还是有一事不明

lbb9432

不懂   只知道什么扫描引擎   不知道技术含量多少

小林制药

所谓反病毒引擎，简单说来就是通过一系列的算法，判断特定程序是否为有害的技术机制。而病毒库实质上就是一套特殊的，专用的数据库，而从数据库中检索特定信息则是所有反病毒引擎必备的一项功能。

判定一个程序是否为病毒程序则可以分成很多个方面——最简单的就是引擎搜索文件中的字符串，然后与病毒库中的特定字符串进行比对。而复杂一些的则是各种启发式和主动防御技术。我习惯把启发式分析和主动防御分开来看。启发式在很大程度上还是依赖病毒库的，换句话说，还是以“比对”作为基础。而主动防御则是通过一定的算法略带人工智能性质的判定，是以“算法”作为基础的。个人认为HIPS≠主动防御，所以HIPS软件不在讨论范畴。

而说到引擎的好坏，抛开是个反病毒软件就会的“与病毒库比对”和病毒库大小的问题，无外乎就是看谁家的“算法”或“设计思路”能够识别出更多的病毒，同时兼顾到效率的平衡。国际知名的公司基本上都发展出了具有特色的“算法”。把这些“算法”与基本的“比对机制”整合起来，就是一个很基础的具有主动防御能力的现代反病毒引擎。

以上是我自己对“引擎”概念的最简单的，抽象化的理解和描述。而一个完整的反病毒引擎的构成和设计比我刚刚说过的要复杂得多——比如如何保证与系统的兼容性，实现自我保护，实现升级，对被扫描文件进行预处理等等。

至于引擎的意义，可以这么说，引擎核心技术的好坏虽然起到举足轻重的作用，但是在现有技术条件下是必须要有庞大的病毒库作为支撑的。如果没有一个设计良好，信息量充足的病毒库的话，任何引擎都无法发挥出应有的作用。因为无论算法怎样进步，终归只能无限趋近于病毒分析师而永远成不了分析师。况且还有个效率问题——试想分析一个未知文件至少需要耗去数十分钟的时间，任何人都是无法忍受的，所以引擎的“算法”充其量只能尽可能的去模拟专业人员。对于一个产品来说，引擎和病毒库是相辅相成的关系。

至于有些引擎表现的并不优秀，原因是多样化的——可能是没有技术实力，可能是遭遇了针对性的免杀，也可能是设计的时候缺乏病毒样本供分析，还可能是设计失误，以及病毒库配合不好所导致的“不优秀”也十分可能等等……需要具体情况具体分析。

a13828565410

ls 正解

也不知道谁

12楼说的很详细，不过我倒是觉得楼主可以从一个稍微宏观一点的角度来看这个问题。

构建一个东西，或者说我们一般意义上的制作一个东西，也包括杀毒软件，根本上是对素材整合的过程。所以单引擎跟多引擎本身并不是一个杀软好坏的决定因素，真正的决定因素在于如何将所有的一切整合在一起，通过这个这个整合的方式把所有的技术的能力发挥出来，所以整合的方式决定了杀软的能力。而引擎只是整合的一个素材而已。一个公司当然最了解自己自主研发的引擎，自主研发的引擎也当然更加符合自己公司在构建整个防御体系的思路和需求。买别人的引擎显然就要考虑种种协调性的问题，当然这其中也包括钱，病毒库的更新等等，除此之外什么核心技术不告诉你，病毒库和引擎滞后等等的就跟不用提了。杀软的多引擎显然无法用多一个引擎多一个人帮忙找病毒这样的例子来类比了。

这样看来，其实买别人的引擎对于把引擎作为素材整合进一个完整的产品当中其实比用自己自主研发的引擎有一些额外的困难。整合的好，自然可以省去一大块研发成本，整合的不好，反倒会漏洞百出，无法充分发挥其中各个部分的性能。

TTTAOa

迷惘的执著 发表于 2011-12-31 16:30
就叫就叫，快到30的胡子大叔，我就是叔叔控

无语啊

迷惘的执著

TTTAOa 发表于 2012-1-1 16:44
无语啊

好羞射。。

hwl573452046

引擎的作用如何，不在于数量，而在于质量

liukun3389

法拉利的事好引擎，但是电脑的引擎转速更高