F-Secure公司和它的多引擎杀软

vsirius

F-Secure 公司和它的多引擎杀软

题记：尽管国外 F-Secure 比较知名，但目前国内对它的了解还是不多，国内对于FS的介绍也是相当的少。为此，查阅了FS官网及不少资料，编成此文，旨在让大家对 F-Secure 公司的简单历程，以及它的多引擎有个大致的了解。

非技术贴，不到之处，请多指正。此帖为原创，转载请注明。

VSirius@Gmail.com，2007/10

======================================================

F-Secure 公司简介

    F-Secure ，1988年于芬兰的赫尔辛基成立，是一家专门提供数据安全解决方案的大型国际企业，公司的产品及服务主要包括杀毒、数据安全、密码技术等方面。F-Secure 目前设有两个总部，分别位于芬兰的艾斯堡、美国加州的圣何塞；并在英国、法国、德国、日本、中国香港及加拿大等地设有办事处。

    F-Secure 拥有超过100多个国家的数以万计的客户，其中包括许多世界上最大的工业公司和最著名的电信公司、主要的国际航空公司、多个欧洲政府机构、邮局和国防部门，以及世界一些大型银行。知名的客户包括 NASA（美国国家航空和宇宙航行局）、美国航空公司、美国国防部医学部门、美国海战中心、圣地亚哥超级计算机中心、IBM、Unisys 、Cisco 、Nokia 、Sonera（以前的芬兰电信） 、MCI 等公司。

F-Secure 公司的历史

    1、Data Fellows 公司

    1988年，Data Fellows 公司（为少打几个字母，以下简称DF，^_^）于芬兰赫尔辛基成立；1999年，在赫尔辛基股票交易所上市。DF的产品主营是密码系统和防病毒系统。

    Risto Siilasmaa 是公司的创始人，当年年仅22岁，之后他一直担任公司的CEO，2006年11月卸任CEO仍任公司董事长。Risto Siilasmaa 同时还是Ekahau公司和Efecte公司的董事长，Blyk公司、芬兰科技学院、Elisa公司的董事会成员，芬兰-美国商会的副董事长，赫尔辛基科技大学、赫尔辛基经济大学的顾问。（真是牛人啊）。

    新成立的DF公司增长速度非常快（如1995年其营业额刚到330万美元，而在1997年，营业额就猛增至1410万美元），不久公司的客户就遍布了欧洲和北美的各大企业、政府、银行等部门。这期间，DF 公司的产品还获得了30多项国际大奖，并被 Red Herring 杂志列为世界前100位科技公司之一。
   
    2、F-Prot

    这期间，有一款杀毒软件的产生，对当时乃至将来的杀毒软件行业，产生了深远的影响，那就是 Fridrik Skulason 开创的第一代启发式杀毒软件 F-Prot。（如今的“启发式”已经是杀毒界用得最滥的一句台词，^_^）
   
    Fridrik Skulason 是 CARO（Computer Anti-Virus Research Organization -- 计算机防病毒研究组织）创始成员之一，他的公司 FRISK Software International 1993年于冰岛正式成立。

    F-PROT v1.0 于1989年4月推出；之后凭借其独特的启发式技术、庞大的毒库（没错，是庞大的毒库）和不俗的表现，很快就风靡了欧洲和北美。与现在的收费杀软不同的是，当年的F-Prot是个共享软件，个人可以免费使用它，而商业用户使用的费用也相当低廉（据说每台机器每年1美元，汗）；至今 F-Secure 提供的 F-Prot for DOS 3.X 仍然是免费的。

    F-Prot的成功使得它的研究组织和个人遍布了世界各地，一些公司在获得 FRisk Software 授权的前提下开发并销售了拥有自己界面的 F-Prot。其中比较有名的有两家公司，一家是美国的 Command Software (后被 Authentium 收购)，一家则是芬兰的Data Fellows。
   
    3、Data fellows 的 F-PROT Professional
   
    F-Prot的推广，DF公司功不可没。早期的 F-Prot 有18种语言版本，大部分“外语”版本，都来自 DF 的手笔。

    DF 不仅作为 FRisk 的代理商推广销售 F-Prot、提供维护和升级服务，它还获得了 F-Prot 的修改及开发的权利。DF 有它自己专门的部门用于 F-Prot 的技术支持，称为 F-PROT Support of Data Fellows 。
   
    DF 与 FRisk 合作的 F-PROT Professional 很快又席卷了欧洲大陆。

    在发售 F-PROT Pro 的同时，DF 还研发了它自己的启发式引擎和 CounterSign 技术，并酝酿着它的另一款产品，称为 F-Secure。但在1998年以前，DF的杀毒产品，仍以 F-Prot Professional 为主。

    4、Kaspersky 的加盟
  
    Kaspersky Lab 当时隶属于俄罗斯的大型计算机公司 Kami ，主打产品AVP（AntiViral Toolkit Pro -- 直到2000年，Kaspersky Lab 才宣布用 Kaspersky AV 来代替 AVP）。

    1994年，在部门负责人Natalya Kaspersky 的带领下，逐步形成了职业化的管理阶层和开发小组，并开始发展俄罗斯及海外的销售网络。1997年6月，Kaspersky Lab 公司正式成立，Natalya Kaspersky 担任总经理，而另一传奇人物 Eugene Kaspersky 则主要负责反病毒研究的工作。

    1997年10月1日，Data fellows宣布与“Eugene Kaspersky 领导的AVP开发团队”（DF官方原文如此）组成战略联盟，使用它独创的 CounterSign 技术，将原来的 F-PROT 引擎及 AVP 引擎开发出新一代的 F-Secure Anti-Virus ，这就是史上第一个多引擎杀毒软件。

    5、F-Secure 公司

    1997年10月，DF 发布它的 F-PROT Pro 最后一个版本 3.01，同时宣布，新一代的多引擎 F-Secure Anti-Virus 将取代过去的 F-Prot Professional。
   
    1998年5月，DF 发布 F-Secure Anti-Virus 4.01，并提供了从 F-Prot Pro升级 FS 4.01 的安装程序。
   
    F-Secure 产品获得了空前的成功。F-Secure 已逐渐成为 Data Fellows 公司一个重要的标志。

    1999年12月16日，Data Fellows 公司正式宣布更名为 F-Secure 公司。

F-Secure 引擎简介

    1、Libra（天秤座）-- 购买 -> 自主开发
  
    早期的 F-Secure Anti-Virus 4.0 只有两套引擎，F-Prot 和 AVP。当时FRisk 的 F-Prot 毒库文件主要有三个MACRO.DEF、SIGN.DEF、SIGN2.DEF，而 FS 的 F-Prot 的毒库文件为 FSMACRO.DEF、SIGN.DEF、SIGN2.DEF，除宏病毒部分FS稍做修改外，其它则保持一致。这一情况贯穿了 FS 4 一代的产品。

    Orion 诞生的初期，FS 仍保留“F-Prot engine”这一称呼。

    之后，F-Secure 决定不再购买 F-Prot 新的引擎，于是用 fsscript.def 来取代 Sign.def、Sign2.def，并将整个引擎称为 Libra。从此 F-Secure Libra engine 取代了原来的 F-Secure F-Prot engine，F-Prot 至此逐渐淡出了 FS 的视线。

   2、AVP--购买的引擎

   卡巴的病毒特征码提取技术及这方面的努力无人能及，以至于大家忽略了卡巴其它方面的技术。AVP强大毒库的加入使得FS如虎添翼。

   FS和卡巴的关系也非同一般，于其它OEM卡巴引擎的杀软不同的是，FS总能拿到最新卡巴引擎；当然，代价就是FS要比其它厂商付出更多的、价值不菲的授权费用。^_^

   卡巴最初开发它的扩展库时，FS并不包含这一部分，不过现在扩展库已经包含在 FS AVP 的库文件中。

   如果有人闭着眼睛说“FS仍用卡巴4.5（or 6.0）的引擎”、“FS不含卡巴扩展库”等谣传，请不要相信他。^_^

   3、Orion（猎户星座）-- 原创的引擎

   尽管 F-Prot 启发式引擎表现不俗，FS仍感到了它的不足之处，于是决定开发它自己新的启发式引擎，那就是 Orion（最初的 Orion 始于 FS 5 版本）。根据 FS 早期的描述，Orion 是一个不含病毒特征码、“纯粹的”启发式引擎。所以早期的 Orion 库文件非常小，更新也比较缓慢。

   如今的 Orion 升级得比较频繁，其库文件不断加入一些新病毒和木马的特征。而相比之下，Libra 的更新反而变少了。

   4、Draco（天龙星座）--购买的引擎
   
   Libra、AVP 虽然拥有大量的毒库，但对查杀间谍、广告软件之间仍有欠缺。尽管卡巴后来有了它的扩展库，但从卡巴当初查杀3721，到取消3721的定义，再到与360亲密合作，可看出卡巴志不在此。

   因此 FS 6 开始，FS家族又新增了一个伙伴，那就是 Lavasoft 的 AD-Aware，弥补了以上引擎对这方面的不足。而这时候 FS 似乎对取星座名上了瘾，这一部分为 Draco 引擎。

   以上四就是网上广为流传的，所谓的“FS四大引擎”了。

   5、Blacklight--原创的引擎

   这个引擎很多介绍都没有提及。尽管FS没给它取个星座的名字（不排除将来有这么做的可能性^_^），但它仍属于 FS 数引擎之一，而且隶属于 F-Secure Anti-Virus 引擎系列。为FS自主开发，主要用于 Rootkits 等的查杀。

   早期的 Blacklight 是个独立的测试工具，后来被集成到 FS 6中。

   以上就是 FS 的四个杀毒引擎和一个查杀间谍广告引擎。

   除了以上5引擎，FS还有一个 F-Secure AntiVirus Misc，但这个并不是一个引擎。（Misc，代表“混杂的”的意思）。

   6、Gemini（双子座）--原创的引擎

   FS 7 开始引入它的 DeepGuard（深度防御）概念，其实这就是 FS 的 HIPS（主机入侵防御系统）改进版。FS 这时终于把冗长兼别扭的 F-Secure Anti Virus Client Security 改为 F-Secure Client Security ，表示它这一系列产品已不再仅仅局限于防病毒。

   Gemini（双子座）是FS自主开发的一个引擎；从双子座的名字上看，我们可以猜出还应该有另一个引擎，那就是Pegasus（飞马座）。Gemini 与 Pegasus 一起，构成了 DeepGuard 坚固防御的一部分。

   当程序通过了防火墙、IDS、和防毒引擎等层层防御并启动时， Gemini 启发式引擎就会分析该程序行为的安全性（用FS的话来说，这是个具有人工智能的过程），来提醒用户是否允许该程序的执行。

   7、Pegasus（飞马座）-- 购买的引擎

    Norman 公司 的 Sandbox （沙箱）技术。简单的说就是在主机上模拟一个虚拟环境，让未知程序在这个环境内运行，一旦非法，程序就会被限制在虚拟的沙箱内，无法对系统产生危害。

    这个网上多有介绍，在此就不赘述了。

    大致回顾一下 FS 引擎的发展历程 -- 之所以说是“大致”，是因为FS的版本非常的多，同一代的产品引擎也各有不同（如 FS for windows server 6.0 就不包括 Draco），大家将就着看吧：

   FP 1~3 ，DF'F-Prot Pro
       FS 4 ，FS'F-Prot + AVP
       FS 5 ，Libra + AVP + Orion
       FS 6 ，Libra + AVP + Orion + Draco + Blacklight
       FS 7 ，Libra + AVP + Orion + Draco + Blacklight + Gemini + Pegasus

vsirius

早期的 F-Secure AntiVirus for Win95 的界面，呵呵：

vsirius

只有三个引擎的 F-Secure：

vsirius

如今的 FS 已经是一款比较全面的安全软件：

benjaminyu

好文章，值得一读！

Toucan

嗯，好文章。

一直有个疑问，FS既然用了KAV的最新引擎，再加上其他几个，为什么在多项测试中，它的病毒探测率不及KAV呢？

vsirius

原帖由 Toucan 于 2007-10-23 12:26 发表
嗯，好文章。

一直有个疑问，FS既然用了KAV的最新引擎，再加上其他几个，为什么在多项测试中，它的病毒探测率不及KAV呢？

尽管 F-Prot 和 AVP 都拥有优秀的引擎和庞大的毒库，但对于 F-Secure，我认为它更看中于 F-Prot 的引擎和卡巴的毒库。所以，F-Secure 应从未想过去直接修改以上两者（即使认为 F-Prot引擎仍有不足，但当初拥有修改权的FS并未去修改FP引擎而是自己新增一个Orion引擎），而是更致力于补充和完善 F-Prot 的毒库和增强AVP部分的引擎。

也就是说，FS保留的是 F-Prot 引擎（对于早期来说）和卡巴毒库的完整性，而对于 F-Prot 的毒库和卡巴的引擎则进行修改和有选择选取，并做适当的补充和完善。所以 F-Secure 不完全等于 F-Prot + AVP 简单拼凑。

FS与卡巴的不同，只在于引擎部分，FS的AVP引擎是最新的，但不是最全的，而引擎包括很多方面的，比如解壳、启发等。这就是手工扫描病毒识别率与卡巴相差的原因。与卡巴相比，FS强在监控，而弱于脱壳，我认为这是FS的不足之处。

wlbol

好文章，支持楼主！收藏了。

ssniper3

强烈支持楼主!  群众的眼睛是雪亮的,这就是我们为什么用过都说好的原因

carlcai

好文章，辛苦LZ！了