二、瑞星的技术如何
　　
　　先给一般人说说杀毒软件的技术知识，为了下面分析瑞星做点技术铺垫。
　　
　　看一个杀毒软件的好坏，要看它真正能够识别病毒的能力，过去单纯通过病毒特征库的严格比对，来判别病毒的杀毒方式总是会慢半拍。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代，以主动防御功能为主要特征的新一代防病毒体系已经完全确立了起来，相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领。
　　
　　启发杀毒技术就是“主动防御”中的一种，是现在对付未知威胁的主要手段。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作，该程序将被归类为危险程序，并立即拦截。不同于以特征码为基础的方法，启发杀毒技术可以检测出已知和未知的病毒，但是如果启发杀毒技术控制的不好，会产生不少误报，这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因。
　　
　　从2006年开始，行为杀毒技术逐渐风行，行为杀毒工具是在应用程序执行时分析其行为，并拦截任何可能危险活动的行为。行为杀毒是在实际系统的环境中运作，所以被病毒欺骗的可能性几乎没有。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后，恢复变更，借以还原系统至感染前的状态。
　　
　　虚拟机技术在杀毒软件中现在也有非常多的运用，特别是在启发杀毒技术中，一些启发技术比较成熟的杀毒软件都在他们动态启发杀毒技术中运用了虚拟机技术。有统计数据显示，2约有90%以上是“加壳”病毒。所谓“加壳”，就是给恶性病毒包上杀毒软件难以识别的外壳，某些病毒甚至加了近10层外壳，如果用常规的解壳杀毒技术，很难彻底地层层解壳，并最终清除该病毒。虚拟机技术就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，从而观察病毒的执行过程。这样，杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。但是现在一些设计先进的病毒，能够识别出这种简化虚拟机环境和真实环境的差别，在这种环境下不发作！
　　
　　据反病毒专家介绍：
　　虚拟机并不是新技术，目前微软、JAVA等虚拟机都已经十分成熟，在一台电脑上安装一个虚拟机和多个操作系统，已经成为许多评测人员和计算机病毒分析人员必需工作条件。而将虚拟机技术应用到杀毒方面，却是一个杀毒业界一直在追求和探索的课题。解决虚拟机技术至少应解决两大难题：
　　
　　一是虚拟机技术面临的一个最大的难题就是如何解决资源占用问题，如果全部应用虚拟机技术话，分析一个加壳病毒需要3到5分钟的时间，而目前电脑中许多压缩加壳的文件，光分析这些文件耗用的时间和占用的资源，就足够成为一个很有耐心的人放弃这款杀毒软件理由了，目前国际上主流的杀毒厂商对应用虚拟机技术都比较保守，毕竟不能因为杀毒拖垮用户的电脑。
　　二是如果判断病毒标准的问题。尽管根据病毒定义而确立的 “传染”标准是明确的，但是，这个标准却是模糊的。一是要仿真传染条件，哪些条件感染病毒，怎样制造传播条件？如系统日期、感染对象的文件名等等，二是这个分析是通过动态执行分支屡试呢，还是通过返回头进行静态的指令过程分析？如果杀毒软件以病毒传染性标准定义作为判断标准的话？
　　
　　所以，虽然许多人对特征码技术持有不同的看法，但是在很长一段时间内，特征码仍然是主要的杀毒技术，虚拟机技术只能起到补充和辅助的作用。通过以上分析可以看出，目前的杀毒软件中都包含了两种以上的技术，因为这些技术都在各自的领域有所专长，谁也不能完全取代谁，谁也不能做到能查杀所有病毒，必须互为补充。
　　
　　上面介绍了杀毒软件的大致技术，这里来看看瑞星：
　　
　　“12月5日，国内最大的信息安全厂商瑞星召开盛大的发布会，隆重推出年度旗舰级新品——“瑞星杀毒软件2007版”，该产品在全球安全业界首次将商用“虚拟机”技术应用到杀毒引擎中，结合Startup Scan（抢先杀毒）、未知病毒查杀等技术，对“多重加壳”等恶性顽固病毒的查杀能力实现重大突破，整体技术处于世界先进水平。”
　　
　　新一代虚拟机脱壳引擎，瑞星公司宣称是历时4年研发出来的第八代引擎，不过这里很搞笑，难道瑞星一年可以出两代产品，不知道他们是怎么分代的，难道瑞星的技术进步神速？
　　
　　先来看一下瑞星是如何吹嘘所谓的“Startup Scan独占式抢先杀毒技术”：
　　 “碎甲技术击溃Rootkits，彻底清除顽固病毒，Rootkits是一种病毒编写技术，它像一层铠甲，将自身及指定的文件保护起来，使其它软件无法发现、修改或删除这些文件。目前，越来越多的流氓软件已开始采用此种技术进行自我保护。带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布衫”，不除去这种保护伞，各种杀毒软件都无法对其进行彻底清除。瑞星公司经过对数百个Rootkits工具、使用该技术的病毒，流氓软件以及Windows驱动加载方式分析，并进行大量试验后，最终找到了一种高效的通用解决方法，并将其命名为“碎甲（Anti-Rootkits）”技术。“碎甲”技术通过对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效，就象穿甲弹击碎盔甲一样。目前，此技术可以有效对付600余种Rootkits，并且当有新的Rootkits出现时能够迅速地进行升级处理。”
　　
　　事实上，rootkits 是一堆能窃取密码，监听网络流量，留下后门等的程序集，如果入侵者在系统中成功植入 rootkits ，一般人将很难发现已经被入侵，或是只是觉得系统“怪怪的”，却不知道哪边出了问题，而对于入侵者来说，将能轻易控制系统，而且通行无阻。Rootkit其实就是在WINDOWS启动时加载比较早的功能模块，WINDOWS的驱动程序就是应用的这种技术，既然瑞星可以提前加载，也就是使用的Rootkit技术。
　　
　　一个关键的问题就是能保证能在病毒之前加载？相信很多人都遇到过杀毒软件被病毒禁止运行的时候吧？这就是病毒抢先运行了。这并不是什么世界领先技术，连流氓软件都用到这个技术了，看来瑞星还没有流氓软件使用的技术先进。
　　
　　瑞星标榜自己的防火墙规则是多么多么丰富，其实，规则越多防火墙性能越差，比如瑞星每次上网，不断报告XX用户试图连接本机XX端口，该包已被拦截，每时每刻都在拦截信息，哪有这么多黑客会盯着你，其实有这么多规则顶用么？规则一多上网速度就越慢，每个探测端口的信息防火墙就要用近千条规则去衡量，神经啊
　　
　　至于瑞星吹嘘的全球首创“虚拟机”技术，前面已经分析过了，首先，这项技术瑞星不是第一个使用，而且这项技术目前远没有到成熟的阶段，世界上没有那个杀毒厂商敢于真正全面引用，这里徽剑估计，如果瑞星的真的全面应用真正意义的“虚拟机”，那么你的CPU跑10GHZ也没什么用。因为全面应用真正意义的“虚拟机”杀毒，对于计算机系统性能的要求提高了成百上千倍。