴斯基的高水準(zhǔn)，但說句實(shí)話，在不考慮資源占用的情況下，卡巴斯基并沒有什么足夠的理由能夠讓我放棄諾頓，二者的水平并沒有什么差異。在穩(wěn)定性上，卡巴斯基比諾頓要差一些。由于早些年卡巴斯基的引擎曾經(jīng)泄漏(實(shí)際上泄漏的并不是初始源代碼，只是泄漏的引擎可以比較容易的反編)，因此網(wǎng)上可以找到很多關(guān)于卡巴斯基引擎的非常詳細(xì)的技術(shù)分析，尤其是德國的病毒高手寫的關(guān)于如何優(yōu)化卡巴斯基殺毒引擎的文章，被認(rèn)為是所有采用卡巴斯基引擎的殺毒軟件廠商必看的文章之一，就象美國人寫的那篇VB100到底怎么測(cè)試殺毒軟件(里面作者綜合近幾年的測(cè)試結(jié)果推測(cè)了VB100在測(cè)試時(shí)可能使用的病毒類型，相關(guān)比例等)是殺毒軟件廠商在將自己的軟件送測(cè)前必看的文章一樣。

　　從網(wǎng)上大量的分析文檔看卡巴斯基的虛擬機(jī)技術(shù)是很優(yōu)秀的，但是去年有人發(fā)貼認(rèn)為卡巴斯基的良好的性能來源于它非常龐大的病毒庫和良好的升級(jí)速度，其殺毒引擎設(shè)計(jì)水平并不高于其余的公司?？ò退够囊娌捎昧怂^的單一形式的規(guī)則判斷，眾所周知諾頓是基于分類的規(guī)則處理?？ò退够囊嬖谖募?biāo)識(shí)比對(duì)病毒庫的時(shí)候被認(rèn)為有著很好的性能，充分利用了處理器的處理能力，但令人擔(dān)憂的是，該公司對(duì)最新出現(xiàn)的技術(shù)并不充分重視(英國的計(jì)算機(jī)雜志去年年末的評(píng)論)，究竟是對(duì)原有引擎進(jìn)行徹底改進(jìn)還是大量使用新技術(shù)，估計(jì)誰都不知道?？ò退够囊娲嬖诮凶鏊^的過與簡(jiǎn)短的文件碼問題，說白了就是有時(shí)候會(huì)鞭尸，它的研究人員說正在改進(jìn)。前段時(shí)間有人發(fā)帖子中指出病毒編寫者只認(rèn)可卡巴斯基，說實(shí)話看了很多論壇文檔，好像沒有哪個(gè)強(qiáng)人這么說過?？ò退够叩氖桥c美國廠商有很大區(qū)別的研發(fā)道路，卡巴斯基很少引用別的公司開發(fā)的技術(shù)，而是在不斷的深化，改進(jìn)自身的殺毒引擎，單從某些方面評(píng)論，卡巴斯基的引擎代表著業(yè)界最高水準(zhǔn)，但并不是全部?？ò退够且豢詈芎玫臍⒍拒浖?，但并不是神。應(yīng)該說它與諾頓，mcafee一樣都站在殺毒軟件的頂峰水平上。

　　在國內(nèi)，一直有江民的殺毒軟件采用卡巴斯基引擎的傳聞，說句實(shí)話業(yè)界相當(dāng)一部分殺毒軟件都參考了其引擎設(shè)計(jì)，即使在國內(nèi)也沒有足夠的信息證實(shí)只是江民參考了其引擎設(shè)計(jì)。很多人都使用各種各樣的病毒包對(duì)卡巴斯基和江民進(jìn)行測(cè)試，測(cè)試結(jié)果是完全一樣。說句實(shí)話，這種測(cè)試并沒有什么可信性，對(duì)化石孢的檢測(cè)各種殺毒軟件結(jié)果幾乎都一樣。

只有兩種方法能夠說兩者的引擎如何：1.將兩款軟件送至VB100或者類似的權(quán)威機(jī)構(gòu)進(jìn)行測(cè)試，如果兩者對(duì)其中未知病毒的測(cè)試結(jié)果(這個(gè)結(jié)果并不公布，廠商自己去買)完全一樣，那什么都沒說的。兩個(gè)不同的引擎機(jī)制在對(duì)待同樣大規(guī)模的未知病毒庫時(shí)出現(xiàn)相同的檢測(cè)結(jié)果近乎是不可能的?？上У氖?，江民沒有參加過VB100測(cè)試，好像也不大可能個(gè)人有足夠龐大的未知病毒庫來進(jìn)行檢測(cè)。2.采用類似于破解的方法進(jìn)行反編，分析整個(gè)軟件的工作機(jī)制，工作量有多大相信都能猜出來，也沒有見過有人搞過這種研究。因此我個(gè)人只能認(rèn)為江民可能(較大程度的)參考了卡巴斯基的殺毒引擎設(shè)計(jì)，但從兩款殺毒軟件的靈敏程度，殺毒速度等諸多方民看，即使江民采用了卡巴斯基的引擎，江民也應(yīng)該進(jìn)行了很大程度的源代碼修改或者優(yōu)化，另外也有消息說江民在引擎中加入了一些自己開發(fā)的技術(shù)，在實(shí)現(xiàn)方法上類似于數(shù)字碼技術(shù)。霏凡上曾有高手指出假如公布兩款軟件的源代碼，可能并不會(huì)有人能看出二者有什么關(guān)系。

　　實(shí)際上，當(dāng)發(fā)現(xiàn)江民的軟件并不能使用卡巴斯基的病毒庫的時(shí)候，我們就應(yīng)該知道即便曾經(jīng)借鑒過，二者也已經(jīng)可以被認(rèn)為是不同的殺毒引擎。可能在win3.x平臺(tái)下，二者曾經(jīng)很相近;但是今天我們?cè)谑褂脀inxp.即使江民確實(shí)采用過卡巴斯基的引擎，那么可以說江民在某些方面發(fā)展了這套引擎，盡管這種發(fā)展未必與原始的研發(fā)方向相符。但無論基于何種角度考慮，我認(rèn)為江民的殺毒軟件還是有優(yōu)秀之處的。畢竟你回頭看一看國內(nèi)的殺毒軟件廠商，在真正的技術(shù)研發(fā)領(lǐng)域只有這么一面旗幟偶爾飄揚(yáng)。一步步走下來，江民還是有技術(shù)進(jìn)步的。只就純技術(shù)因素而論，假如江民采用了卡巴斯基的引擎，那么今天兩家廠商在不同的方向上發(fā)展著那套原始的引擎，這未必是壞事，只要不固步自封，我們好像沒什么必要爭(zhēng)論兩家廠商是否一個(gè)原始祖先，怕的就是在別人都往前跑的時(shí)候自己停下來，這跟自取滅亡沒什么區(qū)別。盡管市場(chǎng)是殺毒軟件廠商的第一要素，但別忘了技術(shù)是一個(gè)殺毒軟件能否基業(yè)常青的決定性力量。

　　熊貓

　　第四個(gè)就是熊貓了，哈哈，這個(gè)西班牙的東東，全球第一個(gè)自動(dòng)升級(jí)的，人家的引擎也相當(dāng)不錯(cuò)，速度絕對(duì)一流，查殺徹底，但病毒庫有點(diǎn)歐洲化，所以在中國用著不太好用，占內(nèi)存很大，金山好像現(xiàn)在就在防熊貓，監(jiān)控好像不是，殺毒和升級(jí)都是防造熊貓的，金山的監(jiān)控很垃圾，你用用就知道了。

　　DR.WEB

　　是俄羅斯的引擎，俄羅斯國家科學(xué)院合作開發(fā)的，軍方和克里姆林宮專用。和卡巴基本是一樣的，但引擎和技術(shù)不一樣，是俄羅斯官方和軍隊(duì)的采用的產(chǎn)品，商業(yè)和個(gè)人大多是采用卡巴，分兩個(gè)版本。只有一個(gè)對(duì)外，而且它的技術(shù)是俄羅斯國家科學(xué)院為后盾的。這個(gè)殺毒軟件公司目標(biāo)不是賺錢，純粹為了技術(shù)，所以現(xiàn)在都沒有中文版，它從來不把二進(jìn)制病毒和不能發(fā)做的木馬列入病毒庫，所以在一些測(cè)試中名字不是很*前，甚至很少參加測(cè)評(píng)，但殺毒實(shí)力絕對(duì)在卡巴以上，占用內(nèi)存很少，差不多4兆。啟發(fā)式加虛擬脫殼，北斗的殼，外面再加殼，加跳針也可以干掉，占用內(nèi)存很少?？梢哉f是最強(qiáng)的引擎。

　　對(duì)付變種病毒和木馬最好了?？梢愿傻艏用躕TA算法。清除極其復(fù)雜的病毒。 今天用驅(qū)逐艦全面掃描了一下，沒有發(fā)信什么但用DR。WEB一掃發(fā)現(xiàn)這么多沒有掃出來，雖然大多數(shù)是廣告。看來核心技術(shù)比dr.web 還是差很多，大家不要以為你真的用上了DR。WEB 人家俄羅斯說了，核心的東西是不賣的.驅(qū)逐艦用的它的引擎，但畢竟是假蜘蛛，殺毒效果和DR。WEB根本不一樣。