看卡巴8，对现在启发技术的一些理解

327935796

最近看到卡巴斯基8的描述中说引擎采用的是基因启发技术，个人觉得基因启发不是一个很好的启发方式，而且将来一定会被淘汰。
现如今的启发技术大体可以分为两类，第一类是基因启发技术，第二类是虚拟机启发技术，还有个别杀软用的启发技术是介于两者之间。
    首先说下基因启发，基因启发是通过比对文件当中的关键代码，来查杀新病毒以及变种，这种方式在现阶段的优势比较明显，查杀率高，占用内存少，我想这也是卡巴8采用这个启发技术的主要原因，但从缺点来看，这种启发技术在现阶段已经暴露出来了一个很严重的问题就是误报过于严重，在国外的误报测试当中，使用这项技术的杀软普遍误报十分厉害，像蜘蛛，红伞，飞塔等等。而从长远来看，这种技术随着时间的增长，病毒的种类越来越多，必定造成基因库的臃肿，随之造成的结果就是杀软的运行效率降低，占用资源量的提升，甚至出现不同基因代码间的冲突，所以这项技术虽然在现阶段被看好，而且在技术上也没什么难度，但从长远看，后患无穷。卡巴这样做，在我看来未免在启发技术上急于求成。
    接下来说下虚拟机启发技术，虚拟机启发是一种难度很大的启发技术，实现它在技术上的要求相当高，虽然这项技术很早之前就已经有杀软使用了，但始终是半成品，在我看来至今没有一个杀软能完美的实现虚拟机启发技术。我在这里先简单的通过我的理解解释下虚拟机技术，虚拟机技术就是在系统中创建一个虚拟的环境，在这个虚拟环境中通过对病毒的运行进行行为分析，来判断是否为病毒，前面也说到虚拟机技术很难实现，大家可以这样想像，在一个系统中创建一个虚拟的环境，在这个环境装上个微点，让真实系统里运行的文件，现在虚拟环境中让微点分析下，再运行。相信大家光听我说就脑子一团乱了，可想要真正的做到是十分困难的，这项技术的优点就是误报低，而且不会出现效率越来越低的现象，而且随着行为技术的发展，查杀率也会超过基因启发，真正做到能抓坏人又不冤枉好人，这个启发技术的至高境界。从现阶段来看，存在的唯一缺点是需要一个较大的内存，但这个问题从长远看应该不是问题
    上面还提到一些介于两者之间的启发技术，首先有一种就是类似于金山的数据流杀毒，他和虚拟机启发相同的是它是通过运行病毒实现启发，但因为行为分析技术的不完善，所以依旧采用代码比对的方法，就像基因启发，这种方法由于是通过比较数据流，所以可以一定限度减小误报，但换汤不换药，还是不能完全根除基因启发的缺点，现在有许多国外大厂如赛门铁克也采用类似于金山数据流的虚拟机启发半成品，可能比金山离真正的虚拟机技术更近一步。还有一种就是类似于NOD32的启发，NOD32的启发更偏向于基因启发，但他没有独立的基因库，用病毒库代替了基因库，通过在病毒库里比对代码，确认病毒，看到我前面对基因启发的介绍，相信对NOD32病毒库小不难理解吧，很明显NOD32的开发者也意识到了这点，所以NOD32对启发可以报的病毒是不入库的，想尽办法让病毒库精简下来，从而才能使引擎有较高的工作效率。






写得好累啊，版主心情好，给俺加个精，版主心情不好就个我加个分，鼓励鼓励么

Cypress

卡巴的病毒库已经快40万了，如果技术上没有突破，查杀效率会越来越低。

jpzy

将来出现80核心的CPU的时候，相信会有专门的CPU来处理虚拟机的问题！

bora2547

结合其他说一点自己的想法，之所以虚拟机查毒模式始终发展不好，个人觉得也许和硬件架构有少许关系
也许目前的体系对虚拟机查毒上，硬件方面可能没有提供有效的支持，导致实际硬件利用效率下降，光靠杀毒软件的操作，很难提升效率和效果。
如果以后硬件特别是CPU能有专门的指令，优化结构之类的，我想会有一点帮助。。

Cypress

等咱的龙芯引入这样的架构就好了。。。。。。。。

话又说回来，哪有cpu为杀毒软件设计的？
不如让运营商替我们把毒杀好，我们再下载，哈哈。。。。。

大大小

晕啊!

xffsfy

原帖由 jpzy 于 2007-8-19 14:26 发表
将来出现80核心的CPU的时候，相信会有专门的CPU来处理虚拟机的问题！

美女~~~那是钱啊.....目前连双核的肉都吃不起，还要去考虑80核的XX？

sharkkong

呵呵，静观其变，相信卡吧会解决好的

小小龙

小红伞都一百多万了，速度还可以。卡巴刚40万的话技术提高，速度应该可以解决。。。创新！

koyakoya

大致看懂了，LZ说的还是很清楚的