菜鳥必讀:反病毒云引擎的優(yōu)劣

      先看看云引擎的優(yōu)勢：
      1. 反應(yīng)迅速，因為只要確定病毒，基本可排除誤報的可能，可立即升級。
      2. 具備互聯(lián)網(wǎng)優(yōu)勢。
      3. ……

      傳統(tǒng)引擎的優(yōu)缺點基本是前者的反向，那么有沒有一種引擎可以兼顧二者呢？

      我們知道，特征碼提取是一個“緩沖偏移＋校驗”的構(gòu)架。例如md5值是“全文緩沖0偏移＋md5校驗”。如果我們固定這個緩沖，并且用更快的校驗方法那么就可以實現(xiàn)“固定緩沖大小的X偏移+校驗”的模式，在拓展一步“緩沖偏移＋校驗＋……＋緩沖偏移＋校驗”可形成散列算法，有效控制誤報。

      “全文緩沖＋明碼”可以提取流查毒特征，用多模匹配算法；也可以“緩沖偏移＋明碼＋緩沖偏移＋校驗＋……”。

      緩沖區(qū)數(shù)據(jù)是最關(guān)鍵的，形成一個可以提取唯一識別文件特征的數(shù)據(jù)區(qū)是可以實現(xiàn)的。例如“熊貓燒香”，固定緩沖區(qū)有個數(shù)據(jù)結(jié)構(gòu)存儲PE圖標(biāo)，模糊識別一下“熊貓圖標(biāo)”即可報疑似病毒。

      從一定意義上說，傳統(tǒng)引擎和云引擎并不矛盾，本質(zhì)都是相同的，只不過實現(xiàn)方式不同罷了。系統(tǒng)之家所說的面向互聯(lián)網(wǎng)的免費殺毒模式即是兩者的結(jié)合，云不是md5也可以實現(xiàn)。我們看看clamav里面的特征碼，有散列特征，有md5，，，引擎特征會朝著多元化發(fā)展，反病毒引擎也會朝著多元化發(fā)展，而面向互聯(lián)網(wǎng)的反病毒引擎自然是最貼近用戶的分支。

      那么傳統(tǒng)引擎真的落伍了嗎？

      答案至少目前是否定的，原因很多，先看云引擎的局限性：
      1. 斷網(wǎng)后無法查殺。
      2. md5校驗查殺率低，這里的查殺率是指文件改變?nèi)魏我粋�字節(jié)會漏殺。
      3. 無法解毒。
      4. 無法脫殼。當(dāng)然，即便脫殼，由于脫殼程序不同，脫出的文件和原文件md5值不同，造成md5值冗余。
      5. 查毒慢。我們知道IO消耗了70%左右的時間，整個文件讀取是比較慢的