用简单的话说,杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术
机制。
这个环节代表了杀毒引擎的质量水平,一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为,从而避免进入下一个判断环节。这个环节被叫做杀毒软件引擎工作的核心层。发现病毒文件
杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符(包括静态代码等),然后与病毒库中所存贮的
行为信息进行对应,并作出相应处理。当然必须承认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到,如果在核心层阶段就可以结束并
清除病毒程序,那么杀毒软件的工作速度将会大幅提升。“很可惜的是,当前我们没有足够聪明的杀毒引擎来完成这个过程”,这就是为什么有病毒库的原因。
传统的反病毒软件引擎使用的是基于
特征码的静态
扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒,相继开发了所谓的
启发式,
主动防御等相关技术。
一般来说,判断杀毒引擎好坏应从多方面综合考虑,主要包括:
扫描速度、资源占用、清毒能力、对于
多态病毒的检测,
脱壳能力、解密能力、对抗
花指令能力、对抗改入口点的变种病毒的能力等对抗变种病毒、
免杀的能力,还有稳定性、兼容性。
1、
Dr.web(
大蜘蛛):来自俄罗斯的世界著名杀毒软件,引擎技术很出色,并且脱壳很厉害,反病毒能力极强,正因为查杀,防御能力非常优秀,所以被俄罗斯国防部唯一指定使用的反病毒产品,并同时为国家多个机密部门提供了安全保护工作,世界还有很多知名杀软用的是大蜘蛛的引擎,20世纪90年代,曾经是俄罗斯占据95%市场销售名额的杀软,但是因为1997年的金融危机导致大蜘蛛在俄罗斯占据95%市场销售名额大幅度降低!
2、
Kaspersky(
卡巴斯基):也是来自俄罗斯的世界著名杀毒软件,其反病毒引擎和病毒库,一直以其严谨的结构和快速的反应速度为业界所称道;杀毒强悍、果断、彻底是其一大特点。正是因为如此,它连年获得诸多奖项、殊荣,世界上用卡巴斯基引擎的品牌繁多。白璧微瑕,占用系统资源略多,7.0已大有改进。
3、
Norton(诺顿):隔离机制很完善,2007年,它的一起“误杀”事故使其国际声誉大打折扣,但误杀是难免的。
4、
McAfee(
迈克菲):来自美国的著名杀毒软件,收购
所罗门公司的所罗门的引擎。全球最畅销的杀毒软件之一(世界排名第2)。
另外,优秀杀毒引擎并不止这5个,并且绝对没有五大杀毒引擎之说,还有很多优秀的杀毒引擎,例如来自罗马尼亚的
BitDefender(
比特梵德),来自斯洛伐克的
ESET Nod32,来自德国的
AntiVir(小红伞),来自
捷克的
AVG Anti-Virus,来自芬兰的
F-Secure Anti-Virus,国内优秀的杀毒引擎例如金山,
瑞星,
微点,
江民,
奇虎360等。