收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 McAfee mcafee的规则是通过什么来实现的?
123下一页
返回列表 发新帖
楼主: tcafei
 收起左侧

mcafee的规则是通过什么来实现的?

[复制链接]
李乾坤
发表于 2007-3-7 11:23:50 | 显示全部楼层
估计还是监控系统函数。
回复

举报

小邪邪
发表于 2007-3-7 12:11:55 | 显示全部楼层
这就要说到Mcafee和NORTON跟微软的特殊关系了

Norton和MCAFEE是微软最高级的安全方面核心合作厂商,因此它的杀毒软件在某些方面工作比较特殊。比如在杀毒软件的安装,使用和功能实现方面,大部分厂商采用的是中间件技术,在系统底层与非自身应用程序之间作为中间件存在并实现其功能;另有一些厂商使用的是应用程序或者嵌入技术,相对而言这种方法安全性较低;Norton和Mcafee实现方式比较相似,Norton采用了基于系统最底层的系统核心驱动,这种实现方式是最安全的或者说最高级的实现方式,当然这需要微软的系统源代码级的支持(要花许多money),业界公认,这是最稳定的实现方法,但从目前而言,只Norton一家。

Mcafee实现方式与Norton很接近,一般称之为软件驱动。相当于在系统中存在一个虚拟“硬件”,来实现杀毒软件功能。这些实现方式关系着杀毒引擎对程序行为进行捕捉的方式。
我们使用的Intel系列处理器有两个 Ring层,对应两个层,微软的操作系统将系统中的所有行为分为如下几个层:

⑴最底层:系统核心层,这个层的所有行为都由操作系统已经内置的指令来实现,所有外界因素(即使你是系统管理员)均不能影响该层的行为。Norton的核心层既工作在这个层上。

⑵硬件虚拟层(HAL)。为了实现硬件无关性,微软设计了该层。所有的外部工作硬件(相对于系统核心而言)都进入HAL,并被HAL处理为核心层可以相应的指令。我们所使用的硬件的驱动程序既工作在该层上。当外界硬件存在指令请求时,驱动程序作出相关处理后传给核心层。如果无与之对应的驱动相应,那么将按照默认硬件进行处理。好像安全模式下硬件的工作就被置于默认硬件模式。Mcafee的杀毒软件,就被认为工作在HAL层上。

⑶用户层。我们所知的大部分杀毒软件既工作与该层上。一个完整的程序行为请求是如下流程:位于3户层上的应用程序产生指令行为请求,被传递至2HAL进行处理,最后进入1最底层后进入CPU的指令处理循环,然后反向将软件可识别的处理结果经1-2-3再响应给应用程序。对于Norton而言,其整个工作过程如下:3-2-1,完成;Mcafee:3-2-1-1-2,完成:其余:3-2-1-1-2-3,完成;这个环节代表了杀毒软件引擎的前端行为规范的获得。

只从这个过程而言,Norton和Mcafee是比较先进的。具体到系统与CPU的Ring()的对应,Win NT时代,微软的NT系统被设计成与四个Ring()层相对应,RISC系列的处理器有四个Ring。因此现在的大部分杀毒软件是不能工作在NT上的。具体来说,CISC有四个Ring(),RISC有两个Ring()。

尽管比较先进的工作方式给Norton和Mcafee带来了较高的系统稳定性(HAL层很少出现问题,最底层出问题的几率接近于零),较快的响应速度(减少了环节),但同时也带来了一些问题:1.资源占用比较厉害。在Mcafee上体现的不是很明显,在Norton上表现非常明显。因为对于越底层的行为,硬件资源分配越多。最好资源的是什么?当然是操作系统。应为它最最底层。2.卸载问题。卸载底层的组件出问题的概率是相对比较高的,因此Norton的卸载比较慢,偶尔还容易出问题。

因此,有人质疑微软Windows操作系统的不稳定性,是否会拖累Norton?实际上,Windows的内核层设计是非常优秀的,很多时候,操作系统的不稳定性来源于以下几个方面:

⑴应用程序设计不合理,许多程序设计者根本就未读过微软的32位程序设计指南,所设计的程序并不严格符合微软规范。我们看到,大量多年前设计的软件还能运行于最新的Win XP平台,原因很简单:这个软件在设计时完全遵循了微软的程序设计规范。

⑵驱动程序的编写有问题,与HAL层有冲突。

因此,片面地认为微软的操作系统将会影响MCAFEE的稳定性是不合理的。
业界有人认为,先进杀毒软件的引擎设计已经日趋复杂,类如Norton这一类的厂商其产品的引擎应该已经覆盖了操作系统的各个层级,以提高防护能力。在一篇文档中有程序员提出有足够的信息认为Norton,Mcafee,趋势的产品自己修改了标准的系统相关协议,比如TCP/IP等,以达到所谓的完整防护的目的。NOD32的一篇官方文档,就指出,反病毒厂商有必要全面更新系统的诸多协议,以达到最快的速度和杀毒效果。
回复

举报

starfish
发表于 2007-3-7 13:02:23 | 显示全部楼层
从没有想过这个问题 ,不过有人提了,当然要进来学习一下啦
回复

举报

呆子
发表于 2007-3-7 15:57:25 | 显示全部楼层
俺也想知道 啊.
回复

举报

zea10t
发表于 2007-3-7 16:07:34 | 显示全部楼层
学习下。
回复

举报

nicolashuang
头像被屏蔽
发表于 2007-3-7 16:23:43 | 显示全部楼层
这个好像看过^_^,好像是从一个长贴截取下来的哈哈。
回复

举报

zxc789
发表于 2007-3-7 16:28:14 | 显示全部楼层
觉得应该是函数吧~~
回复

举报

yndlyb
发表于 2007-3-7 20:13:42 | 显示全部楼层
小邪邪版主真是咖啡方面的专家,这么高深的问题都懂,学习一下
回复

举报

sgbty
发表于 2007-3-7 21:24:10 | 显示全部楼层
学习下
回复

举报

spword
发表于 2007-3-7 21:29:21 | 显示全部楼层
学习中。。。
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:12 , Processed in 0.092921 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表