杀毒软件调查 对话毒霸反病毒工程师

　　【eNet硅谷动力专稿】今日反病毒厂商纷纷发布《07年上半年病毒疫情和安全》报告，根据几家的报告显示，07上半年病毒数量已前所未有的速度急剧增加，特别是针对用户敏感或财产安全的木马病毒更是格外嚣张。AV、烧香、0day漏洞这些让无数用户深受侵害的病毒的泛滥是否可以避免？是否我们的杀毒真的无法保证用户的安全？更为严重的类似赛门铁克造成的严重误杀。我们的杀毒软件还安全吗？带着着一系列的问题，7月25日，记者就杀毒引擎技术及发展方向，采访了金山毒霸反病毒工程师李铁军（以下简称李）。

　　记者：我们都知道杀毒软件的核心是杀毒引擎，那么您可以谈一下什么是杀毒引擎，它的主要作用是什么吗？

　　李：杀毒引擎主要的作用是查杀病毒，杀毒引擎是决定一款杀毒软件技术是否成熟可靠的关键。简单的说，它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制，引擎不仅需要具备判断病毒的能力，但必须拥有足够的病毒清理技术和环境恢复技术，如果一款杀毒产品能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功恢复，那它也不会成功。

　　记者：杀毒引擎的性能是如何判别的？我们知道对病毒的脱壳的能力是判断一款杀毒软件性能的一个很重要的标准，毒霸的性能在技术上有没有什么优势又或者有没有什么BUG？

　　李：杀毒引擎的性能是一个相对值，没有绝对值。技术在进步，决定了引擎技术的不断改进，性能也就在不断提高。在脱壳方面，金山可以做到准确脱如今大多数的病毒壳。当然有些时候会遇到未知的壳，有些甚至是在每次感染文件后变换新的壳，我们会特别留意这类病毒，并组织研发工程师对这些新壳进行分析，毒霸的在线升级功能正是保证用户安全的最直接手段。总得来说，在引擎性能方面需要综合比较，现在还没有一个统一的标准来判断杀毒引擎的性能。

　　记者：读者们对金山毒霸升级时，占用过多的系统资源曾经抱怨过，如今毒霸在这方面是如何改进的呢？

　　李：现在我们毒霸在这方面通过不断的努力，已经有了很大的改进，本身升级并不占用很多资源，通过合法性验证时，会稍微感觉时间长一些。金山毒霸的升级服务全面由CDN加速系统提供，我们关注客户的升级体验。会做的越来越好。相信用过毒霸的用户都会发现升级的时候，或者自动升级的时候，占用的资源已经很小。升级病毒库肯定会占用资源的，但毒霸会充分考虑用户的需求，在技术方面也会不断的提高。

　　记者：我们知道，如今安全技术已经引起越来越多的人注意，很多软件都存在漏洞或BUG，不知道我们毒霸的产品是否也存在BUG？如果有这样的BUG存在，毒霸如何处理的？

　　李：程序都会有Bug，但是我们的测试组会通过不断的努力保证Bug数到最少。

　　记者：毒霸的监控程序如何避免影响系统的正常运行，如何避免影响正常的文件操作和其他程序的正常运行，以及如何避免与网络操作存在冲突？

　　李：毒霸监控程序将能高效的分辨哪些是系统程序哪些是其他程序，若是系统程序将直接放行，如果是其他的程序，会进行行为和特征的对比，保证用户使用的安全。对于文件操作，在正常文件进行第一次运行时，将需要进行验证是否是正常文件，验证以后，将缓冲该正常文件，直到改变或升级病毒库。当发现是正常的进程进行文件操作，并且该进程没有存在被注入等不安全的现像时，我们将直接放行。我们将会验证进行网络操作的进程的安全性，以确认是否放行。

　　记者：那是不是说毒霸对现在常见的大部分软件，当然包括恶意软件和病毒木马，都有一个详细的记录，病毒都已经提取了其特征呢？

　　李：这个是可以肯定的，我们都知道如今的杀毒软件，都有一个庞大的病毒库，我们的工程师对其中的每一种病毒都进行分析，当然对软件需要启用的进程，一些基本的行为都有详细的记录。

　　记者：那我们的病毒样本是如何采集的呢？这个数据是否真的可靠？

　　李：在病毒的采集方面，我们有几种方法一起来完成的。首先毒霸有专门的采集工具，就是常听到的蜜罐系统，我们通过诱骗等手段使病毒感染我们准备好的病毒采集设施；其次，我们杀毒厂商之间也会经常进行病毒样本交换；另外，毒霸有专业的论坛和客户服务体系急救电话，我们可以从第一时间了解用户被感染的情况。，从而收集到病毒样本。

　　记者：我知道在国外，赛门铁克等厂商正在计划新的杀毒引擎标准设计，我们国内反病毒行业有自己的杀毒引擎标准吗？

　　李：国内现在并没有具体杀毒引擎的标准，每个厂商都有自己的团队在开发引擎，都有自己的一个标准。

　　记者：我们知道，如今的杀毒引擎主要还是采用特征检测技术，而国外已经在提行为检测，并想把行为检测作为一个标准引入到杀毒引擎中，毒霸对这个是如何看待的？是否行为检测真的要到只能算法有所突破的时候才能得到广泛应用呢？

　　李：其实行为检测技术国内也早已经在研究，毒霸也在进行这方面的开发，我们新近发布的金山毒霸系统清理专家就引入了部分行为检测技术，而且也取得了不错的效果。但是在杀毒行业中特征检测还是最成熟，最被广泛利用的。行为检测在未来肯定会被更多的引入到杀毒引擎中来。

　　记者：那在行为检测中，如何避免误杀？我们知道行为检测中的误杀，要比特征检测更难防范。

　　李：行为检测必然会带来误报，最大限度避免误报误杀，是杀毒厂商必须面对的重要任务。首先必须保证不能因为误报误杀影响到系统文件，不能因此给客户带来重大损失。到目前为止，我们观察到市面上主流杀毒软件都还在采用以特征码为主，行为检测为辅的杀毒技术。