杀毒原理

概述及比较

虽然诺顿作为赛门铁克旗下的一款杀毒产品，是专门致力于个人病毒的防范，而赛门铁克的杀毒软件主要致力于企业级服务器的病毒防范，但是两者的杀毒理念以及程序核心，包括病毒库与漏洞处理机制都是相同的，只是针对面不同而在防护偏向与易用性上略有差别，因此两款杀毒软件的杀毒理念是完全相同的，采用的杀毒引擎也是一样的。

诺顿的杀毒引擎运作机制是在数据流的交换过程中，发现病毒所特有的特征码，并对不符合所设置规则的非自身程序进行判断，并对其进行比对与识别，把病毒特征码与自身病毒库中的特征码进行判断，整体程序可分为拦截、判断、识别、发现四个步骤，一般的病毒引擎一般在拦截这一环节就清除病毒程序，虽然这样减轻了杀软很大的工作量，但是对于企业重要的数据来说这也许是致命的，真正重视数据安全的大企业选择诺顿或者赛门铁克，因为他对病毒采取的主要措施就是隔离，从某种程度上讲，在对未知病毒的查杀时隔离是最好的手段；另外，诺顿的安全技术是其他任何杀软也不可比拟的，由于诺顿购买了微软的一部分的源代码，使程序设计人员能够开发出坚实的更有效的程序代码，提升程序的集成性与嵌入性，甚至是响应机制，最终将杀毒软件嵌入整个系统而做为系统不可分割的一个整体，而其他杀软仅仅是作为应用程序嵌入到系统当中的。操作系统的运行机制规定了代码运行的层次分为R0（核心），R1（硬件虚拟化），R2（系统），R3（用户界面）四个层次，其中核心层仅执行微软的源代码，是无法更改的，其余的都是通过层次递减进行译码，每一层之间是封闭的，比管理员更高权限的SYSTEM用户组也无权修改核心层，由于诺顿拥有微软的源代码，因此直接编写的程序能快速译码并触发基于R0层的响应，而Mcafee的全系列是基于R2层的，其他所有的软件则都是R3层次，但是需要注意的是并不是越低的层次代表了越好的防病毒能力，只能认为诺顿拥有更快的响应速度以及处理速度。

诺顿的杀毒软件并不只是一件简单的防毒工具，简单的杀毒软件会不断的提示用户发现可疑现象或文件，给予客户诸多选择，而往往很多客户根本不懂这些选项的意思，这类杀毒软件只有使用者具备一定的经验才能正确的掌握使用方法，才能发挥它的功能，例如诸多HIPS软件，而诺顿是真正作为一款“产品”在销售，它能够判断处理病毒与威胁并给予简单的提示（例如重启后即可完全清除病毒），并且对于经验丰富的客户也能提供非常丰富的设置和规则制定，因此诺顿是成功的。

折叠处理机制

1.隔离——将带有病毒的文件移动到了隔离区，此时病毒不能造成破坏，完全处于隔离状态，只有诺顿杀毒程序可以访问这些被隔离的文件，用户可以在隔离区内对文件进行恢复和删除；

2.修复——病毒完全被识别，赛门铁克、以及其旗下产品诺顿能成功的从文件中分离并清除了病毒代码，并保留正常文件；

3.删除——带有病毒代码的文件已经被诺顿删除，将不再可以恢复；

4.不操作——诺顿无法对带有病毒的文件进行任何操作，主要的原因是病毒程序正在运行，且进程为系统关键进程，无法通过中止进程来完成杀毒。

前三种都没问题，虽然会引起一些不了解杀毒软件工作原理客户的误会，但发现的病毒已经被处理过，不会造成更大的危害。而最重要的则是“不操作”，一旦发现这样的提示，使用者应立即断开网络，关掉系统还原，系统还原中的病毒是杀毒软件不能访问的，重启后进入安全模式，再次用诺顿进行全面扫描，这样病毒就可以被正确清除。