話說反病毒云引擎的優(yōu)勢和局限性

Avanquest反病毒軟件v1.0 官方安裝版

• 類型：其它殺軟大小：54.9M語言：中文 評分：5.0
• 標(biāo)簽：

立即下載

先看看云引擎的優(yōu)勢：
1. 反應(yīng)迅速，因?yàn)橹灰�確定病毒，基本可排除誤報(bào)的可能，可立即升級。
2. 具備互聯(lián)網(wǎng)優(yōu)勢。
3. ……

傳統(tǒng)引擎的優(yōu)缺點(diǎn)基本是前者的反向，那么有沒有一種引擎可以兼顧二者呢？

我們知道，特征碼提取是一個(gè)“緩沖偏移＋校驗(yàn)”的構(gòu)架。例如md5值是“全文緩沖0偏移＋md5校驗(yàn)”。如果我們固定這個(gè)緩沖，并且用更快的校驗(yàn)方法那么就可以實(shí)現(xiàn)“固定緩沖大小的X偏移+校驗(yàn)”的模式，在拓展一步“緩沖偏移＋校驗(yàn)＋……＋緩沖偏移＋校驗(yàn)”可形成散列算法，有效控制誤報(bào)。

“全文緩沖＋明碼”可以提取流查毒特征，用多模匹配算法；也可以“緩沖偏移＋明碼＋緩沖偏移＋校驗(yàn)＋……”。

緩沖區(qū)數(shù)據(jù)是最關(guān)鍵的，形成一個(gè)可以提取唯一識(shí)別文件特征的數(shù)據(jù)區(qū)是可以實(shí)現(xiàn)的。例如“熊貓燒香”，固定緩沖區(qū)有個(gè)數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)PE圖標(biāo)，模糊識(shí)別一下“熊貓圖標(biāo)”即可報(bào)疑似病毒。

從一定意義上說，傳統(tǒng)引擎和云引擎并不矛盾，本質(zhì)都是相同的，只不過實(shí)現(xiàn)方式不同罷了。我們所說的面向互聯(lián)網(wǎng)的免費(fèi)殺毒模式即是兩者的結(jié)合，云不是md5也可以實(shí)現(xiàn)。我們看看clamav里面的特征碼，有散列特征，有md5，，，引擎特征會(huì)朝著多元化發(fā)展，反病毒引擎也會(huì)朝著多元化發(fā)展，而面向互聯(lián)網(wǎng)的反病毒引擎自然是最貼近用戶的分支。

那么傳統(tǒng)引擎真的落伍了嗎？

答案至少目前是否定的，原因很多，先看云引擎的局限性：
1. 斷網(wǎng)后無法查殺。
2. md5校驗(yàn)查殺率低，這里的查殺率是指文件改變?nèi)魏我粋�(gè)字節(jié)會(huì)漏殺。
3. 無法解毒。
4. 無法脫殼。當(dāng)然，即便脫殼，由于脫殼程序不同，脫出的文件和原文件md5值不同，造成md5值冗余。
5. 查毒慢。我們知道IO消耗了70%左右的時(shí)間，整個(gè)文件讀取是比較慢的。
6. ……