查看: 39728|回复: 88
收起左侧

[原创] F-Secure公司和它的多引擎杀软

[复制链接]
vsirius
发表于 2007-10-23 10:32:31 | 显示全部楼层 |阅读模式
F-Secure 公司和它的多引擎杀软

题记:尽管国外 F-Secure 比较知名,但目前国内对它的了解还是不多,国内对于FS的介绍也是相当的少。为此,查阅了FS官网及不少资料,编成此文,旨在让大家对 F-Secure 公司的简单历程,以及它的多引擎有个大致的了解。

非技术贴,不到之处,请多指正。此帖为原创,转载请注明。

VSirius@Gmail.com,2007/10

======================================================

F-Secure 公司简介

    F-Secure ,1988年于芬兰的赫尔辛基成立,是一家专门提供数据安全解决方案的大型国际企业,公司的产品及服务主要包括杀毒、数据安全、密码技术等方面。F-Secure 目前设有两个总部,分别位于芬兰的艾斯堡、美国加州的圣何塞;并在英国、法国、德国、日本、中国香港及加拿大等地设有办事处。

    F-Secure 拥有超过100多个国家的数以万计的客户,其中包括许多世界上最大的工业公司和最著名的电信公司、主要的国际航空公司、多个欧洲政府机构、邮局和国防部门,以及世界一些大型银行。知名的客户包括 NASA(美国国家航空和宇宙航行局)、美国航空公司、美国国防部医学部门、美国海战中心、圣地亚哥超级计算机中心、IBM、Unisys 、Cisco 、Nokia 、Sonera(以前的芬兰电信) 、MCI 等公司。

F-Secure 公司的历史

    1、Data Fellows 公司

    1988年,Data Fellows 公司(为少打几个字母,以下简称DF,^_^)于芬兰赫尔辛基成立;1999年,在赫尔辛基股票交易所上市。DF的产品主营是密码系统和防病毒系统。

    Risto Siilasmaa 是公司的创始人,当年年仅22岁,之后他一直担任公司的CEO,2006年11月卸任CEO仍任公司董事长。Risto Siilasmaa 同时还是Ekahau公司和Efecte公司的董事长,Blyk公司、芬兰科技学院、Elisa公司的董事会成员,芬兰-美国商会的副董事长,赫尔辛基科技大学、赫尔辛基经济大学的顾问。(真是牛人啊)。

    新成立的DF公司增长速度非常快(如1995年其营业额刚到330万美元,而在1997年,营业额就猛增至1410万美元),不久公司的客户就遍布了欧洲和北美的各大企业、政府、银行等部门。这期间,DF 公司的产品还获得了30多项国际大奖,并被 Red Herring 杂志列为世界前100位科技公司之一。
   
    2、F-Prot

    这期间,有一款杀毒软件的产生,对当时乃至将来的杀毒软件行业,产生了深远的影响,那就是 Fridrik Skulason 开创的第一代启发式杀毒软件 F-Prot。(如今的“启发式”已经是杀毒界用得最滥的一句台词,^_^)
   
    Fridrik Skulason 是 CARO(Computer Anti-Virus Research Organization -- 计算机防病毒研究组织)创始成员之一,他的公司 FRISK Software International 1993年于冰岛正式成立。

    F-PROT v1.0 于1989年4月推出;之后凭借其独特的启发式技术、庞大的毒库(没错,是庞大的毒库)和不俗的表现,很快就风靡了欧洲和北美。与现在的收费杀软不同的是,当年的F-Prot是个共享软件,个人可以免费使用它,而商业用户使用的费用也相当低廉(据说每台机器每年1美元,汗);至今 F-Secure 提供的 F-Prot for DOS 3.X 仍然是免费的。

    F-Prot的成功使得它的研究组织和个人遍布了世界各地,一些公司在获得 FRisk Software 授权的前提下开发并销售了拥有自己界面的 F-Prot。其中比较有名的有两家公司,一家是美国的 Command Software (后被 Authentium 收购),一家则是芬兰的Data Fellows。
   
    3、Data fellows 的 F-PROT Professional
   
    F-Prot的推广,DF公司功不可没。早期的 F-Prot 有18种语言版本,大部分“外语”版本,都来自 DF 的手笔。

    DF 不仅作为 FRisk 的代理商推广销售 F-Prot、提供维护和升级服务,它还获得了 F-Prot 的修改及开发的权利。DF 有它自己专门的部门用于 F-Prot 的技术支持,称为 F-PROT Support of Data Fellows 。
   
    DF 与 FRisk 合作的 F-PROT Professional 很快又席卷了欧洲大陆。

    在发售 F-PROT Pro 的同时,DF 还研发了它自己的启发式引擎和 CounterSign 技术,并酝酿着它的另一款产品,称为 F-Secure。但在1998年以前,DF的杀毒产品,仍以 F-Prot Professional 为主。

    4、Kaspersky 的加盟
  
    Kaspersky Lab 当时隶属于俄罗斯的大型计算机公司 Kami ,主打产品AVP(AntiViral Toolkit Pro -- 直到2000年,Kaspersky Lab 才宣布用 Kaspersky AV 来代替 AVP)。

    1994年,在部门负责人Natalya Kaspersky 的带领下,逐步形成了职业化的管理阶层和开发小组,并开始发展俄罗斯及海外的销售网络。1997年6月,Kaspersky Lab 公司正式成立,Natalya Kaspersky 担任总经理,而另一传奇人物 Eugene Kaspersky 则主要负责反病毒研究的工作。

    1997年10月1日,Data fellows宣布与“Eugene Kaspersky 领导的AVP开发团队”(DF官方原文如此)组成战略联盟,使用它独创的 CounterSign 技术,将原来的 F-PROT 引擎及 AVP 引擎开发出新一代的 F-Secure Anti-Virus ,这就是史上第一个多引擎杀毒软件。

    5、F-Secure 公司

    1997年10月,DF 发布它的 F-PROT Pro 最后一个版本 3.01,同时宣布,新一代的多引擎 F-Secure Anti-Virus 将取代过去的 F-Prot Professional。
   
    1998年5月,DF 发布 F-Secure Anti-Virus 4.01,并提供了从 F-Prot Pro升级 FS 4.01 的安装程序。
   
    F-Secure 产品获得了空前的成功。F-Secure 已逐渐成为 Data Fellows 公司一个重要的标志。

    1999年12月16日,Data Fellows 公司正式宣布更名为 F-Secure 公司。

F-Secure 引擎简介

    1、Libra(天秤座)-- 购买 -> 自主开发
  
    早期的 F-Secure Anti-Virus 4.0 只有两套引擎,F-Prot 和 AVP。当时FRisk 的 F-Prot 毒库文件主要有三个MACRO.DEF、SIGN.DEF、SIGN2.DEF,而 FS 的 F-Prot 的毒库文件为 FSMACRO.DEF、SIGN.DEF、SIGN2.DEF,除宏病毒部分FS稍做修改外,其它则保持一致。这一情况贯穿了 FS 4 一代的产品。

    Orion 诞生的初期,FS 仍保留“F-Prot engine”这一称呼。

    之后,F-Secure 决定不再购买 F-Prot 新的引擎,于是用 fsscript.def 来取代 Sign.def、Sign2.def,并将整个引擎称为 Libra。从此 F-Secure Libra engine 取代了原来的 F-Secure F-Prot engine,F-Prot 至此逐渐淡出了 FS 的视线。

   2、AVP--购买的引擎

   卡巴的病毒特征码提取技术及这方面的努力无人能及,以至于大家忽略了卡巴其它方面的技术。AVP强大毒库的加入使得FS如虎添翼。

   FS和卡巴的关系也非同一般,于其它OEM卡巴引擎的杀软不同的是,FS总能拿到最新卡巴引擎;当然,代价就是FS要比其它厂商付出更多的、价值不菲的授权费用。^_^

   卡巴最初开发它的扩展库时,FS并不包含这一部分,不过现在扩展库已经包含在 FS AVP 的库文件中。

   如果有人闭着眼睛说“FS仍用卡巴4.5(or 6.0)的引擎”、“FS不含卡巴扩展库”等谣传,请不要相信他。^_^

   3、Orion(猎户星座)-- 原创的引擎

   尽管 F-Prot 启发式引擎表现不俗,FS仍感到了它的不足之处,于是决定开发它自己新的启发式引擎,那就是 Orion(最初的 Orion 始于 FS 5 版本)。根据 FS 早期的描述,Orion 是一个不含病毒特征码、“纯粹的”启发式引擎。所以早期的 Orion 库文件非常小,更新也比较缓慢。

   如今的 Orion 升级得比较频繁,其库文件不断加入一些新病毒和木马的特征。而相比之下,Libra 的更新反而变少了。

   4、Draco(天龙星座)--购买的引擎
   
   Libra、AVP 虽然拥有大量的毒库,但对查杀间谍、广告软件之间仍有欠缺。尽管卡巴后来有了它的扩展库,但从卡巴当初查杀3721,到取消3721的定义,再到与360亲密合作,可看出卡巴志不在此。

   因此 FS 6 开始,FS家族又新增了一个伙伴,那就是 Lavasoft 的 AD-Aware,弥补了以上引擎对这方面的不足。而这时候 FS 似乎对取星座名上了瘾,这一部分为 Draco 引擎。

   以上四就是网上广为流传的,所谓的“FS四大引擎”了。

   5、Blacklight--原创的引擎

   这个引擎很多介绍都没有提及。尽管FS没给它取个星座的名字(不排除将来有这么做的可能性^_^),但它仍属于 FS 数引擎之一,而且隶属于 F-Secure Anti-Virus 引擎系列。为FS自主开发,主要用于 Rootkits 等的查杀。

   早期的 Blacklight 是个独立的测试工具,后来被集成到 FS 6中。

   以上就是 FS 的四个杀毒引擎和一个查杀间谍广告引擎。

   除了以上5引擎,FS还有一个 F-Secure AntiVirus Misc,但这个并不是一个引擎。(Misc,代表“混杂的”的意思)。

   6、Gemini(双子座)--原创的引擎

   FS 7 开始引入它的 DeepGuard(深度防御)概念,其实这就是 FS 的 HIPS(主机入侵防御系统)改进版。FS 这时终于把冗长兼别扭的 F-Secure Anti Virus Client Security 改为 F-Secure Client Security ,表示它这一系列产品已不再仅仅局限于防病毒。

   Gemini(双子座)是FS自主开发的一个引擎;从双子座的名字上看,我们可以猜出还应该有另一个引擎,那就是Pegasus(飞马座)。Gemini 与 Pegasus 一起,构成了 DeepGuard 坚固防御的一部分。

   当程序通过了防火墙、IDS、和防毒引擎等层层防御并启动时, Gemini 启发式引擎就会分析该程序行为的安全性(用FS的话来说,这是个具有人工智能的过程),来提醒用户是否允许该程序的执行。

   7、Pegasus(飞马座)-- 购买的引擎

    Norman 公司 的 Sandbox (沙箱)技术。简单的说就是在主机上模拟一个虚拟环境,让未知程序在这个环境内运行,一旦非法,程序就会被限制在虚拟的沙箱内,无法对系统产生危害。

    这个网上多有介绍,在此就不赘述了。

    大致回顾一下 FS 引擎的发展历程 -- 之所以说是“大致”,是因为FS的版本非常的多,同一代的产品引擎也各有不同(如 FS for windows server 6.0 就不包括 Draco),大家将就着看吧:

   FP 1~3 ,DF'F-Prot Pro
       FS 4 ,FS'F-Prot + AVP
       FS 5 ,Libra + AVP + Orion
       FS 6 ,Libra + AVP + Orion + Draco + Blacklight
       FS 7 ,Libra + AVP + Orion + Draco + Blacklight + Gemini + Pegasus

评分

参与人数 1经验 +4 魅力 +1 收起 理由
globe + 4 + 1 版区有你更精彩: )

查看全部评分

vsirius
 楼主| 发表于 2007-10-23 10:34:12 | 显示全部楼层
早期的 F-Secure AntiVirus for Win95 的界面,呵呵:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vsirius
 楼主| 发表于 2007-10-23 10:35:32 | 显示全部楼层
只有三个引擎的 F-Secure:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vsirius
 楼主| 发表于 2007-10-23 10:39:24 | 显示全部楼层
如今的 FS 已经是一款比较全面的安全软件:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
benjaminyu
头像被屏蔽
发表于 2007-10-23 11:13:01 | 显示全部楼层
好文章,值得一读!
Toucan
发表于 2007-10-23 12:26:56 | 显示全部楼层
嗯,好文章。

一直有个疑问,FS既然用了KAV的最新引擎,再加上其他几个,为什么在多项测试中,它的病毒探测率不及KAV呢?
vsirius
 楼主| 发表于 2007-10-23 13:49:05 | 显示全部楼层
原帖由 Toucan 于 2007-10-23 12:26 发表
嗯,好文章。

一直有个疑问,FS既然用了KAV的最新引擎,再加上其他几个,为什么在多项测试中,它的病毒探测率不及KAV呢?


尽管 F-Prot 和 AVP 都拥有优秀的引擎和庞大的毒库,但对于 F-Secure,我认为它更看中于 F-Prot 的引擎和卡巴的毒库。所以,F-Secure 应从未想过去直接修改以上两者(即使认为 F-Prot引擎仍有不足,但当初拥有修改权的FS并未去修改FP引擎而是自己新增一个Orion引擎),而是更致力于补充和完善 F-Prot 的毒库和增强AVP部分的引擎。

也就是说,FS保留的是 F-Prot 引擎(对于早期来说)和卡巴毒库的完整性,而对于 F-Prot 的毒库和卡巴的引擎则进行修改和有选择选取,并做适当的补充和完善。所以 F-Secure 不完全等于 F-Prot + AVP 简单拼凑。

FS与卡巴的不同,只在于引擎部分,FS的AVP引擎是最新的,但不是最全的,而引擎包括很多方面的,比如解壳、启发等。这就是手工扫描病毒识别率与卡巴相差的原因。与卡巴相比,FS强在监控,而弱于脱壳,我认为这是FS的不足之处。
wlbol
发表于 2007-10-23 13:58:22 | 显示全部楼层
好文章,支持楼主!收藏了。
ssniper3
发表于 2007-10-23 14:26:06 | 显示全部楼层
强烈支持楼主!  群众的眼睛是雪亮的,这就是我们为什么用过都说好的原因
carlcai
发表于 2007-10-23 15:04:14 | 显示全部楼层
好文章,辛苦LZ!了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:25 , Processed in 0.149706 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表