杀软的多进程自我防护机制

counterking

多进程技术一直是历年来主流的反病毒厂商所使用的一种自我防护机制,其定义可以简单理解为:
多个进程互相监控，一旦发现有进程被结束后立即启动被结束进程的方法.
目前实现多进程互锁,互相保护功能的方法主要有以下两种:
1.API法
通过实时加载进程列表找互相保护进程，一旦发现对应进程被结束立刻启动即可。 但是需要注意，如果结束者知道程序使用的是查找进程列表的方式判断进程的存在性，可以伪装相同名称的进程来使得多进程保护失效。

2.进程通信法
通过多进程反复交换数据来确定进程存在，防止片面通过进程名称判断进程存在的漏洞。该方法实现较1方法复杂，但是保护效果更好。

现在反病毒软件越做越复杂，怎样做进程和内存管理也就成为了一项挑战。

现在世界上的杀软走的是两条路，一是少进程，但进程动作时占用内存比较大，这样方便管理。另一个是多进程，但单个进程内存占用少，这样对杀软的自我保护有利，在跟病毒博弈的时候难以被反制。国内厂商一般走少进程模式，国外不少厂商包括德国著名杀软G Data都是走的后一种模式。

原理上来讲这两种模式各有利弊。但是相对比来说多进程自我防护机制优势较为明显。

未来我们希望各大杀软厂家可以开发出更加优化的产品，在系统占用跟自我防护上再下功夫，持续不断的为广大的计算机用户提供信息安全保障。

能否把这几种杀软做个归类呢？

小火棍

沙发咯~~~   
GDATA是多进程吧~~

zhangkun0214

avg是多进程，话说不喜欢多进程的

hilan

趋势有4个进程，算多么？

里奥

这个我原来论述过

maomao110

AVG就是这么解释的  一个字不差

-oAo-

谢谢，学习了

kerlee

多少算多啊？FSCS or AVG？

花尨影

FSCS的进程是目前我见过最多的，不过不卡！

llawliet

FSIS很多啊，不卡啊，很流畅...Panda也多，但是卡...