关于杀毒引擎的讨论！

chinatyk

太奇怪了

cbeiyiwang

杀毒引擎设计艺术 2006年1月
2006-07-24 17:38

    杀毒引擎和病毒无关，它是抽象出来的一个空中楼阁，里面什么都没有，只是一个宏大而细腻的空空的建筑群。

    “和病毒无关”是因为引擎基本上是对“文件”的操作，文件是数据在磁盘上的组织结构，引擎本质上是对这些数据结构的分析操作，它只是匹配数据，决定谁是病毒的是特征码，而不是引擎。

    所谓的“空中楼阁”是说杀毒引擎是抽象出来的一个凌驾于各个文件之上的数据结构操作的集合，它提取了众多文件普遍具有的共性，“高处不胜寒”。

    引擎又是个“空壳子”，的确你看不到什么，一切的一切都是虚幻的，你所看到的只是数据的搬来搬去，加加减减，所有外围的调用都是虚的，但只要虚实结合，引擎可以应用到各种平台。

    它也是一个“宏大而细腻的建筑群”，走近它，你彷佛进入了一个眩美的殿堂。简洁的只剩下空灵的建筑，但它的气势令你震撼，它的细腻又是那么唯美，这就是艺术！


转自于
http://hi.baidu.com/avengine/blo ... a85e82b2b7dcb4.html

cbeiyiwang

杀毒引擎中的三驾马车
2006-08-04 17:20



其一：虚拟机。

              是一个虚拟的计算机。由虚拟的CPU系统，指令系统，内存管理系统，OS等组成，主要针对变形病毒和协作脱壳。



其二：宏。

              是一个文件系统。从磁盘操作，流操作，直到文件操作。构建于这个系统之上的是形形色色的文档。当然，这个文档可以很直接，也可以分页，但核心不变。



其三：脚本。
              是一个OS。有完善的内存管理，进程管理，自然还有小OS。把一个脚本作为作业处理，乃OS之集大成


也是转自于上面的那个博客

cbeiyiwang

AVP引擎构架设计中的几点不足
2006-08-31 19:37

其一：多线程

       AVP的众多模块使用了全局变量，如果只用一个库，多线程下要出问题。例如当同时监控50个网页时，每监控一个网页都要加载一次库，这样可以解决多线程问题，但内存和速度受很大影响。



其二：模块耦合

       缓冲区的数据依赖于模块的处理。很多情况下，后一个模块依赖于前一个模块处理后的数据，这个度是很难把握的，太多必然导致一些问题。例如一个普通模块改变了入口，如果去掉这条记录，那么依赖于这个模块入口的所有病毒都检测不到。模块应有级别，普通模块不能象0环的模块任意操作缓冲区。



其三：固定偏移

       这种方法有利有弊。利者速度快，时间复杂度O(1)；弊者变种查杀效果差，错一个字节可漏杀。



       国内引擎，除KV300, KILL外，或多或少受到AVP引擎的影响，即便国外也是如此。对待国外的引擎，需慎之又慎。但无论如何，都希望国人多支持、尊重自己的研发成果。



同上转自那个博客！

cbeiyiwang

2007-08-08 13:11

我一直在想什么是最好的引擎。做为引擎设计者，我思量至少应该做到“从心所欲，不逾矩”吧。引擎为病毒所做，也应随着病毒的变化而变化。

杀毒引擎和主动防御是两个概念，主动防御不可能替代杀毒引擎的特征码匹配，但做为辅助是必要的。主动防御的归宿是杀毒引擎，无论病毒检测率多高，终不会高过杀毒引擎中100%的特征码匹配。

呵呵，，这次不写了，，同上

cbeiyiwang

如何提高杀毒引擎扫描速度
2007-09-21 17:51

1.       明白什么样的文件不可能存在什么样的病毒。

2.       明白什么样的文件可能会产生什么样的病毒。

3.       明白扫描什么时不需要扫描什么。

4.       明白什么样的算法更适合引擎。

5.       明白cache的重要性。

6.       明白多核和多引擎的关系。

7.       明白虚拟机的适用范围。

8.       …

速度是衡量杀毒引擎优劣的基本指标之一。



好了，，最后一个文章


感谢博客的作者！！！谢谢！

hyxuzhimin

你研究的太深了。不懂啊。也许要去问问杀软公司的人才能给你比较好的回答。

无尽藏海

看得玄乎

gunman30

病毒库是引擎的补充

zrxl

就是如何发现病毒。