一款杀毒软件的引擎对于一款杀毒软件到底意味着什么

zhq445078388

引擎主要是逻辑结构 扫描速度 特征解析逻辑 抗免杀能力 都是靠的引擎
特征提取专员 人称 杀毒界的技术工人
他们做的就是日复一日的提取特征
而引擎越好 对这些提特征的人来说就越简洁
广谱引擎提特征最简单 病毒分析工程师
简单看下这些病毒 认为是一个家族
那么直接丢进机器自动提取就可以了

启发引擎的病毒分析工程师去分析病毒结构 将这种结构体 或者无可避免的特性入库
对单一病毒体的工作量最大
但是大多数时候 入库90~100个不同病毒体 可以查杀500~1000个同类型病毒或被感染文件

而传统逐一比对引擎 就是需要 出一个免杀体 耗费10~30分钟提取特征 然后下发
出一个加壳病毒 就要耗费20分钟~2小时重新提取特征 下发
或者耗费1~3天甚至更长时间分析壳结构 计算加壳算法以对抗
如果引擎好 自身对大小写等抗免杀能力较强 这类免杀甚至无法做出来
而如果加入虚拟机脱壳引擎 一些变种壳也无需重复计算算法
虚拟机会自动识别oep（入口点）将文件从内存转出来 而对于这些程序 不需要我们人工脱壳时候还需要保证可执行性 只要壳脱掉了 优秀的引擎可以自动识别这个脱下来的程序使用的简单免杀对抗手法（如花指令 跳转等）
加密壳这种东西 静态是无法识别的 除非你非常了解这种壳 又知道他的算法结构 又知道密钥的存储位置
优秀的引擎可以对密钥位置静态识别 比如卡巴斯基
而大多数 是靠虚拟机 比如微点 瑞星 nod
每一种引擎对特征码的密文解释不同（特征码存放在库中 大多是加密存放 海奇除外） 也就是说 库无法通用
当然 引擎的逐一比对波分（base引擎的基础）的特征码是可以通用的 如果有办法破解对方的基本库 那么特征码完全可以拿出来用

这就是为什么说引擎才是核心