F-Secure公司和它的多引擎杀软
[color=blue][b]F-Secure 公司和它的多引擎杀软[/b][/color]题记:尽管国外 F-Secure 比较知名,但目前国内对它的了解还是不多,国内对于FS的介绍也是相当的少。为此,查阅了FS官网及不少资料,编成此文,旨在让大家对 F-Secure 公司的简单历程,以及它的多引擎有个大致的了解。
非技术贴,不到之处,请多指正。此帖为原创,转载请注明。
[email=VSirius@Gmail.com][color=black]VSirius@Gmail.com[/color][/email],2007/10
======================================================
[b][color=darkslateblue]F-Secure 公司简介[/color][/b]
F-Secure ,1988年于芬兰的赫尔辛基成立,是一家专门提供数据安全解决方案的大型国际企业,公司的产品及服务主要包括杀毒、数据安全、密码技术等方面。F-Secure 目前设有两个总部,分别位于芬兰的艾斯堡、美国加州的圣何塞;并在英国、法国、德国、日本、中国香港及加拿大等地设有办事处。
F-Secure 拥有超过100多个国家的数以万计的客户,其中包括许多世界上最大的工业公司和最著名的电信公司、主要的国际航空公司、多个欧洲政府机构、邮局和国防部门,以及世界一些大型银行。知名的客户包括 NASA(美国国家航空和宇宙航行局)、美国航空公司、美国国防部医学部门、美国海战中心、圣地亚哥超级计算机中心、IBM、Unisys 、Cisco 、Nokia 、Sonera(以前的芬兰电信) 、MCI 等公司。
[b][color=darkslateblue]F-Secure 公司的历史[/color][/b]
[b]1、Data Fellows 公司[/b]
1988年,Data Fellows 公司(为少打几个字母,以下简称DF,^_^)于芬兰赫尔辛基成立;1999年,在赫尔辛基股票交易所上市。DF的产品主营是密码系统和防病毒系统。
Risto Siilasmaa 是公司的创始人,当年年仅22岁,之后他一直担任公司的CEO,2006年11月卸任CEO仍任公司董事长。Risto Siilasmaa 同时还是Ekahau公司和Efecte公司的董事长,Blyk公司、芬兰科技学院、Elisa公司的董事会成员,芬兰-美国商会的副董事长,赫尔辛基科技大学、赫尔辛基经济大学的顾问。(真是牛人啊)。
新成立的DF公司增长速度非常快(如1995年其营业额刚到330万美元,而在1997年,营业额就猛增至1410万美元),不久公司的客户就遍布了欧洲和北美的各大企业、政府、银行等部门。这期间,DF 公司的产品还获得了30多项国际大奖,并被 Red Herring 杂志列为世界前100位科技公司之一。
[b]2、F-Prot[/b]
这期间,有一款杀毒软件的产生,对当时乃至将来的杀毒软件行业,产生了深远的影响,那就是 Fridrik Skulason 开创的第一代启发式杀毒软件 F-Prot。(如今的“启发式”已经是杀毒界用得最滥的一句台词,^_^)
Fridrik Skulason 是 CARO(Computer Anti-Virus Research Organization -- 计算机防病毒研究组织)创始成员之一,他的公司 FRISK Software International 1993年于冰岛正式成立。
F-PROT v1.0 于1989年4月推出;之后凭借其独特的启发式技术、庞大的毒库(没错,是庞大的毒库)和不俗的表现,很快就风靡了欧洲和北美。与现在的收费杀软不同的是,当年的F-Prot是个共享软件,个人可以免费使用它,而商业用户使用的费用也相当低廉(据说每台机器每年1美元,汗);至今 F-Secure 提供的 F-Prot for DOS 3.X 仍然是免费的。
F-Prot的成功使得它的研究组织和个人遍布了世界各地,一些公司在获得 FRisk Software 授权的前提下开发并销售了拥有自己界面的 F-Prot。其中比较有名的有两家公司,一家是美国的 Command Software (后被 Authentium 收购),一家则是芬兰的Data Fellows。
[b]3、Data fellows 的 F-PROT Professional[/b]
F-Prot的推广,DF公司功不可没。早期的 F-Prot 有18种语言版本,大部分“外语”版本,都来自 DF 的手笔。
DF 不仅作为 FRisk 的代理商推广销售 F-Prot、提供维护和升级服务,它还获得了 F-Prot 的修改及开发的权利。DF 有它自己专门的部门用于 F-Prot 的技术支持,称为 F-PROT Support of Data Fellows 。
DF 与 FRisk 合作的 F-PROT Professional 很快又席卷了欧洲大陆。
在发售 F-PROT Pro 的同时,DF 还研发了它自己的启发式引擎和 CounterSign 技术,并酝酿着它的另一款产品,称为 F-Secure。但在1998年以前,DF的杀毒产品,仍以 F-Prot Professional 为主。
[b]4、Kaspersky 的加盟[/b]
Kaspersky Lab 当时隶属于俄罗斯的大型计算机公司 Kami ,主打产品AVP(AntiViral Toolkit Pro -- 直到2000年,Kaspersky Lab 才宣布用 Kaspersky AV 来代替 AVP)。
1994年,在部门负责人Natalya Kaspersky 的带领下,逐步形成了职业化的管理阶层和开发小组,并开始发展俄罗斯及海外的销售网络。1997年6月,Kaspersky Lab 公司正式成立,Natalya Kaspersky 担任总经理,而另一传奇人物 Eugene Kaspersky 则主要负责反病毒研究的工作。
1997年10月1日,Data fellows宣布与“Eugene Kaspersky 领导的AVP开发团队”(DF官方原文如此)组成战略联盟,使用它独创的 CounterSign 技术,将原来的 F-PROT 引擎及 AVP 引擎开发出新一代的 F-Secure Anti-Virus ,这就是史上第一个多引擎杀毒软件。
[b]5、F-Secure 公司[/b]
1997年10月,DF 发布它的 F-PROT Pro 最后一个版本 3.01,同时宣布,新一代的多引擎 F-Secure Anti-Virus 将取代过去的 F-Prot Professional。
1998年5月,DF 发布 F-Secure Anti-Virus 4.01,并提供了从 F-Prot Pro升级 FS 4.01 的安装程序。
F-Secure 产品获得了空前的成功。F-Secure 已逐渐成为 Data Fellows 公司一个重要的标志。
[color=darkgreen] [/color][color=black]1999年12月16日,Data Fellows 公司正式宣布更名为 F-Secure 公司。[/color]
[b][color=darkslateblue]F-Secure 引擎简介[/color][/b]
[b]1、Libra(天秤座)[/b]-- 购买 -> 自主开发
早期的 F-Secure Anti-Virus 4.0 只有两套引擎,F-Prot 和 AVP。当时FRisk 的 F-Prot 毒库文件主要有三个MACRO.DEF、SIGN.DEF、SIGN2.DEF,而 FS 的 F-Prot 的毒库文件为 FSMACRO.DEF、SIGN.DEF、SIGN2.DEF,除宏病毒部分FS稍做修改外,其它则保持一致。这一情况贯穿了 FS 4 一代的产品。
Orion 诞生的初期,FS 仍保留“F-Prot engine”这一称呼。
之后,F-Secure 决定不再购买 F-Prot 新的引擎,于是用 fsscript.def 来取代 Sign.def、Sign2.def,并将整个引擎称为 Libra。从此 F-Secure Libra engine 取代了原来的 F-Secure F-Prot engine,F-Prot 至此逐渐淡出了 FS 的视线。
[b]2、AVP[/b]--购买的引擎
卡巴的病毒特征码提取技术及这方面的努力无人能及,以至于大家忽略了卡巴其它方面的技术。AVP强大毒库的加入使得FS如虎添翼。
FS和卡巴的关系也非同一般,于其它OEM卡巴引擎的杀软不同的是,FS总能拿到最新卡巴引擎;当然,代价就是FS要比其它厂商付出更多的、价值不菲的授权费用。^_^
卡巴最初开发它的扩展库时,FS并不包含这一部分,不过现在扩展库已经包含在 FS AVP 的库文件中。
如果有人闭着眼睛说“FS仍用卡巴4.5(or 6.0)的引擎”、“FS不含卡巴扩展库”等谣传,请不要相信他。^_^
[b]3、Orion(猎户星座)[/b]-- 原创的引擎
尽管 F-Prot 启发式引擎表现不俗,FS仍感到了它的不足之处,于是决定开发它自己新的启发式引擎,那就是 Orion(最初的 Orion 始于 FS 5 版本)。根据 FS 早期的描述,Orion 是一个不含病毒特征码、“纯粹的”启发式引擎。所以早期的 Orion 库文件非常小,更新也比较缓慢。
如今的 Orion 升级得比较频繁,其库文件不断加入一些新病毒和木马的特征。而相比之下,Libra 的更新反而变少了。
[b]4、Draco(天龙星座)[/b]--购买的引擎
Libra、AVP 虽然拥有大量的毒库,但对查杀间谍、广告软件之间仍有欠缺。尽管卡巴后来有了它的扩展库,但从卡巴当初查杀3721,到取消3721的定义,再到与360亲密合作,可看出卡巴志不在此。
因此 FS 6 开始,FS家族又新增了一个伙伴,那就是 Lavasoft 的 AD-Aware,弥补了以上引擎对这方面的不足。而这时候 FS 似乎对取星座名上了瘾,这一部分为 Draco 引擎。
以上四就是网上广为流传的,所谓的“FS四大引擎”了。
[b]5、Blacklight[/b]--原创的引擎
这个引擎很多介绍都没有提及。尽管FS没给它取个星座的名字(不排除将来有这么做的可能性^_^),但它仍属于 FS 数引擎之一,而且隶属于 F-Secure Anti-Virus 引擎系列。为FS自主开发,主要用于 Rootkits 等的查杀。
早期的 Blacklight 是个独立的测试工具,后来被集成到 FS 6中。
以上就是 FS 的四个杀毒引擎和一个查杀间谍广告引擎。
除了以上5引擎,FS还有一个 F-Secure AntiVirus Misc,但这个并不是一个引擎。(Misc,代表“混杂的”的意思)。
[b] 6、Gemini(双子座)[/b]--原创的引擎
FS 7 开始引入它的 DeepGuard(深度防御)概念,其实这就是 FS 的 HIPS(主机入侵防御系统)改进版。FS 这时终于把冗长兼别扭的 F-Secure Anti Virus Client Security 改为 F-Secure Client Security ,表示它这一系列产品已不再仅仅局限于防病毒。
Gemini(双子座)是FS自主开发的一个引擎;从双子座的名字上看,我们可以猜出还应该有另一个引擎,那就是Pegasus(飞马座)。Gemini 与 Pegasus 一起,构成了 DeepGuard 坚固防御的一部分。
当程序通过了防火墙、IDS、和防毒引擎等层层防御并启动时, Gemini 启发式引擎就会分析该程序行为的安全性(用FS的话来说,这是个具有人工智能的过程),来提醒用户是否允许该程序的执行。
[b]7、Pegasus(飞马座)[/b]-- 购买的引擎
Norman 公司 的 Sandbox (沙箱)技术。简单的说就是在主机上模拟一个虚拟环境,让未知程序在这个环境内运行,一旦非法,程序就会被限制在虚拟的沙箱内,无法对系统产生危害。
这个网上多有介绍,在此就不赘述了。
大致回顾一下 FS 引擎的发展历程 -- 之所以说是“大致”,是因为FS的版本非常的多,同一代的产品引擎也各有不同(如 FS for windows server 6.0 就不包括 Draco),大家将就着看吧:
FP 1~3 ,DF'F-Prot Pro
FS 4 ,FS'F-Prot + AVP
FS 5 ,Libra + AVP + Orion
FS 6 ,Libra + AVP + Orion + Draco + Blacklight
FS 7 ,Libra + AVP + Orion + Draco + Blacklight + Gemini + Pegasus 早期的 F-Secure AntiVirus for Win95 的界面,呵呵: 只有三个引擎的 F-Secure: 如今的 FS 已经是一款比较全面的安全软件: 好文章,值得一读! 嗯,好文章。
一直有个疑问,FS既然用了KAV的最新引擎,再加上其他几个,为什么在多项测试中,它的病毒探测率不及KAV呢? [quote]原帖由 Toucan 于 2007-10-23 12:26 发表
嗯,好文章。
一直有个疑问,FS既然用了KAV的最新引擎,再加上其他几个,为什么在多项测试中,它的病毒探测率不及KAV呢? [/quote]
尽管 F-Prot 和 AVP 都拥有优秀的引擎和庞大的毒库,但对于 F-Secure,我认为它更看中于 F-Prot 的引擎和卡巴的毒库。所以,F-Secure 应从未想过去直接修改以上两者(即使认为 F-Prot引擎仍有不足,但当初拥有修改权的FS并未去修改FP引擎而是自己新增一个Orion引擎),而是更致力于补充和完善 F-Prot 的毒库和增强AVP部分的引擎。
也就是说,FS保留的是 F-Prot 引擎(对于早期来说)和卡巴毒库的完整性,而对于 F-Prot 的毒库和卡巴的引擎则进行修改和有选择选取,并做适当的补充和完善。所以 F-Secure 不完全等于 F-Prot + AVP 简单拼凑。
FS与卡巴的不同,只在于引擎部分,FS的AVP引擎是最新的,但不是最全的,而引擎包括很多方面的,比如解壳、启发等。这就是手工扫描病毒识别率与卡巴相差的原因。与卡巴相比,FS强在监控,而弱于脱壳,我认为这是FS的不足之处。 好文章,支持楼主!收藏了。[:05:] 强烈支持楼主! 群众的眼睛是雪亮的,这就是我们为什么用过都说好的原因[:05:] [:05:] [:05:] 好文章,辛苦LZ!了[:06:] LZ好文章
既然说AVP引擎是最新的,姑且可以认为是6.0或者是7.0的引擎
但是怎么看到的FS的安装文件里AVP的引擎签名时间最晚的确是2005年的呢·? fis2008用的引擎是什么 谢谢楼主,让大家学习了。前一段时间我也在用,感觉还不错。 问题是fs现在的avp引擎是基于卡巴的那一代引擎修改而来的?这个fs官方并没有说。z对fs的avp引擎的描述有点不严谨。其他的地方还不错。 支持~~~支持LZ,[:05:] [:05:] 好文章,希望多介绍些多引擎杀软 我仅知道3个AVK ustport[:05:] 不知道还有别的没 这个杀软件的确不错的说,可是我的系统是2003,只能装for2003sever的版本,但是没有网络防火墙和网页防毒,无奈,只好重回NOD32的怀抱,哎,可惜啊![:02:] 看样子诺基亚也是它的用户吧.这么做也从算它们英明,完全是代销卡巴斯基. [quote]原帖由 <i>vsirius</i> 于 2007-10-23 13:49 发表
尽管 F-Prot 和 AVP 都拥有优秀的引擎和庞大的毒库,但对于 F-Secure,我认为它更看中于 F-Prot 的引擎和卡巴的毒库。所以,F-Secure 应从未想过去直接修改以上两者(即使认为 F-Prot引擎仍有不足,但当初拥有修 ... [/quote]
谢谢LZ的解释。 不错不错,楼主开扫盲班了,学习了,大力支持!![:14:]