乱猜毒霸蓝芯II和360的QVM引擎

　　金山毒霸和360这对冤家的争吵似乎无休无止了，虽然我们并不关心，不过也发现了很有意思的一点，就是这两款软件似乎一直在互相攀比追赶着，不过是升级更新频率还是功能方面，特别是两款软件的最新版本里对于各自号称自主研发的杀毒引擎更是大力宣传成为一个卖点。说到杀毒引擎或许有些新人也不熟悉，简单地说就是杀毒软件查杀病毒的技术水平，详细可以参考下：http://www.killdu.cn/mingci/5141.html

　　看了上面链接的内容，相信大家都知道杀毒引擎的重要性了，它直接关系到了杀软查杀的能力，如果还不是很理解引擎的作用性可以再看看文章的介绍: http://www.killdu.cn/mingci/3849.html.而如今很多杀毒软件宣传推广中都是以此作为卖点之一，比如今天我们讨论的金山毒霸和360杀毒，它们目前的最新版本是毒霸 2011 sp6 和360杀毒2.0正式版，这两款产品虽然是冤家，不过也有相同之处，比如都采用了流行的云安全，被认为落后的病毒库查杀等等，当然双方不同的卖点就是各自研发的新引擎了，在毒霸中称为蓝芯II，360杀毒则叫做QVM。

　　虽说名字不同，不过这两个看似截然不同的杀毒引擎都有个共同点：弥补传统杀毒技术不足，更加高效的防杀未知病毒，这个特点对于很多被病毒困扰或者对安全重视的用户来说很有噱头的，而毒霸和360是如何做的呢?

　　毒霸蓝芯II：

　　独有的微特征识别(启发式查杀2.0), 比启发式查杀更加聪明的智能查杀技术。根据金山云安全所收集分析的大量样本，及金山对于病毒产业链的长期追踪了解，使杀毒软件仅用很微小的特征，既可识别大量病毒。

　　360 QVM：

　　人工智能引擎，通过海量样本数据库归纳总结出一套智能算法，由人工智能引擎模拟病毒分析师，它所拥有的运算能力又远远超过人力所及。让360杀毒软件可以像病毒分析师一样思考。

　　从各自的宣传来看都是很强的杀毒技术，它们的出现也是因为传统特征码识别技术的落后，杀毒软件在过去的固定模式是，黑客制作病毒，杀毒厂商捕获样本，病毒分析师提取特征码。然后放入到杀毒软件病毒库中，用户在下载升级病毒库一次查杀更多病毒，否则杀软将是一摆设。特征码技术似乎就是追捕通缉犯，必须有犯人的特征才能去识别，没有烦人相貌特征的就一定是好人。这样就形成了病毒不断变种、杀毒软件紧跟着升级特征码的循环。

　　而蓝芯II和QVM的诞生目的是不联网、不更新病毒库就能够查杀大多数新病毒。这不由让我想到了主动防御和启发分析技术，以主动防御闻名的微点似乎是截然相反，微点主动防御软件的版本号从很久前就一直是 1.2版本，在众多杀软纷纷推出2010，2011版的时候任然保持不变，我想主要因为微点的技术功能比较单一，主要使用主动防御技术拦截所有恶意行为。这似乎更像是一个私人保镖，如果没人来侵犯做出危害行为那么微点也不会去搭理他。

　　这么看来，蓝芯II和QVM就和主动防御不太一样，因为它们识别未知病毒并不等待病毒发作再去拦截，而是将其扼杀在摇篮里，这样我又不禁想到了火了很久的启发式分析，启发式分析无需程序启动而直接分析其特征行为，更像是警察，看你身上携带了刀棍枪支而怀疑你，这样是可以避免特征码的那种死板，但是又带来了误杀的烦恼，虽然现在成熟的启发式已经将误报降到最低

　　不过蓝芯II和QVM的官方宣传里直接号称比启发式更高级，这又让我想到了虚拟机杀毒技术，杀毒软件模拟出一个电脑系统，将程序放进去，如果是病毒则以为进入了正常系统而开始肆意破坏，所以虚拟机技术就相当于钓鱼执法了，挖个陷阱等着你，如果是好人就不会进来，坏人自然就暴露原形

　　由于引擎技术的查杀方式属于厂商的机密，自然没有公布具体运作原理，所以我们仅仅是从字面意义上猜测了一下，还是觉得蓝芯II和QVM应该是一种虚拟机技术了，或者是更加高级的启发式，因为它们共同点就是无需升级无需联网而识别未知病毒。而目前来说识别未知病毒的最好方法莫过于分析程序的行为特征，看看其是否有恶意行为

　　按说有这类技术的杀毒软件已经非常多了，平时经常关注一些杀软的测试和样本检测，总的感觉来说毒霸和360的引擎虽然看着很好，在测试中结果也不是最差，但也没有好到让人感觉突出之处。

　　我想什么人工智能，还是机器智能，蓝芯还是红芯的，其实都是建立在分析程序行为特征基础之上。其实就是启发分析和虚拟机技术的再包装而已，也是厂商的一种