概述
用簡單的話說,
防毒引擎就是一套判斷特定程式行為是否為病毒程式(包括可疑的)的技術機制。
行為過程
一個完整的技術引擎遵守如下的行為過程:
1.非自身程式行為的程式行為捕獲。包括來自於記憶體的程式運行,來自於給定檔案的行為虛擬判斷,來自於網路的動態的信息等等。一般情況下,我們稱之為引擎前端。捕捉的方法非常多,除諾頓以外的防毒軟體採用的都是行為規範代碼化的方法。諾頓由於與微軟有這遠遠高於其它廠商合作關係,其實現過程比較獨特,另有敘述。
2.基於引擎機制的規則判斷。這個環節代表了防毒引擎的質量水平,一個好的防毒引擎應該能在這個環節發現很多或者稱之為相當規模的病毒行為,存而避免進入下一個判斷環節。傳統的反病毒軟體引擎使用的是基於特徵碼的靜態掃描技術,即在檔案中尋找特定十六進制串,如果找到,就可判定檔案感染了某種病毒。但這種方法在當今病毒技術迅猛發展的形勢下已經起不到很好的作用了。為了更好的發現病毒,相繼開發了所謂的虛擬機,實時監控等相關技術。這個環節被叫做防毒軟體引擎工作的核心層。
防毒引擎與要將非自身程式行為過程轉化為防毒軟體自身可識別的行為標識符(包括靜態代碼等),然後與病毒庫中所存貯的行為信息進行對應,並作出相應處理。當然必須承認,當前的防毒軟體對大量病毒的識別都是在這個階段完成的。因此一個足夠龐大的病毒庫往往能夠彌補防毒軟體引擎的不足之處。但是必須意識到,如果在核心層階段就可以結束並清除病毒程式,那么防毒軟體的工作速度將會大幅提升。“很可惜的是,當前我們沒有足夠聰明的防毒引擎來完成這個過程”,這就是為什麼有病毒庫的原因。
