【IT168 编者按】在经济利益诱使之下，病毒、木马日益泛滥。而病毒与反病毒是一对共生体，当病毒泛滥的时候，反病毒机制也越发成熟。UTM等设备的出现，预示着反病毒引擎将不仅应用于杀毒软件（单机版和网络版），病毒过滤体制正在延伸（嵌入）到网络各个层面的设备之上。本文为反病毒引擎应用于更多领域提供了一定的参考。

    一、AV 旧逻辑面临的问题

    病毒与反病毒产品的长期对抗，使AV技术不仅形成了一套完整的技术体制，也形成了一套逻辑和法理体制。这使反病毒软件的工程规划形成了很多特定的共性原则。这些共性原则首先被从实践中总结形成，回头来又指导着反病毒引擎乃至反病毒工具的设计。

    1995年，笔者曾总结了反病毒体制的共性原则44条，目前还作为我们研发的基本内部原则，因此戏称为AV辩证法。基本条目包括：

    计算机病毒归根到底是一种程序。

    计算机病毒的特征码是从程序体或者程序体的某种处理结果上，选取的可以唯一确定计算机病毒类别的标识。

    计算机病毒最根本的判据应该是程序特征码或其他的内容相关特性。

    有害或主观有害是一个文件被提取特征加入病毒特征库的唯一原因。

    计算机病毒的有害，是指程序包含着用户所不期待的的对信息系统的影响。

    一个确定的程序是否应该被反病毒软件检测，是基于明确的标准。

    反病毒软件的工作原则是保证数据安全和系统的正常运行。不应因清除功能或完成其他的功能，产生有悖于上述原则的影响。

    计算机病毒的清除过程是感染的逆过程

    用户对于反病毒产品拥有下列权利：

    定义权：反病毒软件可以默认的设置，但用户具有定义进行何种模式的检测以及是否清除的权利。

    知情权：用户有权指导反病毒软件在系统中做过什么。

    备份权：反病毒工具应该提供用户对带毒文件备份的手段。

    反病毒软件应该识别包裹中的病毒，在具有算法授权的情况下，可以清除包裹中的病毒，但不能删除包裹本身。

    病毒监控的基本模式应该以阻止带毒文件的运行（获取系统控制权）为目的（即前报原则）