殺毒引擎為何那麼重要?360被AV-C、AV-TEST以及Virus Bulletin三大著名殺毒軟件測試機構撤銷認證和評級的事件已經過去了近半個月。經過半個月的沉澱和冷靜思考,我們想把事件本身放一邊,來站在普通用戶的角度聊一聊對於殺毒軟件,我們到底應該如何看待。
這次360“出事”最主要的問題就在於在兩個版本中開啟了不同的引擎,這讓評測機構判定有作弊的行為,可見殺毒引擎在殺毒軟件中起著至關重要的作用。那麼殺毒引擎究竟是什麼呢?
簡單來說,殺毒引擎就是一套判斷特定程序行為是否為病毒程序的技術機制。這是一套較為復雜和精密的技術,一般由多種方法綜合對文件進行病毒排查。其中比較重要的就是特征碼掃描,它將掃描信息與病毒數據庫進行對照,如果信息與其中的任何一個病毒特征符合,殺毒軟件就會判斷此文件被病毒感染。殺毒軟件在進行查殺的時候,會挑選文件內部的一段或者幾段代碼來作為他識別病毒的方式,這種代碼就叫做病毒的特征碼。
還有就是文件校驗和,即引擎對文件進行掃描後,可以將正常文件的內容,計算其校驗和,將該校驗和寫入文件中或寫入別的文件中保存。隨後在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,由此判斷文件是否感染病毒。
進程行為監測則是通過對病毒多年的觀察、研究後總結出一套病毒的共同行為,這些行為在正常程序中比較罕見。當程序運行時,監視其進程的各種行為,如果發現了病毒行為即會進行報警。
最後則是主動防御技術,這也是近年比較主流的技術,這種技術不需要病毒特征碼支持,只要引擎能分析並掃描到目標程序的行為,並根據預先設定的規則,判定是否應該進行清除操作。
不過以上這些方法技術同時都存在自己的優點和缺點,因此殺毒引擎能否有效地綜合處理運用這些技術來達到更好的防御效果,就成了判斷一款殺毒引擎好壞的關鍵。一般來說,判斷殺毒引擎好壞應從多方面綜合考慮,主要包括:掃描速度、資源占用、清毒能力、對於多態病毒的檢測,脫殼能力、解密能力、對抗花指令能力、對抗改入口點的變種病毒的能力等對抗變種病毒、免殺的能力,還有穩定性、兼容性。
說這些只是讓大家了解一下,為什麼三大評測機構和360都抓住引擎的問題不放,為什麼AV-C認為360只是換了個引擎就是不可原諒的作弊行為。可以說,采用不同引擎就完全是兩款不同的產品。
