网络版杀毒软件的工作原理

① 杀毒软件的网络版和单机版有什么区别

1.单机版是对个人用户设计的杀毒软件，网络版是对一个中小或者大型的企业设计的网络杀毒软件。
2.网络版是企业用的，网络版只要服务器端升级，其余的客户端机子就不用升级病毒库了，这样就大大减小了企业在众多计算机的升级杀毒软件问题上浪费的时间。网络版可以在很多机器上安， 而单机版只可以在不多的几台电脑上安装，安装电脑太多的话，在线升级就不让用了。
3.网络版是用于小型局域网的,其工作原理是,在企业内部网的主机上安装网络版杀毒软件的Server端,在内网其它机器上安装杀毒软件客户端..这样,Server端升级后可以控制客户端升级,同时也可以控制客户端进行杀毒.
4.单机杀毒软件，按照知识产权来解释，就是只能安装在一台机器上使用，如果给多个机器安装该软件，造成严重后果的，有可能会被说成非法传播。
5.单机软件从技术角度来说，单机杀毒软件只能单机享受杀毒引擎和病毒定义，也就是说如果多台机器同时安装了同一单机版杀毒软件，你必须每个机器都升级一下，才能达到毒引擎和病毒定义的统一。
6.网络版杀毒软件，按照知识产权来解释，就是可以安装在同一网络环境中的多台计算机上。具体可以安装多少台机器，软件公司会有授权。
---------整理

② 杀毒软件的杀毒原理是什么 thanks

个杀毒软件无异于一个信息分析的系统，当它发现某些信息被感染后，就会清除其中的病毒。

假设信息是在“源系统”中，必须到达“目标系统”。这里所称的源系统可以是一个软盘，目标系统可能是计算机的硬盘，或者源系统是存储在ISP的一条消息，而目的系统是客户端计算机上基于Winsock协议的Windows通讯系统。

信息解释系统依据操作系统、应用程序或者是否需要特殊的机制等因素的不同是有区别的，该解释机制必须明确对应杀毒软件所要作用的操作系统或组件。例如：在Windows 9X系统中，需要采用一个虚拟驱动程序VxD来不断监控磁盘的行为。通过这种方式，每当硬盘或者软盘中的信息被存取时，杀毒软件就会截取对该磁盘的读写操作，并扫描将要读取或保存的信息。此种操作在Windows NT/2000/XP中是通过内核模式中的一个驱动来实现的，而在Novell中，磁盘活动的解释是通过一个NLM模块实现的。对于那些为某些特殊应用而设计（而非为某个操作系统设计）的杀毒软件，其解释机制和上面所介绍的是不同的。例如，对于支持CVP防火墙的杀毒软件，是由防火墙通过CVP协议来为杀毒软件传递需要扫描的信息；而对于支持Sendmail的杀毒软件， MilterAPI过滤器为信息的解释提供了便利。某些时候，解释机制既不是由杀毒软件提供（如VxD虚拟驱动），也不是由某种应用提供（如CVP 协议）。在这种情况下，必须采用介乎于应用和杀毒软件之间的一种特殊的解释机制。换句话说，通过某种资源来解释信息并将其传送给杀毒软件，这些资源和杀毒软件之间是一种紧密集成的关系，这样有助于杀毒软件清除病毒。

无论采用何种方式，一旦在扫描信息的过程中检测到一种威胁（病毒），将会采取两种措施：
1. 清除干净的信息将会返回给解释机制，然后再由该解释机制返回给原来的系统以便于它能够继续到达其最终目的地。这意味着如果接收到一封电子邮件，该邮件仍然会被允许到达其目的邮箱；如果是复制一个文件，复制过程将仍然会被允许正常进行直至结束。
2. 会向用户界面发送一个警告，该用户界面可能是多种多样的。对于工作站端的杀毒软件，将会在屏幕上显示一条信息，但是对于针对服务器的杀毒模块，警告将会以电子邮件、内部网络消息、病毒报告中的一条记录或者传递给杀毒软件管理工具的某种消息的形式发送。
杀毒程序能够提供高级的防护、阻止任何带给用户的特别“惊奇”。这就象往某个盒子中投入XXX元钱以获得心灵上的平安那么简单。

扫描引擎

无论需要扫描的信息是如何获得的，对于杀毒软件而言最重要的特征就是：病毒扫描引擎。该引擎扫描它所截取的数据以查看其中是否包含病毒，如果有病毒就会将其清除。

信息的扫描通常通过两种方式进行：一种是将扫描信息与病毒数据库（即所谓的“病毒特征库”）进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。

但是对于某些新的病毒或危险信息，在病毒数据库中并没有它们的特征，此时通过一种称为“启发式扫描”的方法有可能将其检测出来。该方法是通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性。

例如，如果某个文件试图格式化检测到的硬盘，杀毒软件就会警告该用户。尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒，但是该行为是危险的。一旦杀毒软件通过声音向用户发出警告，接下来就由用户来判断是否要采取这种危险的操作了。

以上两种方法各有优缺点。如果仅采用病毒特征库系统，那么至少每天更新一次病毒库就显得尤为重要。您必须时刻牢记每天全球至少会有超过15种新的病毒出现，如果杀毒软件两三天都不更新病毒库就变得很危险了。

启发式扫描的缺点是会向你误报一些本不是病毒的信息，如果你每天遇到很多此类的误报，很快就会对这种警告感到厌烦。

③ 杀毒软件,是通过什么原理查杀病毒的

病毒是一段程序，不同种类的病毒，它们的代码千差万别，任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯定，只要出现了一项新的计算机技术，充分利用这项新技术编制的新病毒就一定离我们不远了。而由于软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以，虽然有些人利用病毒某些共有的操作（如驻内存，改中断）这种共性，制作了声称可查所有病毒的程序，但这种方法对病毒进行检测势必会造成较多的误报情况，不够可靠，目前都只能作为辅助的手段配合使用，无法独立推广。

实际上，计算机病毒学鼻祖早在80年代初期就已经提出了计算机病毒的模型，证明只要延用现行的计算机体系，计算机病毒就存在“不可判定性”。杀病毒必须先搜集到病毒样本，使其成为已知病毒，然后剖析病毒，再将病毒传染的过程准确地颠倒过来，使被感染的计算机恢复原状。因此可以看出，一方面计算机病毒是不可灭绝的，另一方面病毒也并不可怕，世界上没有杀不掉的病毒。

常用的反病毒软件技术

特征码技术：基于对已知病毒分析、查解的反病毒技术

目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。

特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。

但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。

虚拟机技术：启发式探测未知病毒的反病毒技术

虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。

那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。

虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。

受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。

④ 杀毒软件是怎么工作的原理是什么呀

常用的反病毒软件技术

特征码技术：基于对已知病毒分析、查解的反病毒技术

目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。

特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。

但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。

虚拟机技术：启发式探测未知病毒的反病毒技术

虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。

那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。

虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的 “虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。

受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。

未来的反病毒技术：

虚拟现实

对于未来技术的展望可能只是一种近乎飘渺的幻想，但是就如同计算机病毒最初的描述出现在科幻小说里，虽然还有许许多多我们目前仍在实现却仍未实现的技术，甚至还有许多我们根本未考虑到的因素。只要技术足够成熟，网络世界中是完全有可能出现类似人工智能的反病毒技术。

未来反病毒的疑难之一就是：我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切，它同样能辨识和分析反毒程序，并对自身重新编程；而反毒程序要可能同样地对病毒进行探测，再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现，而这样的结果只能导致网络空间紧张，甚至崩溃！

我们还可以考虑用另一种方式：人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除，而这就只剩下建立人与计算机之间的“桥”的问题了。

目前的虚拟现实技术重点放在了对人与人的自然界交流方式———“感官”的计算机描述的实现上，它如同人们所有的知觉都最终传感给大脑，大脑对这种传感作出一种体验上的描述，从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息，并通过神经传感给大脑，则完全可以描述并引导、控制人的一切思维。简单地说，人的思维与计算机语言存在了这样一个通用的接口！

这种理论如果得以实现，则虚拟现实技术将进入新的发展领域。虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防，但是在实际应用中，经过反病毒专家多年的统计、分析、研究积累的经验，完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序，在相当程度上达到较精确地防御未知病毒的侵入。

第三代反病毒产品：

防杀兼备、万能恢复

从技术的数学模型上来说，过去、现在、将来的反病毒软件都不可能有任何理论上的超越，即无法跨越不可判定性的鸿沟，特征码也好，启发式虚拟机也好，或者兼而有之，相互配合，暂时不会有新的突破。那么，具体到反病毒技术的产品，也基本上离不开这些模式。当然，即使是从工程学的角度上来说，在相同的技术起点上如何构筑出实现方式和最终效果完全不同的实用产品，仍然是一个永无止境的追求。

从手工查杀病毒，到早期散兵游勇式的查杀病毒，到与internet的技术接轨，直至今天担负起防杀兼备、万能恢复的第三代反病毒软件，反病毒技术在与病毒的斗争中不断进步，不断诞生各种为计算机用户解忧去患的反病毒产品。从早期的防病毒卡、手动查杀的dos版软件（即第一代，代表产品有： kill、kv100、kv200、kv300、瑞星、早期vrv、早期avxx。），到在线监控实时查杀的病毒防火墙（即第二代，代表产品为vrv杀毒套装、killxx版、kv3000预览版），我们已经发现要免除病毒的灾难，仅有杀毒是不够的。

安全专家认为，真正的安全仅有杀毒是不够的，因为在电脑世界中，永远有捉摸不定的东西游离在身边。除去泛滥的病毒，系统的漏洞、硬件或软件的冲突、人为的误操作、利用bo特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。所以，一个好的安全软件，仅仅能杀毒是不够的，必须把备份与灾难恢复相结合起来。

⑤ 杀毒软件的工作原理是什么

杀毒软件的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。
杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，根据其行为或结果作出判断。
而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。
另外，杀毒软件的设计还涉及很多其他方面的技术。
脱壳技术，即是对压缩文件和封装好的文件作分析检查的技术。
自身保护技术，避免病毒程序杀死自身进程。
修复技术，对被病毒损坏的文件进行修复的技术。
有待改进的方面
杀毒软件有待改进的方面有:
更加智能识别未知病毒
查到病毒后，能够彻底清除病毒
保护自身。目前有些病毒，能够杀死杀毒软件的进程，再继续破坏
防盗版技术（部分免费杀毒软件不存在此问题）
虚拟机技术。
参考资料：http://ke..com/view/33433.html