主题：【原创】反病毒软件——我的道听途说 [0] -- 钢爪

自己从事行业能和AV和V的从业者都打上交道。看完楼主写的文章，怎么讲了，有些事情不尽然，就厚着脸皮写一些吧。

AV行业发展到今天，要说根本还是文件特征码查杀，根本没变过，这是最有效的查杀方式。我说的是最终查杀方式，其他所有比如启发式，云杀毒，什么方式都是围绕这个主题进行服务的。这么多年以来唯一发展的就是如何收集病毒特征码。

最早AV就是傻傻的通过对比自己病毒库内的特征码来查找系统病毒。这个方法太傻了，病毒一更新，一变形基本就彻底过掉了AV防线。

后来出现了一种新方法，造就了卡巴的神话，也就是虚拟机杀毒，这就是为啥传说说卡巴杀毒强，就是因为卡巴使用虚拟机杀毒，自己带一个虚拟系统，把什么软件运行前，先丢到自己的虚拟机里观察一下，如果触发了可疑行为就报告病毒。这个想法不错，但是有两个缺点一杀毒软件资源消耗太大了，早些年机器没现在这么强大，起一个虚拟机基本就要了系统的命了。还有一个缺点，就是无法对抗病毒开发者的分析，毕竟判断机制是死的，针对杀毒软件出现二分法过杀毒软件。二分法就是对病毒切片，不断对半分病毒程序，直到确认是什么api导致杀毒软件报毒。然后用其他api替代。这就是后来卡巴斯基没落的原因。注定这种杀毒方式也已经落伍了。

再后面，就是我们现在常见的云查杀，其实要说技术先进性上，这种方法根本没啥先进，原理很简单，客户端发现有可疑的文件就上传。然后在后台通过一些系统进行分析，然后人肉分析，形成特征码下发杀毒软件，病毒软件再厉害也厉害不过人眼，而且病毒就算变形也变形不了机制，这样只要特征码取的好，病毒基本玩完了。这就是为啥360 金山等杀毒软件一天能更新无数次的原因。

现在传统的病毒应该已经很少了，都是各种形态的木马，杀毒软件面临挑战除了木马通过证书或者别的猥琐办法躲过上传外。还有就是系统漏洞的挑战，因为现在很多木马带着系统漏洞进行攻击，杀毒软件本来仗着自己有系统控制权可以被木马借助系统漏洞的提权而夺走，反而被木马杀了。