四、清除病毒和文件还原
    正确地识别出了病毒后，接着就需要对其进行清除了。此时，又分为两种情况。对于那些尚未感染文件或展开破坏行为的病毒，在这种情况下杀毒引擎只需要简单删除文件就可以了。然而用户遇到最多的，还是已经被病毒感染的情况，此时，杀毒引擎将根据病毒特征库中记录的病毒行为来判断当前系统环境遭受破坏的情况并进行恢复。对于受病毒感染的文件，杀毒引擎必须根据一定的算法在文件体内找出病毒代码寄生的部分并给予清除，这个过程必须非常谨慎，否则直接的后果就是导致原文件被破坏，这样的杀毒就毫无意义了（很多朋友也许都遇到过查杀大量的受感染的系统文件后，系统无法正常启动的情况，其实就是因为查杀病毒的过程中，系统文件也遭到了破环！）。而对于非文件型的木马和恶意程序，由于它们会通过各种方式篡改系统注册表或系统文件，从而达到加载自身（也就是平常所说的自启动）之目的，杀毒引擎在清除了这些病毒后，需要准确、有效的恢复受破坏的系统环境，这也是对杀毒引擎的最大挑战。而对于那些不能识别名称的病毒，虽然无法对其进行精确的清除，但很多杀毒软件也可以将其放入“病毒隔离区”，通过禁止其运行的方法来抑制病毒的扩散和传播。

    病毒隐藏技术已经从最初的简单加载单一启动项，演化到今天的多重启动项、进程互相保护、线程监视、远程注射、可执行文件关联、服务项目加载、驱动形式加载等方式，甚至采用多项结合的方法，使得查杀工作变得十分困难，甚至只要遗漏了一个文件未能清除，病毒便能卷土重来，因此，如何有效准确的判断和修复受损环境，也是衡量杀毒引擎技术是否成熟的关键。

    五、未来之路
    目前，虚拟机、实时监控、主动防御等技术均已经渐渐成为主流。除此之外，还有两种处于试验阶段的新技术，分别是智能码标识技术和行为拦截技术。

    智能码标识技术：这种技术如同给各种程序分配一个可以对其进行唯一识别的ID，这样对付那些非法的木马、后门等程序就变得简单了很多，即使是文件或程序遭到病毒感染，杀毒软件也可以根据那一串智能识别码对其进行拦截和阻击。目前，此项技术还处于理论阶段，还没有哪个安全公司的产品中已经包含了此技术的模块。

    行为拦截技术：从概念上来说，这优点类似主动防御的概念。这里的行为拦截指的是即时的监控执行应用程序行为，并且拦截显示恶意的程序活动。如果有必要，甚至可以对系统的API进行阻挡，但同时也表现出来一定的负面影响，如果错误的拦截了合法程序的正常执行行为，将导致系统运行的异常，轻则系统的某些功能无法使用，重则引起系统的瘫痪，对于那些对于操作系统知之甚少的用户来说，这一点尤为突出。虽然目前很多软件（如：NOD32、AVAST等）都已经开始尝试使用这种技术，但很有很多内容需要研究。

    最近，看到很多国内的杀毒软家厂商借助各种媒体，宣传自己又通过了某某认证，虽然通过某些权威机构的认证，可以作为自己产品质量的佐证，也许这些只能证明过去。面对层出不穷的病毒、日新月异的攻击，不断完善已有的技术和开发研究新技术同样重要。其实杀毒软件更贴切的称呼应为“反病毒软件”，因为越来越多的产品已经向防病毒的思想迈进。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施，应可以准确地、实时地监测预警经由网络或文件等多种方式进行的传输；能够在病毒侵入系统是发出警报，并记录携带病毒的文件，即时清除其中的病毒。

    结束语：很多用户在挑选杀毒软件的时候，都有无所适从的感觉，其实杀毒软件的引擎实现技术无非也就那么几个，不要只注重界面和厂家的宣传，安全厂商的研发能力和服务效率也是值得考虑的因素。