杀毒软件引擎发展简史

　　计算机安全行业已走过20多个年头，技术领域也进行了多次革新，特别是在杀毒软件 的核心技术 - 杀毒引擎方面，也从简单的数据匹配、识别到如今的智能判断和分析。改变很多，方向更广。而在今天回顾一下病毒和查杀引擎的变迁，也能够让大家了解到当前反病毒行业的一个发展状况。

　　在将引擎变迁之前，首先我们要简单了解下常规病毒的基本原理和分类，目前的主要计算机病毒（常规病毒）大致分为以下几类：传统病毒、宏病毒、恶意脚本、木马、蠕虫（变种）等。

 

一、病毒与引擎的变迁

　　0.病毒类别和威胁类型
　　传统病毒能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒，而宏病毒则通常会利用 Word、Excel等的宏脚本功能进行传播，恶意脚本包括在HTML脚本、批处理脚本、VB、JS脚本等输入恶意代码实现攻击目的。木马则是在用户不知 情的情况下安装，隐藏在后台，伺机发作。蠕虫病毒，则是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒。

　　看过了大致分类，我们就可以做初步判定，至少要具备以上各式病毒的查杀引擎，才可真正成为一款“杀毒软件”。比如瑞星全功能安全软件，就是一款全功能的病毒查杀程序，可以快速检测、查杀上述病毒威胁。

　　1.早期反病毒引擎 - 特征码识别
　　80年代末期，基于个人电脑病毒的诞生，特别是Windows操作系统的发布，病毒开始愈发引起用户注意，随即，早期一些安全厂商就开始开发相关清除 病毒的工具 - 反病毒软件。当然，早期病毒相对简单，破坏力小，从而检测相对容易，最广泛使用的就是特征码匹配的方法，即我们白话所说的“找不同”。

　　然而特征码是什么意思呢？例如在系统代码的XX节处是下面的内容：“0xec , 0×99, 0×80,0×99，就表示是大麻病毒（早期知名病毒）。”这一串表明病毒自身特征的十六进制的字串，通常就包含有病毒和威胁信息，而杀毒软件通过利用特 征串，可以非常容易的查出病毒。

　　但这段时光并没有维持多久，很快计算机病毒就进入了一个新的时代，也就是“广谱特征”时代，这个时代离我们并不遥远，90年代中后期和新世纪初期，仍然是主流杀毒软件所采用的查杀引擎和识别技术。

　　2.中期识别方式 - 广谱特征
　　为了躲避杀毒软件 的 查杀，电脑病毒在90年代中后期开始进化。病毒为了躲避杀毒软件的查杀，逐渐演变为“变形”的形式，每感染一次，就对自身变一次形（病毒变种）通过对自身 的不断变形来躲避查杀。这样一来，同一种病毒的变种病毒大量增加，甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续 字节是相同的。

　　为了对付这种情况，首先特征码的获取不可能再是简单的取出一段代码来进行简单分析，而需要分段的增加了一些不参加比较的“掩码字节”，在出现“ 掩码字节”的地方，对不同点进行详细分析，这就是“广谱特征码”的概念。这个技术在很长一段时间内，是杀毒软件的主要扫描和查杀技术，但这种方式，会拖慢 查杀速度，导致早年间扫描一次系统往往需要半天、甚至一天。同时也使误报率大大增加，因为采用广谱特征码的技术不但可以对新病毒进行查杀，并且还可能把正 规程序当作病毒误报给用户，早期关于“误报”的消息，也大多因此而来。

　　3.新式查毒方式 - 启发式扫描(Hips)
　　由于“广谱特征”并不能完全满足用户的查杀需求，加之病毒的日益革新，启发式扫描方式出现了。这也是今天很多杀毒软件依然采用的查杀技术。这种扫描技 术是通过分析相关的病毒指令，判断其出现的次序，或组合、排列情况等病毒的标准特征来决定文件是否感染病毒，甚至是否有“未知”病毒迹象。

　　而病毒要达到感染和破坏的目的，通常的行为都会有一定的行为和特征，例如非常规读写文件，终结自身进程，非常规切入零环等等。所以可以根据扫描 特定的行为或多种行为的组合来判断一个程序是否是病毒，而启发式扫描，就恰好具备了这些特性，更是比起传统意义上“静态”的特征码扫描要先进许多，可以达 到一定的“未知”病毒处理能力。

　　4.同期先进查杀技术 - 行为判定（虚拟脱壳）
　　针对“变种”病毒、未知病毒等复杂的病毒情况，一些杀毒软件采用了“虚拟机”（脱壳）技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的， 由软件模拟出来的程序虚拟运行环境，虽然病毒可以通过各种方式来躲避杀毒软件，甚至迫使防火墙失效，但是当它运行在虚拟机中时，它并不知道自己的一切行为 都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用“虚拟机技术”（脱壳）就可以发现大部分的变形病毒和大 量的未知病毒。

　　编辑点评：
　　四个不同的时代，代表了四种不同的技术，杀毒引擎的变迁，也可以说是一段病毒的发展历史，正是由于病毒不断更新、不断变种，推动了反病毒产品的不断革 新、不断升级。而目前的主流杀毒产品，如瑞星全功能安全软件和正在公测的瑞星杀毒软件2010版本均采取了最为先进的病毒扫描和查杀技术，可以有效清除系 统内存在的病毒和木马程序，全面保护您的系统安全。

　　作者：中关村在线 刘晶晶
　　来源：http://xiazai.zol.com.cn/article_topic/141/1413996.html