话说诺顿的杀毒引擎 NIS2011越来越好用了

1.什么是杀毒软件引擎，与病毒库的关系？ 我们知道病毒的最终目的是与合法活动很类似的，在这种情况下，要求厂商必须自己有一个行为规范界定规则，在一个给定的范围和置信度下，判断相关操作是否合法。各个厂商的界定是有区别的，一般而言美国厂商界定是非常严格的，只有很高的置信水平的程序行为，他们才判别为非病毒操作。美国厂商一般判断比较复杂，这主要由于美国市场上的杀毒软件引擎来源比较复杂，比如诺顿，有足够的技术资料确信它的杀毒软件引擎是自成体系的，而 Mcafee 则存在一定的外界技术引进（收购所罗门） 诺顿是微软最高级的安全方面核心合作厂商，因此它的杀毒软件在某些方面工作比较特殊比如在杀毒软件的安装，使用和功能实现方面，大部分厂商采用的是中间件技术，在系统底层鱼非自身应用程序之间作为中间件存在并实现其功能（ 这个能看出来，比如开windows 防火墙，会显示正由Norton Internet Security管理，ms还没有那个厂商能像Norton一样做到这一步吧）；另有一些厂商使用的是应用程序或者嵌入技术，相对而言这种方法安全性较低；诺顿和Mcafee实现方式比较相似，诺顿采用了基于系统最底层的系统核心驱动，这种实现方式是最安全的或者说最高级的实现方式，当然这需要微软的系统源代码级的支持（要花许多money），业界公认，这是最稳定的实现方法，但从目前而言，只诺顿一家。（那是xp时代，现在也没听说symantec获得了win7的代码，当然也不太可能） 尽管比较先进的工作方式给诺顿和Mcafee带来了较高的系统稳定性，较快的响应速度。但同时也带来了一些问题：1。资源占用比较厉害。在Mcafee上体现的不是很明显，在诺顿上表现非常明显。因为对于越底层的行为，硬件资源分配越多。。最耗资源的是什么？当然是操作系统。因为它在最底层。（现在终于知道以前诺顿占资源的原因了）2。卸载问题。卸载底层的组件出问题的概率是相对比较高的，因为诺顿的卸载比较慢，偶尔还出问题。（这个真没听过。。。） 2.引擎部分的实现 杀毒引擎目前主流有两种实现方式：1.虚拟机技术 2.实时监控技术 3.智能码标识技术 4.行为拦截技术 3.4.为最近两年搞出来的技术。3的目的是提高杀毒速度并且预防未知病毒，但就显示而言，除了东方卫士实验了一下(并且不成功），其余厂商未完全基于该技术的引擎。 对于未知病毒的判断实际上代表着杀毒软件厂商在引擎研究方面的最高能力。业界公认，防止未知病毒 是“代表研究水平的”。 平心而论，非美国厂商在这方面能力较差。业界对于防止未知病毒能力是按照如下方法衡量的：以评测当日的杀毒软件最新版本为该厂商的供测试版本，未知病毒由如下而来：1.病毒作者提供给。2.业界安全杂志自己的研究实验室的研究人员根据最新的趋势和技术手段及工具写的一些病毒。一般情况下，这些病毒式不会流到网上去的。3.假病毒。测试的时候病毒库被置空，在这种情况下进行测试。（扫描测试区可以借鉴哦） 小结：文中有一部分来源于业已公开的技术资料，有一部分来源于病毒论坛上被奉为经典的反编，还有一部分来源于厂商技术人员的介绍（官方和私下的都有）。 诺顿：诺顿的杀毒软件实际上防止侦测方面做得并不是很好，很多病毒程序在子程序中经常借鉴搞崩诺顿的代码，希望在新版本中诺顿可以采用更强的自身防护技术。诺顿的杀毒引擎应该是完全自成封闭体系的，没有资料证实诺顿曾经购买或者接见过别的杀毒引擎。传闻很多公司都在设计是参考过卡巴斯基的泄露版引擎设计，因此在微软社区在线聊天室，问过这个问题。回帖一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要，他自己的杀毒引擎相当先进。有一个叫fenssa的家伙甚至回帖说不考虑病毒库因素，诺顿的杀毒引擎相当先进，综合防护性能很好。在微软，除了用Mcafee的就使用哪个诺顿的（额，御用eset跑哪去了？） 从诺顿的技术文档描述和在病毒论坛上流传的29A 的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看，诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合，应该有一些改进的虚拟机技术在里面（诺顿的人并不怎么推崇虚拟机技术）诺顿的杀毒速度很慢，应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。 以前的诺顿很难卸的。08开始，流畅度，安装、卸载速度有了质的提高. “这个能看出来，比如开windows 防火墙，会显示正由Norton Internet Security管理，ms还没有那个厂商能像Norton一样做到这一步吧”——————这个好像不是诺顿独有。 个人认为一般带防火墙的安全软件都会接管windows防火墙，没记错的话以前装卡巴的时候也是这样。 P.S. :我现在用nis2011很流畅，放心。