就象瀏覽器的內核主要有四個一樣，世界上殺毒軟件的引擎也不多，下面個大家介紹一下。先說說反病毒史上的兩位著名人物。

一是俄羅斯的Eugene Kaspersky。1989年，Eugene Kaspersky開始研究計算機病毒現象。從1991年到1997年，他在俄羅斯大型計算機公司“KAMI”的信息技術中心，帶領一批助手研發出了AVP反病毒程序。Kaspersky Lab于1997年成立，Eugene Kaspersky是創始人之一。2000年11月，AVP更名為Kaspersky Anti-Virus。Eugene Kaspersky是計算機反病毒研究員協會(CARO)的成員，該協會的成員都是國際頂級的反病毒專家。AVP的反病毒引擎和病毒庫，一直以其嚴謹的結構、徹底的查殺能力為業界稱道。

另一位是Doctor Soloman。他創建的Doctor Soloman公司曾經是歐洲最大的反病毒企業，后來被McAfee兼并，成為最為龐大的安全托拉斯NAI的一部分。初期，McAfee與歐洲的一些殺毒軟件公司經常興起口舌之爭，但是自身殺毒引擎并不出色，于是McAfee停用自己的殺毒引擎，轉而使用收購來Doctor Soloman產品的引擎。 
    

然后讓我們來看看殺毒軟件的引擎的主要成員。

1.Norton(諾頓)：這個最熟悉了，諾頓的殺毒軟件實際上防止偵測方面做得并不是很好，很多病毒程序在子程序段中經常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強的自身防護技術。諾頓的引擎應該是完全自成封閉體系的，沒有資料證實諾頓曾經購買或者借鑒過別的殺毒引擎。傳聞很多公司都在設計時參考過卡巴斯基的泄漏版引擎設計，因此曾經在微軟社區在線聊天時，問過這個問題。回貼一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無必要，它自己的引擎搞得挺好的。有一個叫fenssa的家伙甚至回貼說不考慮病毒庫因素，諾頓的殺毒引擎相當先進，綜合防護性能很好。在微軟，除了用mcafee的就是用諾頓的（這一點我比較相信，很少見到別的殺軟在微軟被使用）。從諾頓的技術文檔描述和在病毒論壇上流傳的29A的一個家伙搞的一篇叫虛擬機環境下諾頓工作過程的步進追蹤和反編的文章來看，諾頓的殺毒引擎應該是傳統的靜態代碼對應與實時監控的完美結合，應該有一些改進的虛擬機技術在里面（諾頓的人并不怎么推崇虛擬機技術）。諾頓的殺毒速度慢，應該源于諾頓采用了較多的靜態代碼這種傳統的檢查方式有關。我個人非常喜歡諾頓的隔離機制，我認為在沒有確定完全正確的處理方式之前，刪除是不應該被采用的。一個高手寫的病毒應該能盡可能的與系統進程相關，在這種情況下，隔離的優勢立刻顯現。諾頓資源占用量比較大，但實現了如下設計目標：能識別的病毒和被識別為病毒的進程完全可以正確處理，對已經不可能產生破壞作用的’病毒尸體‘不會產生誤判，更不會出現出現一次又一次的在處理完某病毒后又檢測其為病毒的狀況。  
很多人認為諾頓企業版和個人板采用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。zdnet上刊登過一篇文章指出：企業版和個人版引擎的核心規則完全一樣，但在前端文件匯入部分企業版是優于個人版的，企業版使用了更多的API接口。文章中說，在大規模文件掃描時，企業版明顯優于個人版。并且由于使用了負載技術，企業版資源占用還好一點。另外據說企業版支持基于網絡的多重負載技術。
另外我當初剛聽到這個名的時候就覺得他是一個大塊頭，后來室友用了我發現我猜的沒錯,暴占資源，套件塊頭也大 隨機器啟動的話，我都在敲程序了，他的才剛到歡迎界面，于是他也用卡巴了。順便說一下，我同學大多懶得換殺毒軟件 多數用的是裝機商給裝的毒霸，后來罵了毒霸十八代后都用卡巴了。

2.Mcafee(麥咖啡):記得看過一篇報道說mcafee收購過別的殺毒軟件引擎設計公司，據回貼可知為所羅門。在網上很少能看到關于對mcafee的殺毒引擎進行過分析的技術文檔，但從他自己宣傳的資料看，mcafee對虛擬機技術和實時監控研究的都挺徹底的。比如他最近宣傳防止應用程序溢出（大致這個名字）的技術，應該是在不考慮硬件平臺的情況下虛擬機技術和實時監控技術結合的上乘之作，盡管經常出現錯誤的溢出偵測（軟件層面的放溢出技術確實不很穩定）。在處理大量的文件時，mcafee有一定的速度優勢（微軟社區中有這個問題的論述）。有來自于mcafee論壇的消息說，mcafee 正在研究更先進的智能碼掃描技術，估計肯定比東方衛士搞得要好。根據組長的回貼，McAfee自發布VSE8.0i以來就著重于"前懾防范"這一新型的安全領域，并且NORTON也在超這一方向邁進。"前懾防范"一共分為兩個部分，其一為運用部分防火墻技術外加其入侵檢測技術有效的阻斷病毒的傳播源，以至于病毒在傳染的初期無法得到大面積的傳播降低了危害性；其二為依靠其強大的特征碼檢測技術（Extra.dat）對病毒的行為方式、特征代碼等進行檢測，依靠它強大的研發團隊以及策略聯盟伙伴使其在這一領域獨樹一幟。諾頓能在其新版產品中也加入了一些原本屬于防火墻的功能。發郵件詢問諾頓的研究人員為什么沒有采用特征碼殺毒技術，回應說一個完美的特征碼掃描技術應該能夠達到根據用戶的指定加入特定文件為病毒的目的，也就是當用戶指定某個活動程序為病毒時，殺毒軟件的引擎能夠根據自身的規則為該活動程序定義一個特征碼，并且在控制該活動程序時，能夠有效地斷絕其與系統正常進程的關聯。在沒有這個水平之前，諾頓不會大規模采用特征碼技術。從mcafee的技術文檔來看，mcafee也只是有限度的試驗性的研究該技術，并在比較有把握的地方應用。實際上兩家公司在這方面還有很長的路要走。    


3.Kaspersky(卡巴斯基)：在論壇上被過度神話的殺毒軟件。我個人非常尊重卡巴斯基的高水準，雖然有不少論壇說其資源占用很大，但我用這一直很流暢，由于早些年卡巴斯基的引擎曾經泄漏（實際上泄漏的并不是初始源代碼，只是泄漏的引擎可以比較容易的反編），因此網上可以找到很多關于卡巴斯基引擎的非常詳細的技術分析，尤其是德國的病毒高手寫的關于如何優化卡巴斯基殺毒引擎的文章，被認為是所有采用卡巴斯基引擎的殺毒軟件廠商必看的文章之一，就象美國人寫的那篇VB100到底怎么測試殺毒軟件（里面作者綜合近幾年的測試結果推測了VB100在測試時可能使用的病毒類型，相關比例等）是殺毒軟件廠商在將自己的軟件送測前必看的文章一樣。從網上大量的分析文檔看卡巴斯基的虛擬機技術是很優秀的，但是去年有人發貼認為卡巴斯基的良好的性能來源于它非常龐大的病毒庫和良好的升級速度，其殺毒引擎設計水平并不高于其余的公司。卡巴斯基的引擎采用了所謂的單一形式的規則判斷，眾所周知諾頓是基于分類的規則處理。卡巴斯基的引擎在文件標識比對病毒庫的時候被認為有著很好的性能，充分利用了處理器的處理能力，"但令人擔憂的是，該公司對最新出現的技術并不充分重視"（英國的計算機雜志去年年末的評論），究竟是對原有引擎進行徹底改進還是大量使用新技術，估計誰都不知道。卡巴斯基的引擎存在叫做所謂的"過與簡短的文件碼"問題，說白了就是有時候會鞭尸，它的研究人員說正在改進。前段時間有人發帖子中指出病毒編寫者只認可卡巴斯基，說實話看了很多論壇文檔，好像沒有哪個強人這么說過。卡巴斯基走的是與美國廠商有很大區別的研發道路，卡巴斯基很少引用別的公司開發的技術，而是在不斷的深化，改進自身的殺毒引擎，單從某些方面評論，卡巴斯基的引擎代表著業界最高水準，但并不是全部。卡巴斯基是一款很好的殺毒軟件，但并不是神。

在國內，一直有江民的殺毒軟件采用卡巴斯基引擎的傳聞，說句實話業界相當一部分殺毒軟件都參考了其引擎設計，即使在國內也沒有足夠的信息證實只是江民參考了其引擎設計。很多人都使用各種各樣的病毒包對卡巴斯基和江民進行測試，測試結果是完全一樣。說句實話，這種測試并沒有什么可信性，對化石孢的檢測各種殺毒軟件結果幾乎都一樣。只有兩種方法能夠說兩者的引擎如何：1.將兩款軟件送至VB100或者類似的權威機構進行測試，如果兩者對其中未知病毒的測試結果（這個結果并不公布，廠商自己去買）完全一樣，那什么都沒說的。兩個不同的引擎機制在對待同樣大規模的未知病毒庫時出現相同的檢測結果近乎是不可能的。可惜的是，江民沒有參加過VB100測試，好像也不大可能個人有足夠龐大的未知病毒庫來進行檢測。2.采用類似于破解的方法進行反編，分析整個軟件的工作機制，工作量有多大相信都能猜出來，也沒有見過有人搞過這種研究。因此我個人只能認為江民可能（較大程度的）參考了卡巴斯基的殺毒引擎設計，但從兩款殺毒軟件的靈敏程度，殺毒速度等諸多方民看，即使江民采用了卡巴斯基的引擎，江民也應該進行了很大程度的源代碼修改或者優化，另外也有消息說江民在引擎中加入了一些自己開發的技術，在實現方法上類似于數字碼技術。霏凡上曾有高手指出假如公布兩款軟件的源代碼，可能并不會有人能看出二者有什么關系。實際上，當發現江民的軟件并不能使用卡巴斯基的病毒庫的時候，我們就應該知道即便曾經借鑒過，二者也已經可以被認為是不同的殺毒引擎。可能在win3.x平臺下，二者曾經很相近；但是今天我們在使用winxp.即使江民確實采用過卡巴斯基的引擎，那么可以說江民在某些方面發展了這套引擎，盡管這種發展未必與原始的研發方向相符。但無論基于何種角度考慮，我認為江民的殺毒軟件還是有優秀之處的。畢竟你回頭看一看國內的殺毒軟件廠商，在真正的技術研發領域只有這么一面旗幟偶爾飄揚。一步步走下來，江民還是有技術進步的。只就純技術因素而論，假如江民采用了卡巴斯基的引擎，那么今天兩家廠商在不同的方向上發展著那套原始的引擎，這未必是壞事，只要不固步自封，我們好像沒什么必要爭論兩家廠商是否一個原始祖先怕的就是在別人都往前跑的時候自己停下來，這跟自取滅亡沒什么區別。盡管市場是殺毒軟件廠商的第一要素，但別忘了技術是一個殺毒軟件能否基業常青的決定性力量。    

4、熊貓：這個西班牙的東東，全球第一個自動升級的，人家的引擎也相當不錯，速度絕對一流，查殺徹底，但病毒庫有點歐洲化，所以在中國用著不太好用，占內存很大，金山好像現在就在仿熊貓，監控好像不是，殺毒和升級都是仿造熊貓的，金山的監控很垃圾，你用用就知道了。  

5、DR.WEB：也是俄羅斯的引擎，俄羅斯國家科學院合作開發的，軍方和克里姆林宮專用。和卡巴基本是一樣的，但引擎和技術不一樣，是俄羅斯官方和軍隊的采用的產品，商業和個人大多是采用卡巴，分兩個版本。只有一個對外，而且它的技術是俄羅斯國家科學院為后盾的。這個殺毒軟件公司目標不是賺錢，純粹為了技術，所以現在都沒有中文版，它從來不把二進制病毒和不能發做的木馬列入病毒庫，所以在一些測試中名字不是很靠前，甚至很少參加測評，但殺毒實力絕對在卡巴以上，占用內存很少，差不多4兆。啟發式加虛擬脫殼，北斗的殼，外面再加殼，加跳針也可以干掉，占用內存很少。可以說是最強的引擎。對付變種病毒和木馬最好了。可以干掉加密XTA算法。清除極其復雜的病毒。 今天用驅逐艦(韓國殺毒軟件)全面掃描了一下，沒有發信什么但用DR.WEB一掃發現這么多沒有掃出來，雖然大多數是廣告。看來核心技術比dr.web 還是差很多，大家不要以為你真的用上了DR.WEB人家俄羅斯說了，核心的東西是不賣的。驅逐艦用的它的引擎，但畢竟是假蜘蛛，殺毒效果和DR.WEB根本不一樣。

轉http://popigao.spaces.live.com

附：VB100%(Virus Bulletin)是病毒軟件專業評測 由 virusbtn 機構組織從上個世紀90年代開始，VB 100%測試就廣泛被業界所認識接受。Virus Bulletin將根據各大殺毒軟件檢測病毒的成功率，掃描速度、性能等內容來進行比較。評測沒有打分，Virus Bulletin看來只有兩個結果：通過或者不通過。因為在他們看來，殺毒軟件的特性決定了沒有中間妥協的余地，對病毒，只有殺和不殺，對性能，只有好和不好。如果通過了測試，參加檢測的廠商就會在所參與的平臺上獲得VB 100%認證。例如，著名的熊貓軟件在今年4月份的Windows 2000平臺上通過了Virus Bulletin的所有測試，它就獲得了VB 100%認證。而在11月份的Windows XP平臺上則只能以“不通過”作為評測結果。這不是因為熊貓殺毒性能差，而可能僅是它在其中一項測試中表現不佳。所以說，VB 100%是國際上最嚴格的一項殺毒產品檢測，所有國際知名的殺毒軟件企業都會在這個評測中出現，盡管很多企業都在各項評比中失手，但是他們依然得硬著頭皮接受結果，因為這是一項公平公正的權威評測結果。