原文链接：http://blog.xfocus.net/index.php?op=ViewArticle&articleId=2775&blogId=2

ASTV4是我计划中对引擎修改的版本，本来这个计划还在很远的将来，但因为一个契机，我把它提前了。
在ASTV4之前的引擎，我们内部称为第一代引擎，我们甚至为此写了OEM文档和接口调用文档。至于效果，熊猫烧香一战中大家已经能看到一二。作为我曾经引以为傲的，高速轻载的扫描引擎，就这么划上句号，心理还真有点不舍。
不过我还是执意的开始了第二代引擎的研发，这个内部开发代号“冰毒”的引擎^^。初衷就是要作为一个重量级引擎的架构设计。从引擎的角度看，这将使得AST系列将能够直面迎战国际一流的安全产品，我们这三个月鸟悄的，静谧的，就是在干这事。
ASTV4系列将会有哪些新特性呢，这里先聊几点，更多的大家自己挖掘：)：
1、误报处理：
ASTV4将使用快速签名扫描方案，这使得V4版在对微软系统文件不用做误报测试也能做到0误报，同时采用了一种iChecker技术，对我们认证的文件，将不在重复扫描，这会加快扫描速度，尤其是系统目录的扫描。下面是在虚拟机中对系统目录的扫描时间统计。

第一次对Windows系统目录扫描：(花费1分35秒)
目录扫描开始: 2007-06-06 14:42:15
目录扫描结束: 2007-06-06 14:43:50
第二次对Windows系统目录扫描：(花费32秒)
目录扫描开始: 2007-06-06 14:46:47
目录扫描结束: 2007-06-06 14:47:19

2、多维特征：
这是我们独创的一种特征技术，在这一版中，我们将其完善。本质说起来，这也算一种启发扫描。不过在我看过的启发扫描的产品中，除了AVP对 DOS/WIN9X病毒的启发逻辑，NOD32对WIN API的判断逻辑有一些可圈点外，别的基本都是挂个羊头不卖肉，启发人人会做，做的如何就很难说了，幸好我们这东西又不完全是启发，这里面有一些超越启发的东西，当然还在尽量完善。
3、特征库：
如果说，ASTV3以前的版本还因为特征而惭愧的话，那么从V4开始，特征将会有几何级暴涨，尤其是国外的用户，比如欧洲、日本、美国，这些用户将会看到空前的检出率。不仅如此，我们还特意花了许多时间来优化特征，在同类反木马、反间谍产品中，在同数量级特征的内存占用、检出率等方面，我们绝对领先：)
4、界面：
大家都说AST丑，这次完全贴图重画界面，不使用任何第三方控件和界面库，兄弟们已经基本封装完成一套界面类。慢慢只要美工到位，您就等着惊艳吧。
5、壳识别和脱壳：
不能对抗壳的安全产品，长远角度看，将是致命的。所以在ASTV4中开始了对壳的全面处理，事实上在第一版引擎中，我们引擎内部就已经着手处理了。我们采用了三个结合的方案，取各方案之长来处理壳。不废话，选几个国际上对壳处理比较有特色的产品来对比，看例说话。
测试方法：将测试用的WOLLF.EXE(都能查)放到VM中，进行修改。注：各家在不加壳和加了upx壳后不修改均能脱壳查杀，所以我们直接列出修改后的对比测试。
第一次修改，将测试文件使用Upx压缩，然后通过针对各AV的壳识别特征进行修改，使得修改后的UPX壳各杀毒均无法识别。各家处理流程如下：

NAV：壳识别？错误 → 启发逻辑 → 发现可疑病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 发现病毒
AVP：壳识别？错误 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别 → 发现病毒
ASTV4：壳识别？错误 → PE类型分析？成功 →VM ？解密成功 →发现病毒

第二次修改，使用某流行加密壳来处理，测试结果如下：

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 发现病毒
AVP：壳识别？成功 → 静态脱壳？成功 → 发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → → 高级启发？→没有发现病毒
ASTV4：壳识别？成功 → 静态脱壳？成功 → 发现病毒

 

第三次修改，使用某壳，具备加密/压缩，确认各家都无法脱壳查毒，用该壳加密wollf.exe来测试。结果如下：

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒 (如果设置了高敏感启发则会报警，但该设置误报率很高)
MCAFEE：壳识别？错误 → 通用解密引擎 → 没有发现病毒
AVP：壳识别？成功 → 静态脱壳？失败 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → 高级启发？成功 → 发现可疑病毒
ASTV4：壳识别？成功 → 静态脱壳？失败 → VM ？解密成功 →发现病毒

第四次修改，使用某私用壳具备压缩和保护功能的壳加壳测试，注意本次各家都无法识别出来该私用壳。

NAV：壳识别？错误 → 启发逻辑 → 没有发现病毒
MCAFEE：壳识别？错误 → 通用解密引擎 → 没有发现病毒
AVP：壳识别？错误 → 启发识别？错误 → 没有发现病毒
NOD32：壳识别？错误 → 启发识别？失败 → 高级启发？失败 → 没有发现病毒
ASTV4：壳识别？错误 → VM ？解密失败 → 多维特征？成功 → 发现病毒

你一定会疑问，上面提到了超级巡警V4的虚拟机，那么它的脱壳能力如何呢。在最近完善和狂加脱壳代码后，俺以职业的信安工作者毫不谦虚的说，这可能是你见过最强的脱壳虚拟机，目前内部模块支持上百种，300个版本左右的壳处理，在脱壳能力上远超越NAV/Bitdefender/NORMAN AV/这些国际大厂，在脱壳数量上是国际上仅次于AVP的产品，相反，我们与AVP不同的机制实现和处理方案，使得我们今后在脱壳领域完全可以与AVP一较长短。
关于虚拟机脱壳，方便的话我们会在今年XCON上出个议题。
虽然我说的比较大，你下载后可能会有一些失望，无法立刻就体会到功能的好坏，这原因很简单，我们打造了强悍的AK，还需要足够的弹药才行。另外稳定性和可靠性还需要时日，低级的BUG也可能有许多没发现，架构一大测试压力就大，做个产品杂活太多，俺打着打着杂就老忘了正事，这里欢迎兄弟们使劲儿批评。
不过已经有了强悍的AK，接下来的事儿，就看咱怎么风骚了。
Follow me !