二、细粒度处理
在一般技术人员的感觉中,反病毒体系最重要的是引擎和病毒库,但还有一个因素不应该被忽视,那就是配置控制。因为引擎的工作粒度和分支往往是配置决定的。在引擎技术基本稳定前提下,只有库与配置有更大的扩展空间。
 |
| 图一:AV三要素 |
那么我们看一下传统的病毒库结构,这是某国外反病毒公司产品的库结构,在库中有4种类型的特征纪录。
&picid=451215.jpg) |
传统的引擎基于上面的库工作,通过类型三、四的纪录,检测95%的病毒(特征码检测)。通过类型一、二检测剩余5%比较特殊的病毒(独立模块检测)。通过处理参数进行超过80%的病毒处理,通过处理模块处理剩余20%的病毒。
这样的AV引擎需要实现三个配置控制基本点:
- 对象控制:检测哪些对象。
- 行为控制:如何处理,是否清除、是否删除等等。
- 效力控制:检测强度。
